Das KMU Quick-Assessment IT-Sicherheit für den Mittelstand
Inhalt 1 Einleitung... 1 2 Ablauf des KMU Quick-Assessments... 2 2.2 Vorbereitungsphase... 3 2.3 Vor-Ort-Phase... 3 2.3.2 Eröffnung... 4 2.3.3 Erstbegehung... 4 2.3.4 Prüfplan Abstimmung... 4 2.3.6 Begehung und Interviews nach Themenkreisen... 5 2.3.7 Bericht... 5 2.3.9 Abschluss... 6 3 Über TÜViT... 7 4 Ansprechpartner... 11
1 Einleitung Mit einem Anteil von über 99% sind die kleinen und mittleren Unternehmen (KMU) ein wesentlicher Erfolgsfaktor der deutschen Wirtschaft. Aber gerade die kleinen und mittleren Unternehmen unterliegen einem stetig wachsenden Angriffsrisiko auf ihre IT und geraten in das Visier von Cyber-Kriminellen. Um die Unternehmenswerte wie z.b. Spezial Know-how gegen Ausspähen und Diebstahl zu schützen, ist eine optimale Nutzung von geeigneten Sicherheitsmaßnahmen und Informationsquellen unabdingbar. An dieser Stelle setzt das KMU Quick-Assessment an. Das KMU Quick-Assessment unterstützt Unternehmen, die den Bedarf erkannt haben, ihren IT-Betrieb und insbesondere ihre IT-Sicherheit vor dem Hintergrund der aktuellen Bedrohungslage optimal zu organisieren. Hierzu gehört neben anderen Maßnahmen die Etablierung eines wirksamen IT-Sicherheits- bzw. IT-Servicemanagement. Das KMU Quick-Assessment ist eine unabhängige Einschätzung der Sicherheit und Effektivität des IT-Einsatzes bei kleinen und mittelständischen Unternehmen, dem Handwerk sowie den Freien Berufen. Das KMU Quick-Assessment basiert auf etablierten Best Practices und Standards des IT-Sicherheits- bzw. IT-Servicemanagements: IT-Grundschutz, BSI Standard 100-2 Informationssicherheits-Managementsysteme, ISO/IEC 27001, ISO/IEC 27002 IT Service Management, ISO/IEC 20000 KMU Quick Assessment Seite 1 11
Die Prüfungspraxis nach o.g. Standards hat gezeigt, dass oftmals weniger aufwendige, dafür aber koordinierte Maßnahmen einen höheren Sicherheits- bzw. Effektivitätsgewinn bringen, als eher technisch orientierte und häufig teure Einzelmaßnahmen. Das Quick-Assessmentverfahren konzentriert sich deshalb auf die für KMU besonders relevanten Maßnahmen, die bereits mit begrenztem Ressourceneinsatz wirksam umsetzbar sind und somit rasch einen hohen Nutzen erreichen. 2 Ablauf des KMU Quick-Assessments Der Ablauf des KMU Quick-Assessments teilt sich in eine Vorbereitungs- sowie eine Vor-Ort-Phase auf. Abbildung 1: Phasen des KMU Quick-Assessments KMU Quick Assessment Seite 2 11
2.2 Vorbereitungsphase Grundlage für die Durchführung des KMU Quick-Assessments ist ein Fragebogen, der als Vorbereitung des Unternehmens auf das Assessment dient. Der Fragebogen beinhaltet unternehmensspezifische Daten wie Unternehmensgröße, Anzahl der Standorte, Angaben zu organisatorischen Abläufen sowie die eingesetzte Automation durch Maschinen oder IT. Des Weiteren ermöglicht der Fragebogen dem IT-Assessor den Einstieg in die konkreten Gegebenheiten des Unternehmens und seiner Abläufe. 2.3 Vor-Ort-Phase Das KMU Quick-Assessment beginnt ca. zwei Wochen nach Vorliegen des Fragebogens. Die konkrete Gestaltung des Ablaufes vor Ort übernimmt der IT-Assessor in Abstimmung mit dem Unternehmen. Das Unternehmen hat im Vorfeld des KMU Quick- Assessments dafür Sorge zu tragen, dass notwendige Ansprechpartner der verschiedenen Organisationseinheiten in ausreichendem Maße verfügbar sind. Zutritte zu gegebenenfalls zutrittsgeschützten Räumlichkeiten sollten frühzeitig vorbereitet werden, so dass im Verlauf des Assessments keine unnötigen Verzögerungen auftreten. Die Vor-Ort-Phase setzt folgende Schwerpunkte (Themenkreise), die einen effektiven und sicheren IT-Betrieb ausmachen: Organisation: umfasst die Aufbau- und Ablauforganisation und rechtliche Aspekte Infrastruktur: umfasst die Gebäudeinfrastruktur IT-Systeme: umfasst die eingesetzten IT-Plattformen Netzwerk: umfasst das IT-Netzwerk Anwendungen: umfasst Aspekte wie Konfiguration und Administration der eingesetzten Anwendungen KMU Quick Assessment Seite 3 11
2.3.2 Eröffnung Das Eröffnungsgespräch dient dem Kennenlernen der Unternehmung, ihrer Abläufe, der eingesetzten Automation bzw. IT sowie der zugehörigen Risiken. Dabei werden die wichtigsten Geschäfts- und Kundendaten identifiziert, welche den Betrieb der Automation bzw. IT ermöglichen, um den Sicherheitsbedarf der zugrundeliegenden IT abzuschätzen. Dies ermöglicht dem Assessor, im weiteren Verlauf die Eignung der bereits getroffenen Schutzmaßnahmen zu bewerten und dient als Grundlage für eine Einschätzung der Effektivität des IT-Einsatzes im Unternehmen. 2.3.3 Erstbegehung Das Ziel der Erstbegehung ist es, einen Eindruck der physischen Gegebenheiten zu bekommen sowie die in der Eröffnung identifizierten Abläufe und ihre Automation bzw. IT auf Plausibilität zu prüfen. Dabei sollen nach Möglichkeit alle Bereiche des Standorts, die für die Leistungserbringung wesentlich sind oder an denen IT in besonderem Maße zum Einsatz kommt, betrachtet werden. 2.3.4 Prüfplan Abstimmung Das Ziel der Abstimmung des Prüfplans ist es, den weiteren Verlauf des KMU Quick-Assessments zwischen Unternehmen und IT-Assessor gemeinsam festzulegen. Der Prüfplan legt die Aktivitäten und ihre Abfolgen, den Ort sowie Beginn und Ende der jeweiligen Aktivität und die Beteiligten des Unternehmens fest. Bei der Erstellung des Prüfplans berücksichtigt der IT-Assessor die zeitliche Verfügbarkeit der jeweiligen Ansprechpartner. KMU Quick Assessment Seite 4 11
2.3.6 Begehung und Interviews nach Themenkreisen Das Ziel der Begehung und Interviews nach Themenkreisen (s. Seite 3) ist das systematische Erschließen der Vor-Ort Gegebenheiten, der Abgleich mit den Angaben des Fragebogens sowie das Spiegeln zu erwartender Maßnahmen mit den tatsächlich getroffenen Maßnahmen und ihrer Wirksamkeit. Die Begehung dauert ca. zwei Stunden je Themenkreis. Zur Durchführung des Assessments greift der IT-Assessor auf folgende Methoden zurück: Dokumentensichtung (inkl. elektronischer Dokumente) Mündliche Befragung der Führungskräfte und Mitarbeiter des Unternehmens Beobachtung, z. B. während der Erstbegehung aufgefallener individueller Umgang mit Sicherheitsregeln Inaugenscheinnahme von z. B. IT-Systemen und Räumen technische und organisatorische Erprobung, z. B. Überprüfung von Alarmanlagen mittels Gehtest oder Prüfung von Zutrittskontrollen Datenanalyse 2.3.7 Bericht Nach Abschluss der Begehungen erstellt der IT-Assessor einen Bericht, wofür er ca. eineinhalb Stunden benötigt. Der Bericht enthält neben einer kurzen Ergebnisübersicht auch eine zusammenfassende Übersicht der Erfüllung einzelner Aspekte der Themenkreise sowie ein Kapitel mit konkreten Handlungsempfehlungen zur Verbesserung der Effektivität und Sicherheit der IT. Die im Assessment gemachten Feststellungen werden in konsolidierter Form tabellarisch aufgelistet und durch ein Management Summary ergänzt. KMU Quick Assessment Seite 5 11
2.3.9 Abschluss Der IT-Assessor stellt in einer einstündigen Präsentation der Unternehmensleitung die Ergebnisse des KMU Quick-Assessments vor und übergibt im Anschluss den Assessment Bericht. Das Ziel des Abschlusses ist die verständliche Vermittlung der Ergebnisse des Assessments. Zugleich soll er der Unternehmensleitung aufzeigen, in welcher Hinsicht gegebenenfalls Handlungsbedarf besteht und wie erforderliche nächste Schritte aussehen können. KMU Quick Assessment Seite 6 11
3 Über TÜViT Die TÜV Informationstechnik GmbH kurz TÜViT - mit Sitz in Essen ist einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre Unternehmenswerte zu bewahren. Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf Themen wie Common Criteria Evaluationen, Cyber Security, Penetrationstests, Bewertung von Informationssicherheits- Managementsystemen nach ISO/IEC 27001 sowie Datenschutz- Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen. Unsere Dienstleistungen werden stets nach dem Stand der Technik ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche. Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und internationale Organisationen und Behörden weisen unsere Kompetenzen auf dem Gebiet der IT-Sicherheit und IT-Qualität nach. Bundesamt für Sicherheit in der Informationstechnik Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3, BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5 IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich IS-Revision und IS-Beratung und Penetrationstests KMU Quick Assessment Seite 7 11
Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001 Lizenzierte Auditoren für De-Mail Deutsche Akkreditierungsstelle Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC 17025:2005 Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach ITSEC/ITSEM/CC/ISO 15408/CEM Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN EN ISO 9241-110, DIN EN ISO 9241-11, DIN ISO/IEC 25051, DIN EN ISO 13407 und ISO 9241-210 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten in dem Bereich IT-Sicherheit, akkreditiert nach DIN EN 45011 Bundesnetzagentur Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung von Sicherheitskonzepten für Zertifizierungsdiensteanbieter Die Deutsche Kreditwirtschaft Gelistete Prüfstelle für elektronischen Zahlungsverkehr Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch) EuroPriSe Gutachter (rechtlich/technisch) KMU Quick Assessment Seite 8 11
Information-technology Promotion Agency, Japan Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM National Institute of Technology and Evaluation, Japan Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in dem Bereich der IT / Common Criteria Evaluationen (Lab Code: ASNITE0019T) National Institute of Standards and Technology National Voluntary Laboratory Accreditation Program, USA Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für Cryptographic Module Testing (Scopes 17BCS, 17CAV/01, 17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01, 17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing Europay, MasterCard and Visa, USA/Großbritannien/Japan Full Service Laboratory für Prüfungen von ICs und Chipkarten nach EMVCo Sicherheitsrichtlinien Modular Label Auditor Visa, USA Test House zur Durchführung von Visa Chip Product Sicherheitsevaluationen MasterCard, Großbritannien Akkreditiert zur Durchführung von CAST (Compliance Assessment and Security Testing) Evaluationen Betaalvereniging Nederland, Niederlande Evaluation Laboratory KMU Quick Assessment Seite 9 11
In nationalen und internationalen Forschungsprojekten und Gremien gestaltet TÜViT den Stand der Technik aktiv mit. TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und Umweltmanagement, welche nach ISO 9001:2008 bzw. ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche und Erwartungen ihrer Kunden. TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten. Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische Tests und Prüfungen in zahlreichen Bereichen durchgeführt und entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten und durchzuführen. KMU Quick Assessment Seite 10 11
4 Ansprechpartner Peter Kattner, LL.M. IT Security Fachstelle für Datenschutz TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße 20 45141 Essen Tel.: +49 201 8999-643 Fax: +49 201 8999-666 p.kattner@tuvit.de www.tuvit.de Version: 1.2 KMU Quick Assessment Seite 11 11