DIN SPEC 27076 - IT-Sicherheitsberatung für Klein- und Kleinstunternehmen

Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen eine grosse Herausforderung bzw. bedeuten einen riesigen Aufwand zur Umsetzung.  

© Storyblocks, Registriert auf Andreas Wisler

Um auch KMUs zu unterstützen, wurde ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Insgesamt waren fast 20 Partner beteiligt. Das Ergebnis ist die DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und der darauf basierende CyberRisikoCheck. Durch diesen können KMUs bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen standardisiert. Dadurch wissen sowohl Auftraggeber als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist.

Beim CyberRisikoCheck befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt. Für die Antworten werden Punkte vergeben. Als Ergebnis erhält das Unternehmen einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält. Die Handlungsempfehlungen sind nach Dringlichkeit gegliedert. Gleichzeitig sensibilisiert der IT-Dienstleister das Unternehmen zu gängigen Gefahren. Wichtig zu beachten ist, dass der CyberRiskoCheck keine IT-Sicherheitszertifizierung ist. Er ermöglicht einem Unternehmen jedoch eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Massnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.

Schauen wir etwas genauer in den Check hinein:

Das Kapitel 4 definiert die Ziele (Ermittlung des IST-Zustandes, Unterbreitung von Handlungsempfehlungen, Sensibilisierung) und Grundsätze (Objektiv, nach bestem Wissen und Gewissen, keine Täuschung von Dritten, Unterschrift zur Bestätigung) sowie die Angemessenheit der Informationssicherheit.

Im Kapitel 5 werden die Anforderungen an die durchführenden IT-Dienstleister definiert. Der Berater muss über mindestens ein Jahr Erfahrung in der Durchführung von IT-Sicherheitsberatungen/Audits, mindestens drei Referenzprojekte bei KMUs und das methodische Wissen verfügen.

Das Kapitel 6 beschreibt ausführlich die Durchführung der IT-Sicherheitsberatung. Diese erfolgt in vier Schritten:

  1. Erstinformation des zu beratenden Unternehmens
  2. Durchführung des Gespräches zur Erhebung des IST-Zustandes
  3. Auswertung der Erhebungsdaten und Erstellung des Ergebnisberichts
  4. Präsentation des Ergebnisberichts und Hinweis auf umzusetzende Handlungsempfehlungen

Die Erstinformation enthält die folgenden Aspekte: Ablauf, zeitlicher und personeller Aufwand, die am Prozess notwendigen Personen (insbesondere die Geschäftsleitung), die groben Themenbereiche sowie die Kosten.

Das Erstgespräch muss mindestens drei Stunden dauern. Es darf sowohl als Präsenztermin oder Online durchgeführt werden. Die Norm verlangt, dass die gesamte Geschäftsführung, falls vorhanden die für die IT- und Informationssicherheit zuständige Person und falls externe Dienstleister involviert sich auch diese, daran teilnehmen. Das Unternehmen muss bei diesem Gespräch die folgenden Dokumente, falls vorhanden, zur Verfügung stellen:

  • Backup-Konzepte;
  • Sicherheitsrichtlinien;
  • Vertraulichkeitserklärungen;
  • Betriebsanweisungen für die IT;
  • Notfallpläne;
  • Rollenkonzepte;
  • Zugriffs- und Zutrittsrechte;
  • Übersicht über die hauptsächlich genutzte Hard- und Software.

Im Gespräch gilt es festzustellen, ob die Anforderungen erfüllt sind oder nicht. Das Gespräch darf keine beratenden Anteile besitzen. Im Gespräch darf der Dienstleister dem befragten Unternehmen gegenüber nicht zu erkennen geben, ob eine Anforderung erfüllt wurde oder nicht. Dies könnte sehr schnell zu einem Beratungsgespräch führen.

Bei der Auswertung wird ein Risiko-Status errechnet. Jede der TOP-Anforderungen erhält bei Erfüllung 3 Punkte, ansonsten bei Nicht-Erfüllung −3 Punkte. Jede der regulären Anforderungen erhält bei Erfüllung 1 Punkt, sonst 0 Punkte. Anforderungen müssen entweder als „erfüllt" oder „nicht erfüllt" bewertet werden. Eine Bewertung dazwischen, wie z. B. „in Teilen erfüllt", darf nicht vorgenommen werden. Auch wenn rein rechnerisch ein negatives Total herauskommen könnte, ist der tiefste Wert 0.

Im Standard sind auch die Anforderungen an den Bericht haargenau beschrieben. Der Bericht sollte eine Länge von maximal 2 DIN-A4-Seiten umfassen. Der Inhalt der beiden Seiten ist in der Norm festgehalten. Auf der ersten Seite wird unter anderem das Ergebnis ausgewiesen. Die zweite Seite muss zunächst die zu priorisierenden TOP-Handlungsempfehlungen und dann die weiteren ermittelten Handlungsempfehlungen in Listenform darstellen. Auch der Abschlusssatz ist definiert, inkl. der Zusicherung, dass der vorliegende Bericht nach bestem Wissen und Gewissen erstellt wurde. Danach folgt der Anhang des Berichts. Format, Schriftgrösse und Inhalt sind ebenfalls durch die Norm vorgegeben. Diese Vorgaben helfen, Berichte miteinander zu vergleichen.

Den Abschluss macht die Präsentation der Ergebnisse und Handlungsempfehlungen. Sie enthält eine detaillierte Erläuterung des Ergebnisses, Erklärung der priorisierten und weiteren Handlungsempfehlungen, die gängigsten Gefahren sowie das Aufzeigen von Möglichkeiten zur weiteren Förderung der IT- und Informationssicherheit.

Zusammenfassend ist die DIN SPEC 27076 eine geeignete Möglichkeit für KMUs, schnell eine Übersicht über die Informationssicherheit zu bekommen. Der Bericht zeigt auf, was gut gelöst wurde und wo noch Schwächen bestehen. In der Folge können diese durch das Unternehmen in Angriff und geschlossen werden.

Die DIN SPEC 27076 kann kostenlos unter https://www.beuth.de/de/technische-regel/din-spec-27076/365252629 heruntergeladen werden. Vorgängig ist eine Registrierung notwendig.

Anforderungen:

  • Die Geschäftsführung muss die Gesamtverantwortung für die Informationssicherheit im Unternehmen tragen. (TOP)
  • Die Geschäftsführung muss – sofern sie sich nicht alleine um die IT kümmert – eine verantwortliche Person benennen können.
  • Die Geschäftsführung muss dafür sorgen, dass die für IT- und Informationssicherheit beauftragte Person für die Wahrnehmung ihrer Aufgaben über die notwendigen Kapazitäten verfügt.
  • Die Geschäftsführung muss dafür Sorge tragen, dass die beauftragte Person über relevante Kenntnisse im Bereich der Informationssicherheit verfügt.
  • Es muss ein Notfallkontakt für unregelmässige oder ungewöhnliche Vorkommnisse (im IT-System, Telefonanrufe, verdächtige E-Mail-Nachrichten usw.) zur Verfügung stehen. Dies gilt auch für den Verlust von IT-Arbeitsgeräten und Datenträgern.
  • Im Falle eines Sicherheitsvorfalles muss jedem Beschäftigten klar sein, wie er sich zu verhalten hat und wem er was und wann melden muss (Notfallplan)
  • Es muss – wenn es nicht die Geschäftsleitung selbst vornimmt – eine verantwortliche Person benannt werden, die dafür Sorge trägt, dass allen Beschäftigten klar ist, wie sie sich bei einem IT-Notfall zu verhalten haben.
  • Alle Unternehmensangehörigen, die die Unternehmens-IT nutzen, müssen mit der IT und dem Netzwerk sicher umgehen und verdächtige Vorkommnisse und Nachrichten (z. B. Phishingmails) identifizieren können. Hierfür bedarf es Einweisungen, Schulungen und Sensibilisierungsmassnahmen. (TOP)
  • Externe Personen (z. B. externe Dienstleister) müssen mit der IT und dem Netzwerk – wie
  • Firmenangehörige auch – sicher umgehen können. Hierfür müssen sie entsprechend eingewiesen, geschult oder sensibilisiert worden sein.
  • Es müssen interne Regelungen zur Vertraulichkeit formuliert sein.
  • Externe Personen (z. B. externe Dienstleister) müssen schriftlich verpflichtet werden, interne Regeln der Vertraulichkeit einzuhalten.
  • Es muss eine Richtlinie existieren, die die Sicherheitsmassnahmen im Homeoffice und beim mobilen Arbeiten festlegt.
  • Die Richtlinie muss vom Beschäftigten unterschrieben ans Unternehmen zurückgegeben werden.
  • Eine Kopie der Richtlinie muss beim Beschäftigten verbleiben.
  • Die Richtlinie muss auf Aktualität überprüft werden.
  • Es muss sichergestellt sein, dass nur berechtigte Personen Zutritt zu den Räumlichkeiten des Unternehmens haben.
  • Jeder Beschäftigte darf nur Zugriff auf Daten, Ordner, Anwendungen und Netzwerkbereiche haben, für die er zuständig ist.
  • Alle Beschäftigten müssen angewiesen werden, für jedes Benutzerkonto ein individuelles Passwort zu benutzen.
  • Verwendete Passwörter müssen möglichst lang und komplex sein.
  • Sofern eine 2-Faktor-Authentifizierung von der verwendeten Software bzw. von Cloud-Dienstleistern angeboten wird, muss sie benutzt werden.
  • Datensicherungen müssen in bestimmten Intervallen (branchenabhängig) durchgeführt werden. (TOP)
  • Die Datensicherung muss vor unbefugtem Zugriff gesichert werden.
  • Es muss festgelegt werden, wie die Daten gesichert werden.
  • Es muss eine Zuständigkeit festgelegt werden, wer die Daten sichert.
  • Die Datensicherung muss auf externen Speichermedien abgelegt werden.
  • Es muss getestet werden, ob extern gesicherte Daten funktionsfähig und vollständig vorhanden sind.
  • Die Testung der externen Datensicherung auf Funktionsfähigkeit und Vollständigkeit muss in sinnvollen Abständen erfolgen.
  • Updates für IT-Systeme und Software müssen installiert werden. (TOP)
  • Updates müssen unverzüglich nach ihrer Veröffentlichung installiert werden.
  • Es muss festgelegt werden, wer die Updates installiert.
  • Hardware, relevante Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen identifiziert werden.
  • Hardware, relevante Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen ausgemustert werden.
  • IT-Geräte wie beispielsweise Server, Arbeitsplatzrechner, Notebooks oder Smartphones müssen mit einem Schutz vor Schadsoftware ausgestattet sein.
  • Software darf nur von vertrauenswürdigen Quellen bezogen werden.
  • Nur IT-verantwortliche Personen dürfen Software installieren.
  • Das Ausführen von aktiven Inhalten oder Makros (z. B. in Tabellenkalkulationsprogrammen) muss standardmässig deaktiviert sein. (TOP)
  • Nur in begründeten Ausnahmefällen ist das Aktivieren von Makros erlaubt. Makros müssen dann von einer autorisierten Person aktiviert werden.
  • Eine Firewall muss installiert werden.
  • Um ein Netzwerk mit einer Firewall zu schützen, muss sie so konfiguriert sein, dass nur erforderliche Dienste zugelassen sind.
  • Es muss eine Person bestimmt werden, die über die Konfiguration der Firewall (Firewall-Regeln) entscheidet.
  • Alle Computer, Laptops, Tablets oder Smartphones müssen passwortgeschützt sein.
  • Beim mobilen Arbeiten oder im Homeoffice müssen Beschäftigte eine verschlüsselte Verbindung (VPN) nutzen, um auf das Firmennetzwerk zuzugreifen.
  • Das WLAN muss nach aktuellen Standards verschlüsselt sein.
  • Das WLAN muss mit einem komplexen Passwort (mindestens 20 Zeichen) geschützt werden.
  • Sofern Gäste oder Mitarbeiter mit privater Hardware über WLAN ins Internet gehen, muss hierfür ein gesondertes, vom Firmennetzwerk getrenntes, verschlüsseltes und passwortgeschütztes WLAN eingerichtet sein.
  • Es muss geregelt werden, unter welchen Bedingungen und zu welchem Zeitpunkt eine Fernwartung der IT-Systeme des Unternehmens erfolgt.
  • Fernwartungen müssen immer verschlüsselt sein.
  • Sämtliche IT-Komponenten müssen vor Elementarschäden geschützt werden.
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

TISAX 6 ist da – Anforderungen an die Automobilind...
Bewertung von Sicherheitslücken

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Freitag, 11. Oktober 2024

Captcha Image