4 minute read
IKT-Minimalstandard effizient umsetzen
Die Versorgung der Schweiz mit lebenswichtigen Gütern und Dienstleistungen ist ohne eine funktionierende Informations- und Kommunikationstechnologie (IKT) beinahe undenkbar. Jedoch ist die IKT in der heutigen Zeit zunehmend durch Cyberrisiken bedroht. Der auf dem NIST CSF basierende IKT-Minimalstandard hat zum Ziel, Unternehmen und Organisationen ein Hilfsmittel zur individuellen und risikobasierten Verbesserung ihrer Resilienz gegen Cyberbedrohungen an die Hand zu geben.
Der Einsatz von IKT-Systemen ist immer mit Risiken verbunden. Durch das Umsetzen adäquater Massnahmen lässt sich dieser Umstand jedoch auf ein tragbares Mass reduzieren. Besonders bei kritischen Infrastrukturen ist eine angemessene Resilienz der IKT-Systeme gegen Cyberbedrohungen von massgebender Bedeutung. Durch das Umsetzen des IKTMinimalstandard soll die Widerstandsfähigkeit gegen Angriffe auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Informationen nachhaltig erhöht werden.
Advertisement
auf dem international anerkannten NIST Cyber Security Framework Core (NIST CSF). Wo sinnvoll, wurde er durch weitere anerkannte Standards wie beispielsweise dem NIST Guide to Industrial Control Systems (ICS), ISO 2700x, NCSS Good Practice Guide von ENISA, COBIT oder dem BSI Standard 200-2 ergänzt. Der IKT-Minimalstandard ist explizit nicht als Konkurrenz zu bestehenden Standards zu verstehen, sondern ist mit diesen kompatibel bei bewusst reduziertem Umfang. Dadurch soll ein einfacher Einstieg in die Thematik ermöglicht und trotzdem ein hohes Schutzniveau gewährleistet werden. Die Basis zur Einführung des IKT-Minimalstandards bildet dabei eine GAP-Analyse gegen das Framework und die daraus resultierende Risikoanalyse.
IKT-SICHERHEITSSTRATEGIE– DEFENCE-IN-DEPTH Die IKT-Sicherheitsstrategie eines Unternehmens ist sinnvollerweise so auszurichten, dass die für die Geschäftsprozesse notwendigen und kritischen IKT-Systeme optimal geschützt werden. Dazu braucht es oft einen mehrschichtigen Ansatz, welcher unter dem Begriff «Defense-in-Depth» bekannt ist. Dieser folgt dem aus der militärischen Verteidigung bekannten Prinzip, dass es für einen Angreifer schwieriger ist, ein komplexes und mehrschichtiges Abwehrsystem zu
ÜBER INFOGUARD Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar/Zug und eine Niederlassung in Bern. Ihre über 150Sicherheitsexperten sorgen tagtäglich für die Cyber Security bei über 300Kunden in der Schweiz.
Patric Imhof, Senior Cyber Security Consulting, InfoGuard AG
überwinden als eine einzige Barriere. Ergänzend werden die Methoden und Vorgehensweisen von Cyberkriminellen beobachtet, um Abwehrdispositive entsprechend aufzubauen und auszurichten. So zielt das holistische Defense-in-Depth-Konzept darauf ab, Angriffe auf die Systeme frühzeitig zu erkennen, darauf zu reagieren um die Konsequenzen zu minimieren.
Im IKT-Minimalstandard werden dem Anwender gezielte Handlungsfelder zur Verbesserung der IKT-Resilienz aufgezeigt. Die vorgeschlagenen Massnahmen sind sowohl organisatorischer als auch technischer Natur. So umfassen sie konkrete Handlungsanweisungen wie beispielsweise die Erstellung eines vollständigen Inventars für Hard- und Software, Schulungen und Trainings von Mitarbeitenden, Vorgaben zum Datenschutz oder Massnahmen zur Früherkennung von Bedrohungen –um nur einige zu nennen. Durch den risikobasierten Ansatz ermöglicht der Standard die Umsetzung unterschiedlich strenger Schutzniveaus, angepasst an die Bedürfnisse der Organisation.
Dies alles im Griff zu behalten und gegenüber den Interessengruppen jederzeit Auskunft geben zu können, stellt für jeden Informationssicherheitsverantwortlichen eine grosse Herausforderung dar.
IKT-MINIMALSTANDARD IN DER PRAXIS UMSETZEN Die Grundlage für die Festlegung von Informationssicherheits- und Datenschutzmassnahmen bildet das ISDS-Konzept mit seiner Risikoanalyse. Es weist die bestehenden Restrisiken aus, die durch den Betrieb eines spezifischen IKT-Systems entstehen.
Informatiksicherheitsbeauftragte oder CISOs im Bundes(-nahen) Umfeld stehen vielfach vor der Herausforderung, geltende Informationssicherheitsweisungen und -verordnungen umzusetzen, diese regelmässig zu überprüfen und gegebenenfalls zu aktualisieren. Integrierende Dokumente wie die Schutzbedarfsanalyse (Schuban, P041) oder das Informationssicherheits- und Datenschutzkonzept (ISDS, P042), sind bei jeder Veränderung der betroffenen IKT-Schutzobjekte zeitnah neu zu erarbeiten oder nachzuführen. Ebenfalls ist die Einhaltung des IKT-Grundschutzes periodisch zu überprüfen und die Anpassung sicherzustellen.
Solche integralen Sicherheitsprozesse sind mit einem dezentralen Ansatz meist nur mit grossem personellem oder zeitlichem Aufwand umzusetzen –und somit folglich fast unmöglich. Ebenfalls fehlen konsolidierte Informationen, beispielsweise das Lagebild
IKT-TOOL VON INFOGUARD Das IKT-Tool von InfoGuard deckt vollständig die Anforderungen des IKT-Minimalstandards ab und unterstützt die HERMES-Projektmethodik. Schutzbedarfsanalysen, ISDS-Konzepte und Risikoanalysen können Schutzobjekt zentriert und gemäss den aktuell geltenden Prozessen erstellt werden. In der Grundversion ist die IKT-Anwendung ohne Anpassungen einsatzbereit. Dank der integrierten Workflows, der erweiterten Risikoanalyse sowie dem Echtzeit-Reporting, werden unnötige manuelle Aufwände vermieden und so die Maturität in den GRC-Disziplinen kontinuierlich verbessert.
oder die Risikodarstellung über die gesamte Verwaltungs- oder Organisationseinheit. Objektive Aussagen über die Gesamtsituation der Cybersicherheit im Unternehmen können nur gemacht werden, wenn ISDSKonzepte und Risikobewertungen sowie der IKT-Grundschutz aktiv bewirtschaftet und stets aktuell gehalten werden.
IKT-MINIMALSTANDARD IM GRIFF BEHALTEN Die Identifikation von Risiken, die Priorisierung des Handlungsbedarfs und die Nachverfolgung von Massnahmen, das Erstellen von konsolidierten Sicherheitsinformationen–all diese Herausforderungen sind auf die Dauer ohne Unterstützung von optimierten Prozessen, welche in spezialisierten und workflowbasierten IT-Anwendungen abgebildet sind, kaum zu bewältigen. Organisationen sollten sich daher über den Einsatz einer IKT-Plattform Gedanken machen, welche zentral die Überwachung, Messung und Steuerung der Anforderungen aus den ISDS-Konzepten sowie der daraus resultierenden Risiken und Massnahmen unterstützt und sicherstellt. Die Plattform befähigt den Sicherheitsverantwortlichen, eine organisationsweite und risikobewusste Kultur sowie den «Cyber-Security-BestPractices» entsprechende Massnahmen aufzubauen und in einer verständlichen Form allen Interessengruppen zugänglich zu machen.
Dies hilft Organisationen, bestehende und potenzielle Bedrohungen aus der Geschäftstätigkeit, dem Wachstum und der digitalen Transformation jederzeit zu erkennen und mit geeigneten und angepassten Massnahmen auf Basis des IKT-Minimalstandards gezielt zu minimieren.
WEITERE INFORMATIONEN Mehr über uns finden Sie unter www.infoguard.ch
