Der wahre Wert der Security Self Assessments
Eine Selbstkontrolle in der Cybersecurity ersetzt kein externes Audit, hilft aber bei der Planung und Sensibilisierung in der IT-Sicherheit. Cybersicherheitsbehörden wie BSI und ENISA bieten umfangreiche Security Self Assessments für Unternehmen, die gerade in Zeiten der dezentralen Arbeit und verteilten Teams einen hilfreichen Überblick über die eigene Security-Lage bieten können.
Kontrolle der Cybersicherheit in Pandemie-Zeiten
Mit dem ExPress Informationssicherheits Check (EPIC) stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit kurzem eine webbasierte Selbstüberprüfung zur Beurteilung des Status der Informationssicherheit für Behörden und Unternehmen zur Verfügung.
Vor allem in Pandemie-Zeiten mit stark eingeschränkten Möglichkeiten zur Durchführung von Vor-Ort-Prüfungen ist ein solches Self-Assessment ein Vorteil, so das BSI. Unternehmen können mit dem Instrument eigenständig identifizieren, an welchen Stellen die Informationssicherheit ihrer Institution optimiert werden kann. Als Ergebnis zeigt der ExPress Informationssicherheits Check den Optimierungsbedarf aller Themenfelder mit ihrem jeweiligen Optimierungsbedarf auf.
Damit geht ein solcher Selbst-Check der Cybersicherheit über das Ausfüllen von Checklisten hinaus, ersetzt aber keine externen Audits, keine vollständige Revision der Informationssicherheit und auch keine aktive Suche nach Schwachstellen, wie sie mit Werkzeugen oder Services im Bereich Penetrationstests möglich ist. Das soll die Selbstkontrolle aber auch gar nicht, vielmehr kann sie als Vorbereitung weitergehender Überprüfungen gesehen werden.
Security Self Assessments bieten viele Organisationen
Das neue Angebot ExPress Informationssicherheits Check des BSI bietet nicht die einzige Möglichkeit, mit der Unternehmen ihre Cybersicherheit einer ersten Kontrolle unterziehen können. Allerdings sollte man sich genau überlegen, in welchem Tool von welchem Anbieter man seine Schwachstellen in der Cybersicherheit offenlegt. Selbst eigentlich vertrauenswürdige Anbieter solcher Self-Assessments könnten unbefugten Dritten ungewollt Einblicke in die Antworten der Nutzer geben, wenn die Cybersicherheit bei dem Anbieter selbst nicht stimmt.
Zudem sollte man aus der Fülle der über das Internet angebotenen Selbstkontrollen die auswählen, die zur eigenen Unternehmensbranche, IT-Infrastruktur und Unternehmensgröße passen. Auch der Fokus der Selbstkontrolle kann sehr unterschiedlich sein: Das US-Department of Homeland Security bietet zum Beispiel ein Assessment mit dem Schwerpunkt Cyber Resilience, die EU-Agentur für Cybersicherheit ENISA hingegen unter anderem eine Selbstkontrolle für CSIRTs (Computer Security Incident Response Team).
Gerade kleine und mittlere Unternehmen (KMU), die einen besonders hohen Bedarf haben, bei ihrer Security-Selbstkontrolle angeleitet zu werden, haben eher kein Computer Security Incident Response Team, das sie einem Self-Assessment unterziehen könnten.
Natürlich gibt es auch Self-Assessments, die Security-Anbieter bereitstellen. Hier sollte man sich zuerst fragen, wer die Ergebnisse erhalten wird. Ist es nur das eigene Unternehmen oder auch die Sales-Abteilung des Anbieters, die dann passende Angebote zu den aufgedeckten Lücken im Security-Konzept machen wird. Solche wirklich relevanten Security-Angebote können sehr hilfreich sein, doch wichtig ist die Transparenz vor dem Assessment, wer alles von den Security-Assessment-Resultaten erfahren wird.
Das Ziel ist kein Ersatz für Audits und Revisionen
Self-Assessments in der Cybersecurity sind eine gute Vorbereitung auf Audits, die zum Beispiel für eine externe Zertifizierung anstehen, oder für Prüfungen, die durch eine relevante Aufsichtsbehörde anstehen könnten, vorausgesetzt, die Schwerpunkte und Kriterien stimmen überein.
Passende Selbstkontrollen in der IT-Sicherheit können auch ein Teil des Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sein, wie es von der Datenschutz-Grundverordnung (DSGVO) der EU gefordert wird.
Doch die Selbstkontrolle hat auch weitere Vorteile für die Cybersicherheit in einem Unternehmen.
Self-Assessments liefern nicht nur eine Übersicht bestimmter Schwachstellen
Je nach Lösung für das Security Self Assessment erhält ein Unternehmen nach Abschluss einen mehr oder weniger ausführlichen Bericht zu den aufgedeckten Lücken in der Security, zudem auch Hinweise, wie sich diese organisatorischen oder auch technischen Schwachstellen am besten beheben lassen.
So bietet zum Beispiel Cyberwatching.eu ein „Cybersecurity Self-Assessment for SMEs“. Laut Nicholas Ferguson, Koordinator von Cyberwatching.eu, „kann die Selbstbewertung KMU helfen, ein erstes Verständnis des Risikobewertungsprozesses zu erlangen und den Weg für die Einführung eines korrekten Risikobewertungsprozesses für ihre Organisationen ebnen“.
Doch die Selbstkontrolle bietet bereits Vorteile während der Vorbereitung darauf und bei der Durchführung. Diese Zusatzergebnisse sollte man nicht unterschätzen, mitunter sind sie auch der wahre Wert des Self-Assessments:
- Zuerst müssen die Personen bestimmt werden, die die Fragen im Self-Assessment beantworten können. Dies sind nicht nur die bekannten Mitarbeiterinnen und Mitarbeiter der Security, sondern viele weitere Stellen im Unternehmen, die nun vielleicht erst als relevant im Security-Prozess erkannt und in Zukunft stärker einbezogen werden, wenn Security geplant und bewertet wird.
- Die interne Dialog über Security-Themen wird angeregt und vertieft.
- Je nach Themenbereich und Fragen im Self-Assessment wird der Blick auf die eigene, inzwischen stark verteilte IT-Infrastruktur geweitet. Dies hilft in Teilen, die gefürchtete Schatten-IT zu beleuchten.
- Die Befragungen, die zur Security durchgeführt werden, bedeuten auch eine aktive Beschäftigung mit der Cybersicherheit und dienen so auch einer vertieften Sensibilisierung. Man kann sie durchaus zu den Awareness-Maßnahmen rechnen.
- Eine wiederholte Durchführung des Self-Assessments kann Veränderungen aufzeigen, wenn Lücken, die im ersten Durchgang gefunden wurden, nun geschlossen werden konnten. Solche positiven Entwicklungen zeigen auch den Wert von Security-Maßnahmen und können weitere Argumente für Security-Budgets liefern.
Wenn also die Überlegung angestellt wird, ob man zum Beispiel das neue Angebot EPIC des BSI nutzen sollte oder nicht, sollten die zusätzlichen Vorteile nicht vergessen werden, die der internen Cybersicherheit eines Unternehmens einen deutlichen Schub verleihen können. Cybersecurity Self Assessments lohnen sich also aus vielen Gründen, auch wenn sie weder eine echte Revision noch eine technische Schwachstellensuche ersetzen können.