Wie sicher ist Ihr Unternehmen?

Häufig ist unklar, auf welchem Stand sich die IT-Sicherheit in der eigenen Organisation befindet. Doch zu wissen, wo gravierende Lücken klaffen, wo bei Gelegenheit nachgebessert werden sollte, oder wo bereits ausreichende Sicherheitsvorkehrungen vorhanden sind, ist entscheidend für einen effektiven Schutz und eine kosteneffiziente Absicherung.
Der Cyber-Sicherheits-Check, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem Berufsverband ISACA entwickelt wurde, bietet hierzu eine erste fundierte Einschätzungsmöglichkeit nach vorgegebenen Maßstäben. An Hand fester Kriterien werden im Rahmen des Checks verschiedene Faktoren organisatorischer und technischer Natur in Ihrem Unternehmen abgeprüft.

Was nützt mir ein Cyber-Sicherheits-Check?

Der Check dient der Einschätzung des Niveaus der Informationssicherheit im Unternehmen und stellt eine Grundlage hin zu einer besseren Absicherung gegenüber Bedrohungen dar. Durch ein Zertifikat können Sie darüber hinaus Dritten gegenüber nachweisen, dass Sie die Thematik der IT-Sicherheit aktiv angehen und sich gegenüber Cyber-Bedrohungen absichern. Bei der Durchführung eines Cyber-Sicherheits-Checks profitieren Sie von

• der Erfassung und Visualisierung der individuellen Bedrohungs- bzw. Risikolage (Cyber-Sicherheits-Exposition)
• einem ausführlichen, 3-teiligen Beurteilungsbericht mit den festgestellten Sachverhalten
• inklusive einer detaillierten Auswertung relevanter Einzelaspekte (Maßnahmenziele)
• ergänzende Hinweise und Vorschläge zur schnellen Beseitigung schwerwiegender Sicherheitsmängel
• einem Zertifikat, das der Cyber-Versicherung und Kunden sowie Geschäftspartnern vorgelegt oder veröffentlicht werden kann

Wie läuft der Cyber-Sicherheits-Check ab?

Der Cyber-Sicherheits-Check (CSC) dauert je nach Prüfumfang und Unternehmensgröße erfahrungsgemäß zwischen zwei und fünf Tagen. Das Vorgehen gliedert sich wie folgt:

1. Auftragserteilung
   Der CSC wird formell beauftragt und kann jederzeit ohne besondere Voraussetzungen initiiert werden. Fichtel IT sichert absolute Vertraulichkeit bezüglich sämtlicher Informationen zu, die im Rahmen des Checks erlangt werden.
2. Bestimmung der Cyber-Sicherheits-Exposition
   Durch Kurzinterviews und Checklisten wird die Risikolage der zu beurteilenden Institution erfasst. Die Ergebnisse werden dokumentiert und dienen der Planung des eigentlichen Checks, der entsprechende Schwerpunkte umfasst und im Zeitumfang flexibel anpassbar ist.
3. Dokumentensichtung
   Es folgt eine grobe Sichtung von Dokumenten, aus denen die Aufgaben der Organisation, Strukturen und IT-Infrastrukturen hervorgehen. Ziel ist es - auch durch ergänzende Gespräche - Schwachstellen und kritische Bereiche festzustellen, die besonders risikoreich sind und Schwerpunkte des Checks darstellen.
4. Vor-Ort-Beurteilung
   Die Beurteilung vor Ort ist der Kernpunkt des CSC. Durch Interviews, Dokumentensichtung, Datenanalyse, Inaugenscheinnahme von IT-Systemen und Anwendungen oder auch durch schriftliche Befragungen werden relevante Sachverhalte festgestellt und dokumentiert. Die Vor-Ort-Beurteilung beginnt mit einem Eröffnungsgespräch und endet mit einem kurzen Abschlussgespräch, bei dem bereits eine erste allgemeine Einschätzung abgegeben werden kann. Die Vor-Ort-Beurteilung kann sich auch über zwei Tage erstrecken.
5. Nachbereitung / Berichterstellung
   Den ausführlichen Bericht mit der Darlegung der Cyber-Sicherheits-Exposition sowie den insbesondere im Rahmen der Vor-Ort-Beurteilung getroffenen Feststellungen zusammen mit den einzelnen Beurteilungsergebnissen (Maßnahmenziele) erhalten Sie wenige Tage später. Der Bericht enthält ergänzende Hinweisen und Vorschläge zur Behandlung festgestellter Mängel. An Hand eines Ampelsystems können Sie schnell nachvollziehen an welchen Stellen Handlungsbedarf besteht.