«Wo stehen wir eigentlich mit unserer IT-Security?» Oder öffnen wir die Frage noch etwas weiter mit: «Wie stehts um unsere Informationssicherheit?» Diese Frage wird sich der eine oder andere bereits gestellt haben. Manager in der obersten Unternehmensführung müssen sich diesen Fragen stellen. Bzw. sie müssen per Gesetz über Risiken und Gefahren im Bilde sein, um entsprechend Massnahmen zum Schutz der Unternehmenswerte zu treffen und ultimativ den Fortbestand der Unternehmung zu sichern.
Ausgangspunkt
Ein guter Ausgangspunkt, um sich ein Bild zu verschaffen ist ein Security Review. Als Ergebnis sollten dann die Risiken / Threats inkl. ihrer Bewertung und idealerweise mit Vorschlägen zu Massnahmen resultieren.
Wer?
Wen sollte man mit dieser Aufgabe betrauen? Sollte ein neuer Partner oder ein bestehender Partner hinzugezogen werden. Diese Frage kann nicht eindeutig beantwortet werden. Für einen neuen Partner spricht, dass dieser unvoreingenommen an die Aufgabe rangehen kann. Für den bestehenden Partner spricht, dass dieser weniger Zeit braucht, um sich einen Überblick zu verschaffen.
Dann kann man sich noch überlegen, ob man einen Review bei einem reinen Consulting-Unternehmen oder bei einem eher technikgetriebenen Unternehmen durchführen möchte. Der Security Review, welchen ich jeweils durchführe, wird pragmatisch und lösungsorientiert angegangen. Das Ergebnis ist, wie ich von Kunden erfahren habe, vom Inhalt her deckungsgleich. In der Form unterscheidet sich das Ergebnis darin, dass wir die Erkenntnisse und Vorschläge zu Massnahmen prägnant in Folienform präsentieren und Consulting-Unternehmen neigen in der Regel oft dazu, aufgeblähte Berichte mit «Prosa» zu produzieren, welche dann aber trotzdem eher vage formulierte Texte enthalten.
Der Ablauf eines Security Reviews folgt folgendem Raster:
Scoping
Im Scoping wird die Grösse bzw. der Umfang und Komplexität der zu reviewenden Organisation in Erfahrung gebracht. Zudem wird die Flughöhe für die Präsentation bestimmt. Präsentationen für Manager mit IT-Background wie CIO, CISO oder IT-Leiter werden in der Regel von CEO oder VR nicht verstanden. Entsprechend müssen Präsentationen für diese Zielgruppe angepasst werden. Es wird auch bestimmt, welche Themen und in welcher Tiefe diese beleuchtet werden sollen. Auch das Thema NDA wird angesprochen. Es werden natürlich vertrauliche Informationen übergeben, welche wir selbstverständlich äusserst diskret behandeln.
Kick-off
Im Kick-off werden Ansprechpartner und Termine für Interviews, Präsentation usw. vereinbart. Die Vorgehensweise, Anforderungen bzw. Erwartungshaltung an Durchführung und Ergebnis werden aufeinander abgestimmt. Eine aktive Mitarbeit ist ein Schlüssel, um ein möglichst umfassendes Ergebnis zu erhalten. Verschweigen Mitarbeitende bekannte Probleme aus Gründen, würde dies das Ergebnis natürlich verfälschen.
AVANTEC Security Review Framework
Das von der AVANTEC entwickelte AVANTEC Security Review Framework ist ein Fragenkatalog, welcher unter anderem auf ISO27001 und NIST basiert. Es werden Fragen zu organisatorischen und technischen Massnahmen betreffend der Informationssicherheit gestellt. Je nach Detailgrad der Antworten und erwarteten Ergebnistiefe fallen die Interviews entsprechend länger oder kürzer aus.
Aufgrund des ausgefüllten Fragenbogens, der gegebenen Antworten und Interviews werden die vorhandenen Informationen analysiert und ausgewertet. Zu den Ergebnissen gehören, wie eingangs erwähnt, die Risiken und vorgeschlagenen Massnahmen. Es gehören dazu aber auch eine Gap- und SWOT-Analyse sowie ein Spider-Diagramm.
Spider
Im Spider-Diagramm werden die verschiedenen Dimensionen des Reviews bewertet in ihrer Maturität. In dem Beispiel oben hatte der Kunde so gut wie keine Prozesse definiert, dafür aber, was die Sicherung seiner Webservices angeht, seine Massnahmen mehr als vorbildlich festgelegt.
Momentaufnahme
Ein Security Review ist natürlich erst einmal eine Momentaufnahme. Vielfach hilft diese als Ausgangspunkt und Grundlage, die weiteren Schritte zu planen. Sie kann unterstützen in der Entscheidungsfindung. Sie kann als Entscheidungsgrundlage genommen werden, um die in der Regel begrenzten Mittel risikogerecht für entsprechende Massnahmen wirksam einsetzen zu können. Reviews helfen auch, Verständnis zu schaffen in der Unternehmensleitung, um zusätzliche Mittel zu sprechen.
Gretchenfrage?
Nun sag’: Wo stehen Sie mit Ihrer Informationssicherheit? Gerne finden wir das mit Ihnen in einem Security Review heraus.
Weiterführende Links
El Fulano
El Fulano ist Senior Security Engineer bei AVANTEC und Spezialist für Informationssicherheit. Ihn interessieren neben Technik auch Management und Recht. Er mag Science Fiction und Sport. Am liebsten beschäftigt er sich mit Firewalls und Advanced Threat Prevention.