Der Minimalstandard für die Informations- und Telekommunikationsinfrastruktur (IKT) wurde vom Bundesamt für wirtschaftliche Landesversorgung BWL lanciert, um Organisationen zu helfen, ihre eigene Cybersicherheit zu stärken.
Über 100 Sicherheitsempfehlungen zielen darauf ab, die IKT-Resilienz zu verbessern. So werden Massnahmen aufgeführt, die den unerlaubten Zugang zu Daten und Infrastrukturen abwehren und mögliche Beschädigung oder gar Zerstörung vereiteln sollen. Die Empfehlungen sind sowohl technischer als auch organisatorischer Natur und gliedern sich gemäss den fünf NIST-Funktionen in
identifizieren, schützen, erkennen, reagieren und wiederherstellen. Der risikobasierte Ansatz, auf dem der Standard beruht, ermöglicht es jedem Unternehmen, ein auf seine Grösse, Branche und Bedürfnisse angepasstes Security-Level auszuwählen und umzusetzen.
Die HerausforderungEs ist allerdings eine grosse Herausforderung, die umgesetzten Massnahmen ständig auf ihre Wirksamkeit hin zu kontrollieren und der Geschäftsleitung jederzeit Informationen über den Erfüllungsgrad zur Verfügung stellen zu können. Um bei dieser Herausforderung zu unterstützen, empfiehlt sich ein dediziertes Audit nach eben diesem IKT-Minimalstandard.
Dies eignet sich einerseits für Organisationen, die den Reifegrad ihrer Cybersicherheit verstehen möchten und andererseits können jene davon profitieren, die ein langfristiges Projekt zur Verbesserung ihrer Sicherheit starten möchten.
Ist ein allgemeiner Standard denn auch universell anwendbar? Hier ist von Vorteil, dass der IKT-Minimalstandard unterschiedliche Maturitätsstufen aufführt. So kann jedes Unternehmen festlegen, wie hoch sein Sicherheitsbedarf ist und welche Stufe es anstrebt. Ziele, Umfang der Massnahmen und Budget können also in Einklang gebracht werden.
Umfassende Security-StandortbestimmungEin Audit nach IKT-Minimalstandard liefert eine aktuelle Security-Standortbestimmung, indem es alle Sicherheitsmassnahmen erfasst, analysiert und mit dem Standard vergleicht. Damit ist es ein effektives Instrument, mit dem ein Unternehmen durch ständige Verbesserung das angestrebte Sicherheitsniveau erreichen kann. Ein Audit zur Sicherheitsprüfung gliedert sich grob in vier Schritte:
1. Beim
Kick-Off wird Zeitplan und Umfang festgelegt.
2. Es folgt die
Selbsteinschätzung des Unternehmens, das seinen eigenen Reifegrad beurteilt und dem Auditor Aufschluss darüber gibt, inwieweit man sich der Situation bewusst ist.
3. Bei der
Analyse zieht der Auditor neben der Selbsteinschätzung und Security-Dokumentationen auch Interviews heran, die vor Ort mit den Verantwortlichen des Kunden durchgeführt wurden.
4. Abgeschlossen wird mit einem
Bericht inklusive Massnahmenempfehlung.
So unterstützt der IKT-Minimalstandard den CIODer IKT-Minimalstandard ist ein hervorragendes Messinstrument für die Cybersicherheit. Ein Werkzeug, das dem eigenen Unternehmen einen schweizweit gültigen Orientierungspunkt vorgibt, angelehnt an internationale Standards.
Der Managementteil des Berichts erleichtert es Führungskräften, die aktuelle Situation zu verstehen und Ressourcen zu planen, um Sicherheitslücken zu schliessen. Der Bericht kann vom CISO für der Erstellung eines Sicherheitskonzeptes herangezogen werden und bietet der Geschäftsleitung ein wichtiges Hilfsmittel, um das Budget für die Cybersicherheitsmassnahmen zu planen.
FazitWer sein Security-Dispositiv verbessern will, benötigt zuerst einmal eine Übersicht und Analyse aller vorhandenen Massnahmen sowie eine Vergleichsmöglichkeit. Genau dies liefert das Audit nach IKT-Minimalstandard. Darauf aufbauend können dann der Ausbau oder die Optimierung aller Security-Massnahmen beginnen.
www.security.ch
