Datum: 06.06.2024
Ich habe unsere Security Experten gefragt, was der Cybersecuritiy Healthcheck eigentlich genau ist und was ihn zu einem so wichtigen Instrument für Unternehmen macht.
Daraus ist ein Interview geworden, das interessante Einblicke in das Vorgehen unseres Security Teams gibt. Dieses Interview war für mich als Laie ein guter Einstieg in die Welt der Informations- und Cybersicherheit, Penetrationtests und Audits. Als Interviewpartner habe ich mir Andreas Peter und Martin Frank ausgesucht. Beides Senior Berater mit sehr viel Erfahrung in der Informations- und Cybersicherheit.
Wenn Sie also auch genauer wissen möchten, was sich hinter dem Cybersecuritiy Healthcheck verbirgt, könnte dieses Interview interessant für Sie sein.
1. Was kann ich mir unter dem Cybersecurity Healthcheck der ACG Advisors vorstellen? Wie genau unterstützt ihr die Unternehmen und welche Hauptaspekte der Cybersicherheit werden durch den digitalen Healthcheck abgedeckt?
Auf Grundlage eines standardisierten Verfahrens, welches sich von etablierten Security Frameworks ableitet, wird das gesamte Unternehmen analysiert und bezüglich der Maturität bewertet, also interne Prozesse, HR, Riskmanagement, IT, Kommunikation und Datenschutz. So sind wir in der Lage sämtliche möglichen Schwachstellen festzustellen. Im Gegensatz zu vielen anderen Prüfverfahren liefern wir eine ganzheitliche Sicht, eine sogenannte 360° Rundumsicht, da wir nicht nur die Technologie, sondern auch noch die anderen beiden Säulen der Cybersicherheit, Menschen und Prozesse prüfen.
Zu Beginn gehen wir zunächst mit dem Kunden in den Dialog und analysieren seine genauen Bedürfnisse, dies ist das sogenannte Scoping. Hier wird festgelegt, welche Aspekte dem Kunden besonders wichtig sind und welchen Sicherheitsstandard er erreichen möchte. Unser Healthcheck Grundmodul deckt alle Bereiche eines Unternehmens ab, geht sozusagen in die Breite. Je nach Bedarf kann es durch weitere Module ergänzt werden, die in bestimmten Bereichen intensiver in die Tiefe gehen.
Ein paar Beispiele: Sollte ein Schwerpunkt des Kunden bei der Cloud liegen, werden wir das Thema Lieferanten und deren Prozessabläufe intensiv betrachten. Sind dem Kunden die internen Prozesse besonders wichtig, weil vielleicht eine ISO Zertifizierung ansteht, dann liegt unser Fokus eher auf der Organisation. Dann prüfen wir, ob eine Informationssicherheits-Policy existiert, wie die Strategie ist, ob interne Prozesse beschrieben sind und ob es Sicherheitsanforderungen für Hardware gibt.
Wir führen eine Standortbestimmung der Maturität der Informations- und Cybersicherheit durch. So ist der Kunde in der Lage zu sehen, wo genau sein Unternehmen steht. Darüber hinaus zeigen wir auf, welche Massnahmen erforderlich sind, um den gewünschten Sicherheitszustand zu erreichen.
2. Wie funktioniert der Prozess des Healthchecks in Unternehmen, und was muss der Kunde leisten? Wie gross ist der Aufwand für das Unternehmen?
Unsere Spezialisten eruieren in Gesprächen, wie im jeweiligen Unternehmen die Sicherheit gelebt wird. Anhand von Dokumentenstudium und verschiedenen technischen Verfahren wie Vulnerability Scan und Penetration Test erhalten wir ein Gesamtbild über den Zustand der Sicherheit des Unternehmens. Wir gehen dabei so vor, dass wir die Abläufe in der Organisation möglichst wenig stören.
Der Prozess beginnt mit einem Workshop beim Kunden, in dem festgelegt wird, wo die individuellen Schwerpunkte liegen und welche Personen aus dem Unternehmen zu welchen Bereichen interviewt werden sollen. Oft legt das Management hierfür einen Projektleiter fest, der uns als Koordinator unterstützt.
Wir liefern einen Zeitplan, nach dem wir Interviews mit den zuständigen Personen durchführen, Dokumente sichten und auf Wunsch gezielte Pentests und Schwachstellenscans durchführen. Pentests führen wir nur mit Genehmigung der Geschäftsleitung durch (Permission to attack) vor der Durchführung einer Sicherheitsüberprüfung, damit wir die Verfügbarkeit des Unternehmens nicht beeinträchtigen.
Nach Auswertung aller Tests erhält der Kunde einen Bericht über unsere Erkenntnisse sowie eine Empfehlung mit Massnahmen, die durchgeführt werden sollten, um den gewünschten Sicherheitsstandard zu erreichen.
Dieser Bericht wird mit dem Kunden besprochen und gemeinsam erfolgt eine Priorisierung, welche die Grundlage für den Massnahmenplan bildet. Der Kunde erhält eine Darstellung des Ist-Zustands sowie des GAP zum definierten Ziel. Ebenfalls wird herausgearbeitet, ob gegebenenfalls Investitionen notwendig und in welcher Reihenfolge sinnvoll sind.
3. Inwiefern unterscheidet sich unser Healthcheck von traditionellen Sicherheitsüberprüfungen, und warum ist er effektiver?
Die meisten Sicherheitsüberprüfungen sind auf die technischen Aspekte fokussiert. Unser Healthcheck ist umfassender, da wir die gesamte Organisation betrachten und die eingangs erwähnte 360° Rundumsicht ermöglichen.
Bei uns erhält der Kunde nicht nur eine Übersicht, welche Schwachstellen identifiziert wurden, sondern auch eine genaue Anleitung, wie er zu einer optimalen Lösung gelangt. Wir sehen uns als Trusted Advisor, nicht als Prüfer und wollen den Kunden durch den gesamten Prozess begleiten. Da wir unabhängig arbeiten, sind wir in der Lage unsere Kunden zu beraten, mit welchen Dienstleistern oder Technologien sie die Behebung der festgestellten Schwachstellen am besten angehen können. Hierfür arbeiten wir mit den besten Spezialisten auf dem jeweiligen Gebiet zusammen.
4. Welche Art von Erkenntnissen und Empfehlungen können Unternehmen aus dem Cybersecurity Healthcheck erwarten, und wie werden diese präsentiert, um eine einfache Umsetzung zu ermöglichen?
Unsere Standortbestimmung gibt dem Kunden einen genauen Überblick über den aktuellen Zustand und der gemeinsam erarbeitete Massnahmenplan zeigt die Verbesserungen auf. Wir liefern dem Management eine Argumentation für eventuell notwendige Investitionen, sei es in Anschaffungen, Ressourcen oder Weiterbildungen.
In einem Workshop wird zusammen mit dem Management die Umsetzung des Massnahmenplans besprochen und beschlossen. Die nächsten Schritte werden festgelegt, z. B. sind Schulungen und Weiterbildungen für die Mitarbeiter sinnvoll und wenn dann welche. Ist es eventuell notwendig neue Stellen zu besetzen.
Die Umsetzung der Massnahmen wird nicht in allen Bereichen von unseren Trusted Advisors selbst durchgeführt. Wir arbeiten mit den besten Spezialisten auf dem jeweiligen Gebiet zusammen, die ihr Thema sehr gut kennen. Wir fungieren dann als Vermittler und auch als Übersetzer für die zum Teil zu technisch aufbereiteten Einzelmassnahmen.
5. Wie wird der Healthcheck kontinuierlich verbessert, um den sich ständig wandelnden Bedrohungen gerecht zu werden?
Wir orientieren uns immer an den aktuellsten Standards der verschiedenen Security Frameworks und unsere Healthcheck Module werden kontinuierlich angepasst. Unser Team bildet sich permanent weiter und zertifiziert sich für die neuesten Information Security Standards.
6. Wie können Unternehmen den Healthcheck in ihren Betriebsablauf integrieren, und welche Vorteile bietet er für die langfristige Sicherheit?
Nach dem Umsetzungsprozess begleiten wir den Kunden gerne weiter, um die Nachhaltigkeit zu gewährleisten. Wir empfehlen Prüfungen, wie z. B. Schwachstellenscans in regelmässigen Abständen. Dies ist monatlich möglich, oder auch in Abständen von 6 oder 12 Monaten. Hierdurch erhält der Kunde ein gutes Bild, ob die festgelegten Ziele erreicht wurden und kann entsprechend reagieren, falls dem nicht so ist.
Durch die Sicherheitsüberprüfung in regelmässigen Abständen kann das Management einen kontinuierlichen Verbesserungsprozess (KVP) etablieren und wird dabei unterstützt immer zielgerichtet zu investieren. Zudem erleichtern sie eine Überprüfung, ob die bisher getätigten Investitionen richtig eingesetzt wurden (ROSI = return of security investment).
Ein weiterer Vorteil ist der messbare Sicherheitsstandard, den über kurz oder lang die meisten Firmen nachweisen müssen. Durch die zunehmende Regulierung, wie zum Beispiel die auf Europäischer Ebene geschaffene Richtlinie NIS2, wird es für die hochvernetzten Schweizer Unternehmen immer wichtiger Zertifizierungen wie die ISO27001 zu erwerben. Für diese bietet der Healthcheck einen sehr guten Ausgangspunkt.