Umset­zung der Cyber Trust Aus­tria Sil­ber und Gold Label

Für die Errei­chung eines Cyber Trust Aus­tria Sil­ber oder Gold Labels müs­sen Sie alle 14 Anfor­de­run­gen B1 bis B14 erfül­len und zusätz­lich die 11 Anfor­de­run­gen A1 bis A11. Die A‑Anforderungen sind zum Teil auf­wen­di­ger in der Umset­zung und erfor­dern einen erhöh­ten kom­mer­zi­el­len Aufwand.

Mit unse­ren Pra­xis­tipps kön­nen Sie viel Zeit und Geld spa­ren, indem Sie die Anfor­de­run­gen beson­ders effi­zi­ent und kos­ten­spa­rend erfül­len*. Die Emp­feh­lun­gen rich­ten sich pri­mär an KMU Unternehmen.

Ein Tool zum Schwach­stel­len­scan­nen muss im Ein­satz sein und muss min­des­tens ein­mal pro Monat ver­wen­det werden.

Nut­zen Sie einen Vul­nerabi­li­ty-Scan­ner in Ihrem Unter­neh­mens­netz­werk und prü­fen Sie zumin­dest monat­lich alle Sys­te­me auf Schwach­stel­len. Der Vul­nerabi­li­ty-Scan muss authen­ti­siert durch­ge­führt wer­den, damit bei der Über­prü­fung alle erfor­der­li­chen Infor­ma­tio­nen ermit­telt und bewer­tet wer­den können.

Auch wenn es nicht kon­kret in der Anfor­de­rung steht, müs­sen Sie natür­lich die iden­ti­fi­zier­ten Schwach­stel­len ent­spre­chend Ihrer Infor­ma­ti­ons­si­cher­heits­richt­li­nie behe­ben oder mitigieren.

Wir nut­zen in unse­ren Pro­jek­ten eine kos­ten­güns­ti­ge Scan-Soft­ware, die auf einer VMware oder Hyper‑V vir­tu­el­len Maschi­ne gleich­zei­tig meh­re­re Netz­werk­seg­men­te prü­fen kann und kei­ne Ein­schrän­kung bei der Anzahl der IP-Adres­sen hat. Spre­chen Sie uns an, ger­ne ver­mit­teln wir eine Testlizenz.

Es gibt eine Poli­cy zur siche­ren Soft­ware-Ent­wick­lung, wel­che Sicher­heits­an­for­de­run­gen, Secu­re Coding Rules sowie ein Test­kon­zept umfasst. Für den Erwerb von Soft­ware gibt es eine Sicher­heits-Anfor­de­rungs­lis­te und einen Pro­zess zur Risi­ko­ana­ly­se des Anbieters.

Die in der Anfor­de­rung B1 erstell­te Richt­li­nie ent­hält (sofern Sie die SEC4YOU Vor­la­ge nut­zen) pas­sen­de Sicher­heits­vor­ha­ben für die Erstel­lung bzw. den Erwerb von Soft­ware. Die Infor­ma­ti­ons­si­cher­heits­richt­li­nie ent­hält auch eine Anfor­de­rungs­lis­te, spe­zi­ell auch für Cloud-Lösun­gen und eine Pro­zess­be­schrei­bung für die Risi­ko­be­wer­tung des Anbieters.

Zusätz­lich emp­feh­len wir unse­re Vor­la­ge Secu­re Coding Manu­al, das ele­men­ta­re Vor­ga­ben für Soft­ware-Ent­wick­ler in Bezug auf siche­re Soft­ware­ent­wick­lung und Release­tests bietet.

• Zumin­dest alle zwei Jah­re wer­den Pene­tra­ti­on Tests durch­ge­führt, wel­che die Angreif­bar­keit des Unter­neh­mens prüfen.
• Aus den gefun­de­nen Schwach­stel­len wer­den Maß­nah­men abge­lei­tet und umgesetzt.

Pla­nen Sie zumin­dest alle zwei Jah­re einen Pene­tra­ti­ons­test in Ihrem Netz­werk. Hier­bei reicht es nicht nur die exter­nen IT-Diens­te zu prü­fen, son­dern der Pen­Test muss die gesam­te Sys­tem­land­schaft inklu­si­ve der Anwen­dun­gen umfas­sen. Klei­nen Unter­neh­men mit gerin­ger Kom­ple­xi­tät der IT-Infra­struk­tur emp­feh­len wir einen Pen­Test mit 2–3 Tagen Auf­wand, mitt­le­ren Unter­neh­men mit kom­ple­xe­ren IT-Sys­te­men 5–10 Tage durch­zu­füh­ren. Ger­ne unter­stüt­zen wir mit einem pas­sen­den Angebot.

Alle gefun­den Schwach­stel­len müs­sen ent­spre­chend Ihrer Infor­ma­ti­ons­si­cher­heits­richt­li­nie in Abhän­gig­keit der Schwe­re der Schach­stel­le prio­ri­siert und dann beho­ben oder miti­giert werden.

Es muss min­des­tens ein Intru­si­on Detec­tion / Pre­ven­ti­on Sys­tem im Ein­satz sein, das ent­we­der über Base­lining-Ansatz oder über heu­ris­ti­sche Pro­zes­se bzw. Machi­ne Lear­ning Ver­dacht auf unau­to­ri­sier­te Akti­vi­tä­ten im Netz­werk iden­ti­fi­zie­ren kann.

Die Anfor­de­rung lässt sich am ein­fachs­ten mit einer Net­work-Detec­tion-and-Respon­se (NDR) Lösung rea­li­sie­ren. Hier­bei wer­den ent­spre­chen­de Netz­werk-Pro­bes oder Sen­so­ren im Netz­werk instal­liert, die auf­fäl­li­ge Akti­vi­tä­ten im Netz­werk erken­nen und in der Regel auch blo­ckie­ren kann.

Sofern Sie auf Ihren End­ge­rä­ten und wesent­li­chen Ser­vern eine Exten­ded-Detec­tion-and-Respon­se (XDR) Lösung instal­lie­ren kön­nen, ist das auch ein adäqua­ter Weg über Anoma­lien auf Sys­te­men und im Netz­werk zu erken­nen und dar­auf zu reagie­ren. Mit einem ent­spre­chen­den Upgrade Ihrer Malware/Antivirenlösung auf eine XDR Lösung kön­nen Sie die­se Anfor­de­rung erfüllen.

Die meis­ten Mal­wa­re/An­ti­vi­ren-Lösun­gen bie­ten eine White­lis­ting-Funk­ti­on für auto­ri­sier­te Pro­zes­se und Anwen­dun­gen. Den­noch ist die strik­te Kon­trol­le der Appli­ka­tio­nen auf Benut­ze­rIn­nen End­ge­rä­ten und Ser­vern ein nicht zu unter­schät­zen­der Anpas­sungs­auf­wand. Star­ten Sie das Pro­jekt früh­zei­tig, damit es ihr Cyber Trust Aus­tria Label nicht verzögert.

Ähn­lich wie bei der Anfor­de­rung B6, bei der es um Berech­ti­gungs­ma­nage­ment geht, müs­sen Sie für die Anfor­de­rung A6 Richt­li­ni­en für die Benut­zer­ver­wal­tung imple­men­tie­ren. Die in B1 erstell­ten Richt­li­ni­en (sofern Sie auf der SEC4YOU Vor­la­ge basie­ren) umfas­sen Vor­ga­ben für den voll­stän­dig Life-Cycle von Benut­zer­kon­ten, von der Anla­ge, Ände­rung z.B. bei Namens­än­de­rung und auch Vor­ga­ben beim Aus­tritt eines/einer Mit­ar­bei­te­rIn. Ohne ein zen­tra­les Benut­zer­ver­zeich­nis wie Micro­soft Acti­ve Direc­to­ry oder Azu­re Acti­ve Direc­to­ry oder ande­re ver­gleich­ba­re Diens­te wer­den Sie die Nach­voll­zieh­bar­keit nicht nur sehr schwer errei­chen. Ach­ten Sie dar­auf, dass die den Benut­zer­kon­ten immer ein­deu­ti­gen Per­so­nen zuge­wie­sen wer­den, das gilt auch für Admi­nis­tra­tor­kon­ten. Nur so kön­nen Sie sicher­stel­len, dass alle Ände­run­gen in der Benut­zer­ver­wal­tung und im Berech­ti­gungs­ma­nage­ment trans­pa­rent nach­voll­zieh­bar sind.

Soll­ten Sie IT-Zugän­ge bei Ihren Kun­den haben,  müs­sen Sie auch die­se Zugän­ge und Berech­ti­gun­gen doku­men­tie­ren und ein­deu­ti­gen Per­so­nen zuwei­sen. Sofern es mög­lich ist, tei­len Sie Kun­den­zu­gän­ge nicht auf meh­re­re Ihrer Mit­ar­bei­te­rIn auf, son­dern nut­zen Sie Jump-Hosts oder Pri­vi­le­ged Access Manage­ment (PAM) Lösun­gen für die Kun­den­zu­gän­ge. Sol­che Sys­te­me bie­ten eine kla­re Pro­to­kol­lie­rung wel­che Mit­ar­bei­te­rIn­nen auf Kun­den­sys­tem zuge­grif­fen haben und was in der Sit­zung geän­dert wurde.

Ohne die Ver­wal­tung von Zugän­gen zu Kundensystemen:

Sofern Sie Zugän­ge zu Kun­den­sys­te­men haben:

Ein SIEM Sys­tem ist ein zen­tra­ler Log-Ser­ver mit Ana­ly­se- und Alar­mie­rungs­funk­ti­on. Die Anfor­de­rung ist als Erwei­te­rung der Pro­to­kol­lie­rungs­an­for­de­rung aus B13 zu sehen. Es gibt zahl­rei­che sehr teu­re kom­mer­zi­el­le SIEM Pro­duk­te, eini­ge für den Betrieb im eige­nen Netz­werk, ande­re wer­den durch spe­zia­li­sier­te Dienst­leis­ter betrie­ben und wie­der ande­re wie Micro­soft Sen­ti­nel wer­den als Cloud-Lösung ange­bo­ten. Schnell gibt es auch in klei­ne­ren Unter­neh­men vie­le Giga­byte an sicher­heits­re­le­van­ten Pro­to­koll­da­ten pro Tag und die Kos­ten für eine SIEM Lösung stei­gen auf vie­le Tau­send Euro pro Monat.

Wie raten Kun­den die Ein­satz­kos­ten des Betrie­bes einer SIEM Lösung früh­zei­tig zu eva­lu­ie­ren, bevor Sie über­eilt ein ver­meint­lich güns­ti­ges Ein­stiegs­an­ge­bot mit Ihren Logs tes­ten. Im April 2023 hat SEC4YOU eine gro­ße Eva­lu­ie­rung unter­schied­li­cher Open Source SIEM Lösun­gen begon­nen, um die Tech­no­lo­gie auch in klei­ne­ren Kun­den­pro­jek­ten nutz­bar zu machen. Details zum Fort­schritt der SIEM Eva­lu­ie­rung und Ver­öf­fent­li­chun­gen zu den Ein­satz­emp­feh­lun­gen fin­den pos­ten wir in unse­rem SECURITY BLOG.

Dies ist mit Abstand die teu­ers­te Anfor­de­rung, da Sie ein Secu­ri­ty Ope­ra­ti­ons Team benö­ti­gen, dass Alar­me aus dem SIEM Sys­tem, von Ihrer Mal­wa­re-Pro­tec­tion, von Ihrem Schwach­stel­len-Scan­ner und ande­ren Über­wa­chungs­tools bear­bei­tet. Auch wenn nicht von einer 24x7 Über­wa­chung gespro­chen wird, kön­nen Sie eine sol­che Über­wa­chung nicht mit einer Per­son selbst durch­füh­ren. Wenn Sie selbst ein Secu­ri­ty Ope­ra­ti­ons Team auf­bau­en, benö­ti­gen Sie zumin­dest 2–3 Per­so­nen und eine Ruf­be­reit­schaft für die Wochen­en­den. Eine beson­de­re Her­aus­for­de­rung ist auch die nach­ge­wie­se­ne Qua­li­fi­ka­ti­on, dafür müs­sen Sie die Mit­ar­bei­te­rIn­nen regel­mä­ßig zu Exper­ten­schu­lun­gen sen­den, um auch dif­fi­zi­le Angrif­fe erken­nen zu können.

Alter­na­tiv kön­nen Sie die Über­wa­chung von Sicher­heits­er­eig­nis­sen auch an spe­zia­li­sier­te Dienst­leis­ter aus­la­gern, ent­we­der im Zuge der SIEM Aus­la­ge­rung oder als Erwei­te­rung einer End­point Detec­tion and Respon­se (EDR) oder Exten­ded Detec­tion and Respon­se (XDR) Lösung.

Nur sehr gro­ße Unter­neh­men kön­nen sich ein eige­nes Inci­dent Respon­se Team leis­ten. Bes­ser ist es Ver­trä­ge mit einem spe­zia­li­sier­ten Dienst­leis­ter abzu­schlie­ßen, der bei einem Sicher­heits­vor­fall ein Inci­dent Respon­se Team bereit­stellt, die IT-Foren­sik über­nimmt und ggfls. Ver­hand­lun­gen mit Erpres­sern führt. Die­se Maß­nah­me ist kei­ne Prä­ven­ti­on gegen Cyber­si­cher­heits­vor­fäl­le, son­dern aus­schließ­lich zur Scha­dens­mi­ni­mie­rung gedacht.

Unser Tipp ist der Abschluss einer Cyber­ver­si­che­rung, da die­se in der Regel die Bereit­stel­lung eines Inci­dent Respon­se und IT-Foren­sik Teams inklu­diert. Ger­ne hel­fen wir bei der Aus­wahl einer pas­sen­den Cyberversicherung.

Das Resi­li­en­z­kon­zept muss prä­ven­ti­ve und reak­ti­ve Maß­nah­men umfas­sen, um auf schwe­re Sicher­heits­vor­fäl­le reagie­ren zu kön­nen und somit Betriebs­kon­ti­nui­tät sicher­zu­stel­len. Schwer­wie­gen­de Sicher­heits­vor­fäl­le sind unter anderem:

• Aus­fall der Systeme,
• Schad­soft­ware-Befall (inkl. Kryp­to­lo­cker) sowie
• Data Leakage​
• Ziel­ge­rich­te­te Hack­ing­an­grif­fe (z.B. APTs)

Bei Betrieb kri­ti­scher Anwen­dun­gen in der Cloud müs­sen die­se Maß­nah­men und Tests vom Cloud-Betrei­ber nach­ge­wie­sen wer­den (z. B. über ISAE 3402-Berich­te). Tests müs­sen min­des­tens ein­mal jähr­lich durch­ge­führt und not­wen­di­ge Ver­bes­se­rungs­maß­nah­men umge­setzt werden.

Erstel­len Sie Ihren IT-Not­fall­plan auf Basis einer Busi­ness-Impact-Ana­ly­se für Ihre wesent­li­chen IT-Diens­te und legen Sie RTO und RPO fest. Füh­ren Sie dann ein Risi­ko-Assess­ment für Ihre wesent­li­chen IT-Diens­te durch und doku­men­tie­ren Sie die die schwer­wie­gen­den Risi­ken. Erstel­len Sie basie­rend auf den iden­ti­fi­zier­ten Risi­ken für alle wesent­li­chen IT-Diens­te jeweils ein doku­men­tier­tes Resi­li­en­z­kon­zept (in der Regel sind das Red­un­dan­zen, Backup/Restore Maß­nah­men, Not­be­triebs­pro­ze­du­ren und Wie­der­an­lauf­pla­nun­gen), um deren Betriebs­kon­ti­nui­tät sicher­zu­stel­len. Füh­ren Sie zu den Resi­li­en­z­kon­zep­ten jähr­li­che the­ma­tisch wech­seln­de Not­fall­übun­gen durch.

Sofern Sie wesent­li­che IT-Diens­te in der Cloud betrei­ben, ver­lan­gen Sie von Ihrem Cloud-Anbie­ter eben­falls Nach­wei­se für die Betriebs­kon­ti­nui­tät und zuge­hö­ri­ge Tests.

Es muss einen doku­men­tier­ten Pro­zess geben, wel­cher vor­ab und lau­fend sicher­stellt, dass kri­ti­sche Lie­fe­ran­ten ihre Risi­ken bezüg­lich Infor­ma­ti­ons­si­cher­heit und Busi­ness Con­ti­nui­ty Manage­ment adäquat managen.

Wie auch ande­re Nor­men wie die ISO 27001 oder VDA ISA / TISAX^® for­dert die Anfor­de­rung eine Infor­ma­ti­ons­si­cher­heits­be­wer­tung kri­ti­scher Lieferanten.

Die SEC4YOU beschäf­tigt sich seit Jah­ren mit dem The­ma Lie­fe­ran­ten­ma­nage­ment in zahl­rei­chen ISMS Zer­ti­fi­zie­rungs­pro­jek­ten unse­rer Kun­den und wir haben im Früh­jahr 2023 unse­ren gesam­ten Lie­fe­ran­ten­ma­nage­ment-Pro­zess im Leit­ar­ti­kel Lie­fe­ran­ten­be­wer­tung nach ISO 27001:2022 ver­öf­fent­licht. Hier zei­gen wir Kun­den wie sie Info­Sec rele­van­te (wesent­li­che) Lie­fe­ran­ten mit nur 5 Kon­troll­fra­gen iden­ti­fi­zie­ren kön­nen und legen dann pass­ge­naue Min­dest­an­for­de­run­gen für die­se Lie­fe­ran­ten fest. Der Ein­kauf soll die­se Bewer­tung für neue Lie­fe­ran­ten durch­füh­ren und jähr­lich die bestehen­den Bewer­tun­gen überprüfen.

*) Bit­te beach­ten Sie, dass unse­re Emp­feh­lun­gen nach bes­ten Wis­sen erho­ben wur­den, aber auf­grund von unter­schied­li­chen Rah­men­be­din­gun­gen in ein­zel­nen Unter­neh­men kei­nen Anspruch auf Voll­stän­dig­keit dar­stel­len können.