Basischeck IT-Sicherheit

Mit der zunehmenden Komplexität der IT-Infrastruktur steigen auch die Anforderungen an die Verantwortlichen der Geschäftsleitungen und den IT-Abteilungen:

Sie müssen jederzeit den Gesamtüberblick behalten und den aktuellen Handlungsbedarf erkennen.

  • Doch welche Maßnahmen sind erforderlich?
  • Welche haben Priorität?
  • Wie weit geht die Sorgfaltspflicht und wo beginnt die Fahrlässigkeit?

Der Basischeck IT-Sicherheit gibt Verantwortlichen eine externe und allgemein verständliche Entscheidungsgrundlage für die Prioritäten in diesem wichtigen Bereich. Der Basischeck IT-Sicherheit dokumentiert den erreichten Stand und gibt Handlungsempfehlungen für die nächste Zeit.

Mit dem Basischeck IT-Sicherheit bietet NISS Network Information and Security Services:

  • Die Dokumentation des erreichten Sicherheitsniveaus
  • Vorschläge und Handlungsempfehlungen zur Verbesserung der IT-Sicherheit
  • Eine Management Summary des IST-ZUSTANDS und priorisierter Handlungsfelder

Dokumentation des Sicherheitsniveaus

Die Geschäftsführung trägt primär alleine die Verantwortung für die Umsetzung eines adäquaten Risikomanagements im Unternehmen und damit auch für die IT-Sicherheit. Ein externes Audit von unabhängigen Experten ist hilfreich, um die richtigen Schwerpunkte zu setzen. Durch die Dokumentation des bereits erreichten Sicherheitsniveaus erbringt ein solches Audit den Nachweis, dass die Geschäftsführung ihren Verpflichtungen zur IT-Sicherheit nachgekommen ist.

Mit der Umsetzung und Ausgestaltung der Maßnahmen kann die Geschäftsleitung Techniker und Sicherheitsbeauftragte betrauen. Dabei ist zu beachten, dass Sicherheit bei diesen Mitarbeitern oft nur einen Teilaspekt ihrer Tätigkeiten und Aufgaben umfasst und Interessenkonflikte zwischen Sicherheit und Betrieb deshalb oft schnell zugunsten des einfacheren Betriebes entschieden werden.

Das erforderliche Fachwissen zu IT-Sicherheitsfragen ist in vielen Unternehmen nicht vorhanden. Dennoch müssen in Projekten geeignete Sicherheitsmaßnahmen geplant, umgesetzt und betrieben werden.

Auch die Anwender müssen für IT-Sicherheitsthemen ausreichen sensibilisiert werden, um Gefahren zu erkennen und ihnen richtig zu begegnen. Nur das Zusammenspiel aller Maßnahmen gewährleistet einen ausreichenden Schutz auch gegen neuartige Angriffe.

Die Gesamtverantwortung für das Risikomanagement, das auch die IT-Sicherheit einschließen muss, verbleibt bei der Geschäftsleitung und betrifft damit auch die persönliche Haftung der Geschäftsführer.

Handlungsempfehlungen

NISS Network Information and Security Services bietet mit kompetenten Mitarbeitern einen schnellen und guten Weg um Defizite und Handlungsbedarfe in der IT-Sicherheit zu erkennen und geeignete Schritte einzuleiten.

Hierzu werden die umgesetzten Sicherheitsmaßnahmen in den relevanten Bereichen auf Basis von Checklisten erhoben, die NISS Network Information and Security Services aus der Praxiserfahrung bei zahlreichen Unternehmen und auf der Grundlage von anerkannten Standards wie dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder den ISO-Standards 17799 bzw. 27001 erstellt hat.

Dabei werden primär folgende 10 Bereiche untersucht:

  • Organisatorische Maßnahmen, Richtlinien und Verantwortlichkeiten
  • Berechtigungsvergabe
  • Datenschutz
  • Datensicherung
  • Virenschutz
  • eMail und Internetnutzung
  • Einrichtung und Betrieb der Firewallsysteme
  • Anbindung von Außenstellen, Heimarbeitsplätzen und mobilen Mitarbeitern
  • Sichere Konfiguration von Servern und PCs
  • Notfallvorsorge

Um die notwendigen Informationen zu erheben führt NISS Network Information and Security Services Gespräche mit den Verantwortlichen durch, wertet vorhandene Dokumente und Richtlinien aus und überprüft, wo erforderlich, Einstellungen direkt an den Systemen.

Die Informationen werden bewertet und mit einem definierten Soll-Zustand abgeglichen. Im Ergebnis werden Empfehlungen und Anregungen ausgesprochen, wo zusätzliche Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus erforderlich sind. Dabei steht die Umsetzung eines wirtschaftlichen und der individuellen Risikosituation angemessenen Schutzes im Vordergrund.

Management Summary

Ein Management Summary, das die wesentlichen Ergebnisse in einer verständlichen Form zusammenfasst und die Relevanz für das Unternehmen nachvollziehbar darstellt, ergänzt den technischen Abschlussbericht.

Vorgehen und Aufwand

Das von NISS Network Information and Security Services festsetzte Vorgehen beim Basischeck erlaubt es, kurzfristig ein gutes Gesamtbild des Ist-Zustands zu ermitteln. Bei einer mittleren Unternehmensgröße reichen ca. 12 Personentage für eine umfassende Analyse und Bewertung der Ergebnisse aus. Kleine einfache IT-Umgebungen lassen sich noch schneller bewerten.

Gerne erstellen wir Ihnen für Ihre IT-Umgebung ein individuelles Angebot.