Mit dem ExPress Informationssicherheits Check (EPIC) stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit kurzem eine webbasierte Selbstüberprüfung zur Beurteilung des Status der Informationssicherheit für Behörden und Unternehmen zur Verfügung.
Vor allem in Pandemie-Zeiten mit stark eingeschränkten Möglichkeiten zur Durchführung von Vor-Ort-Prüfungen ist ein solches Self-Assessment ein Vorteil, so das BSI. Unternehmen können mit dem Instrument eigenständig identifizieren, an welchen Stellen die Informationssicherheit ihrer Institution optimiert werden kann. Als Ergebnis zeigt der ExPress Informationssicherheits Check den Optimierungsbedarf aller Themenfelder mit ihrem jeweiligen Optimierungsbedarf auf.
Damit geht ein solcher Selbst-Check der Cybersicherheit über das Ausfüllen von Checklisten hinaus, ersetzt aber keine externen Audits, keine vollständige Revision der Informationssicherheit und auch keine aktive Suche nach Schwachstellen, wie sie mit Werkzeugen oder Services im Bereich Penetrationstests möglich ist. Das soll die Selbstkontrolle aber auch gar nicht, vielmehr kann sie als Vorbereitung weitergehender Überprüfungen gesehen werden.
Das neue Angebot ExPress Informationssicherheits Check des BSI bietet nicht die einzige Möglichkeit, mit der Unternehmen ihre Cybersicherheit einer ersten Kontrolle unterziehen können. Allerdings sollte man sich genau überlegen, in welchem Tool von welchem Anbieter man seine Schwachstellen in der Cybersicherheit offenlegt. Selbst eigentlich vertrauenswürdige Anbieter solcher Self-Assessments könnten unbefugten Dritten ungewollt Einblicke in die Antworten der Nutzer geben, wenn die Cybersicherheit bei dem Anbieter selbst nicht stimmt.
Zudem sollte man aus der Fülle der über das Internet angebotenen Selbstkontrollen die auswählen, die zur eigenen Unternehmensbranche, IT-Infrastruktur und Unternehmensgröße passen. Auch der Fokus der Selbstkontrolle kann sehr unterschiedlich sein: Das US-Department of Homeland Security bietet zum Beispiel ein Assessment mit dem Schwerpunkt Cyber Resilience, die EU-Agentur für Cybersicherheit ENISA hingegen unter anderem eine Selbstkontrolle für CSIRTs (Computer Security Incident Response Team).
Gerade kleine und mittlere Unternehmen (KMU), die einen besonders hohen Bedarf haben, bei ihrer Security-Selbstkontrolle angeleitet zu werden, haben eher kein Computer Security Incident Response Team, das sie einem Self-Assessment unterziehen könnten.
Natürlich gibt es auch Self-Assessments, die Security-Anbieter bereitstellen. Hier sollte man sich zuerst fragen, wer die Ergebnisse erhalten wird. Ist es nur das eigene Unternehmen oder auch die Sales-Abteilung des Anbieters, die dann passende Angebote zu den aufgedeckten Lücken im Security-Konzept machen wird. Solche wirklich relevanten Security-Angebote können sehr hilfreich sein, doch wichtig ist die Transparenz vor dem Assessment, wer alles von den Security-Assessment-Resultaten erfahren wird.
Self-Assessments in der Cybersecurity sind eine gute Vorbereitung auf Audits, die zum Beispiel für eine externe Zertifizierung anstehen, oder für Prüfungen, die durch eine relevante Aufsichtsbehörde anstehen könnten, vorausgesetzt, die Schwerpunkte und Kriterien stimmen überein.
Passende Selbstkontrollen in der IT-Sicherheit können auch ein Teil des Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sein, wie es von der Datenschutz-Grundverordnung (DSGVO) der EU gefordert wird.
Doch die Selbstkontrolle hat auch weitere Vorteile für die Cybersicherheit in einem Unternehmen.
Je nach Lösung für das Security Self Assessment erhält ein Unternehmen nach Abschluss einen mehr oder weniger ausführlichen Bericht zu den aufgedeckten Lücken in der Security, zudem auch Hinweise, wie sich diese organisatorischen oder auch technischen Schwachstellen am besten beheben lassen.
So bietet zum Beispiel Cyberwatching.eu ein „Cybersecurity Self-Assessment for SMEs“. Laut Nicholas Ferguson, Koordinator von Cyberwatching.eu, „kann die Selbstbewertung KMU helfen, ein erstes Verständnis des Risikobewertungsprozesses zu erlangen und den Weg für die Einführung eines korrekten Risikobewertungsprozesses für ihre Organisationen ebnen“.
Doch die Selbstkontrolle bietet bereits Vorteile während der Vorbereitung darauf und bei der Durchführung. Diese Zusatzergebnisse sollte man nicht unterschätzen, mitunter sind sie auch der wahre Wert des Self-Assessments:
Wenn also die Überlegung angestellt wird, ob man zum Beispiel das neue Angebot EPIC des BSI nutzen sollte oder nicht, sollten die zusätzlichen Vorteile nicht vergessen werden, die der internen Cybersicherheit eines Unternehmens einen deutlichen Schub verleihen können. Cybersecurity Self Assessments lohnen sich also aus vielen Gründen, auch wenn sie weder eine echte Revision noch eine technische Schwachstellensuche ersetzen können.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…