Effi­zi­en­te Umset­zung der Cyber Trust Aus­tria Label

Unter­neh­men, die vom KSV eine Auf­for­de­rung erhal­ten ein Cyber Trust Aus­tria Label nach­zu­wei­sen, oder die­ses Label aus eige­nem Inter­es­se anstre­ben, sind mit einer Rei­he von Anfor­de­run­gen an die eige­ne Infor­ma­ti­ons­si­cher­heit kon­fron­tiert. Die fol­gen­den Umset­zungs­emp­feh­lun­gen der 14 Anfor­de­run­gen rich­ten sich pri­mär an KMUs und sind in der Regel in weni­gen Tagen umsetzbar*.

Die Infor­ma­ti­ons­si­cher­heits­richt­li­nie muss die wesent­li­chen Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit abde­cken (alle Kern­the­men müs­sen — sofern sie anwend­bar sind — in die­ser Richt­li­nie beschrie­ben wer­den) und soll­te auf ein bestehen­des Regel­werk auf­bau­en (zB. ISO 27002, NIST 800, IT Grund­schutz, IT-Sicher­heits­hand­buch der WKO, u.ä.). Die Richt­li­nie muss von der Geschäfts­füh­rung frei­ge­ge­ben und für Mit­ar­bei­ter ver­füg­bar sein.

Nut­zen Sie eine Vor­la­ge wie die Infor­ma­ti­ons­si­cher­heits-Richt­li­ni­en und die Benut­ze­rIn­nen-Richt­li­nie der SEC4YOU und pas­sen Sie die Vor­la­ge für Ihr Unter­neh­men an. Geben Sie die Richt­li­ni­en frei und ver­öf­fent­li­chen die­se im Unternehmen.

Die Schu­lung muss die Inhal­te der Infor­ma­ti­ons­si­cher­heits­richt­li­nie umfas­sen und auf aktu­el­le Bedro­hun­gen ein­ge­hen. Die Inhal­te müs­sen zumin­dest fol­gen­de The­men umfassen:

• Siche­rer Umgang mit Com­pu­tern und Informationen
• Pass­wör­ter rich­tig aus­wäh­len und verwalten
• Sicher im Internet
• E‑Mails, Spam und Phishing
• Gefähr­li­che Schadprogramme
• Ver­hal­ten und Vor­ge­hen bei Ver­dacht auf IT Sicherheitsvorfall

Eine voll­stän­di­ge Schu­lung muss zumin­dest beim Ein­tritt statt­fin­den und aktua­li­sier­te Infor­ma­ti­on muss zumin­dest alle zwei Jah­re kom­mu­ni­ziert werden.

Nichts leich­ter als das! Erstel­len Sie eine Schu­lungs­prä­sen­ta­ti­on mit den Inhal­te der Benut­ze­rIn­nen-Richt­li­nie. Schu­len Sie Ihre Mit­ar­bei­ter in einer Online-Schu­lung und erstel­len Sie eine Video-Auf­zeich­nung der Online-Schu­lung. Neue Mit­ar­bei­te­rIn­nen und Mit­ar­bei­te­rIn­nen, wel­che die Schu­lung ver­passt haben, müs­sen sich das Video anse­hen. Doku­men­tie­ren Sie die Teil­nah­me Ihrer Mit­ar­bei­te­rIn­nen an der Schu­lung im Personalbereich.

Wie­der­ho­len Sie eine aktua­li­sier­te Schu­lung jähr­lich, zumin­dest aber alle 2 Jahre.

Es muss zumin­dest eine nament­lich benann­te Per­son geben, die für das The­ma Infor­ma­ti­ons­si­cher­heit zustän­dig ist, d.h. die Richt­li­nie erstellt und sich um die Umset­zung der Maß­nah­men küm­mert und dafür die not­wen­di­ge Zeit zur Ver­fü­gung gestellt bekommt. Die­se Per­son muss das not­wen­di­ge fach­li­che Grund­wis­sen zu den The­men haben. Die­se Tätig­keit kann neben ande­ren Tätig­kei­ten aus­ge­übt wer­den oder auch von Exter­nen im Auf­trag des Unter­neh­mens wahr­ge­nom­men werden.

Ernen­nen Sie eine Per­son im Unter­neh­men zum Infor­ma­ti­ons­si­cher­heits­ver­ant­wort­li­chen oder CISO. Es gibt zahl­rei­che Kur­se und Fach­li­te­ra­tur zur ISO 27001, ver­pflich­ten Sie den/die Mit­ar­bei­te­rIn zur Wei­ter­bil­dung. Soll­ten Sie kei­ne pas­sen­de Per­son im Unter­neh­men haben, beauf­tra­gen Sie einen CISO-as-a-Ser­vice / vir­tu­el­len CISO. Ger­ne bie­ten wir ein ent­spre­chen­des Dienst­leis­tungs­kon­tin­gent an.

Es muss ein Ver­zeich­nis aller ver­wen­de­ten Sys­te­me geben. Die­ses Ver­zeich­nis muss zumin­dest Name und Ver­si­on des Sys­tems ent­hal­ten und den dafür Verantwortlichen.

Klei­ne Unter­neh­men kön­nen Ihre IT-Assets manu­ell in Excel erfas­sen, bei grö­ße­ren Unter­neh­men emp­fehlt sich eine Tool-gestütz­te Inven­ta­ri­sie­rung zur Erfül­lung die­ser Cyber Trust Aus­tria Anfor­de­rung. Erfas­sen Sie neben den phy­si­schen und vir­tu­el­len Ser­vern auch alle End­ge­rä­te sowie Netz­werk­ge­rä­te. Zu jedem IT-Asset defi­nie­ren Sie einen Ver­ant­wort­li­chen und ver­ges­sen Sie nicht den Ver­ant­wort­li­chen Ihre Sys­tem­ver­ant­wort­lich­keit mitzuteilen.

• Sowohl der Zugang zu den Anwen­dun­gen als auch zu den Datei­sys­te­men muss regle­men­tiert sein und über kor­rekt gesetz­te Berech­ti­gun­gen sicher­ge­stellt wer­den, dass nur die Per­so­nen zugrei­fen kön­nen, die auf­grund ihres Job­pro­fils einen Bedarf dafür haben.
• Es gibt eine Vor­ge­hens­wei­se zur Ver­ga­be und Ent­zug von Berechtigungen.

Erstel­len Sie Benut­zer­grup­pen basie­rend auf Ihren Abtei­lun­gen für den Zugang zu Anwen­dun­gen und den Datei­sys­te­men (natür­lich auch für Cloud-Spei­cher wie Share­Point). Berech­ti­gen Sie kei­ne Benut­ze­rIn­nen direkt auf Anwen­dun­gen und Datei­sys­te­me, son­dern immer nur auf Benut­zer­grup­pen. Beach­ten Sie dabei stets das Need-to-Know-Prin­zip.

Erstel­len Sie einen ein­fa­chen Pro­zess für die Zuwei­sung von Benut­ze­rIn­nen in die Benut­zer­grup­pen. In dem Pro­zess sol­len die Abtei­lungs­lei­te­rIn­nen bestim­men, ob eine Per­son in die Benut­zer­grup­pen der jewei­li­gen Abtei­lung auf­ge­nom­men wird. Quar­tals­wei­se prü­fen die Abtei­lungs­lei­te­rIn­nen die Benut­zer­grup­pen der eige­nen Abteilung.

Es muss klar beschrie­be­ne Min­dest­kri­te­ri­en für Pass­wör­ter geben, die die Emp­feh­lun­gen aktu­el­ler Stan­dards umset­zen (Pass­wort­stär­ke, Zwei­fak­tor-Authen­ti­fi­zie­rung wo not­wen­dig und sinn­voll, Tren­nung Pass­wor­te, etc.). Refe­renz: BSI, NIST 800, etc.

Die Infor­ma­ti­ons­si­cher­heits-Richt­li­ni­en aus B1 beinhal­ten die Min­dest­kri­te­ri­en für Pass­wör­ter und Zwei-Fak­tor-Authen­ti­sie­rung. Wäh­len Sie nur Sys­te­me aus, bei denen Sie die Pass­wort­vor­ga­ben an zen­tra­ler Stel­le kon­fi­gu­rie­ren kön­nen. Zumin­dest für alle exter­nen Diens­te – natür­lich inkl. Cloud-Diens­te wie Micro­soft 365 – akti­vie­ren Sie eine Zwei-Faktoren-Authentisierung.

Für Anwen­dun­gen, bei denen Sie kei­ne Pass­wort­min­dest­kri­te­ri­en vor­ge­ben kön­nen, schu­len Sie ihre MitarbeiterInnen.

Es muss ein Doku­ment geben, dass die Anfor­de­run­gen an die siche­re Kon­fi­gu­ra­ti­on der ein­ge­setz­ten Sys­te­me beschreibt. Ver­wei­se auf Her­stel­ler­emp­feh­lun­gen sind aus­rei­chend. Die­se Ein­stel­lun­gen müs­sen auch auf allen ver­wen­de­ten Gerä­ten — soweit tech­nisch mög­lich — tat­säch­lich umge­setzt sein. Alter­na­tiv wird ein Abnah­me­scan vor Inbe­trieb­nah­me durchgeführt.

Erhe­ben Sie die Kon­fi­gu­ra­ti­on aller ein­ge­setz­ten Sys­te­me und ver­glei­chen Sie die Kon­fi­gu­ra­tio­nen mit Ihren Infor­ma­ti­ons­si­cher­heits-Richt­li­ni­en aus B1 sowie den Her­stel­ler­emp­feh­lun­gen und den gewähl­ten Min­dest­stan­dards. Sofern es Abwei­chun­gen gibt, opti­mie­ren Sie die Sys­tem­kon­fi­gu­ra­tio­nen und doku­men­tie­ren die­se. Kon­fi­gu­ra­ti­ons­emp­feh­lun­gen für Sys­te­me fin­den Sie auch in den IT-Grund­schutz-Bau­stei­nen beim deut­schen BSI im Kapi­tel SYS: IT-Sys­te­me, oder in den vom Cen­ter for Inter­net Secu­ri­ty (CIS) ver­öf­fent­lich­ten Bench­marks (https://www.cisecurity.org/cis-benchmarks).

Spe­zia­li­sier­te Dienst­leis­ter wie auch die SEC4YOU nut­zen Schwach­stel­len-Scan­ner, um unsi­che­re Kon­fi­gu­ra­tio­nen im gesam­ten Netz­werk zu erkennen.

Indi­vi­du­al­soft­ware (zB. ange­pass­te Open Source Soft­ware, aber nicht Stan­dard­soft­ware), die aus dem Inter­net erreich­bar ist, muss zumin­dest vor Inbe­trieb­nah­me durch einen Pene­tra­ti­on Test auf Schwach­stel­len geprüft werden.

SEC4YOU bie­tet hier­für Pene­tra­ti­ons­tests oder erwei­ter­te Secu­ri­ty-Scans für Ihre exter­nen Anwen­dun­gen. Die Anfor­de­rung B8 gilt nicht für Stan­dard­diens­te wie eine Word­Press Web­sei­te oder eine Next­cloud Instanz.

• Regel­mä­ßi­ge Aktua­li­sie­rung der Sys­te­me mit Updates, die vom Her­stel­ler zur Ver­fü­gung gestellt wer­den. Kein Sys­tem­up­date darf län­ger als ein Quar­tal über­fäl­lig sein (außer es gibt einen doku­men­tier­ten Grund, war­um ein Update nicht ein­ge­setzt wer­den kann)
• Sys­te­me, die nicht mehr vom Her­stel­ler mit Sicher­heits­up­dates ver­sorgt wer­den, wer­den recht­zei­tig außer Betrieb genom­men bzw. es gibt defi­nier­te Aus­nah­me­pro­zes­se inklu­si­ve einer Abweichungsliste.

Über­wa­chen Sie die Ver­sio­nen der ein­ge­setz­ten Sys­te­me und prü­fen Sie regel­mä­ßig, ob es Sicher­heits­up­dates gibt. Instal­lie­ren Sie die Sicher­heits­up­dates mög­lichst zeit­na­he auf allen Sys­te­men. Vie­le Inven­tur-Tools unter­stüt­zen auch bei der kon­ti­nu­ier­li­chen Soft­ware-Inven­tur und kön­nen für die Soft­ware­ver­tei­lung genutzt werden.

Ach­ten Sie auf End-of-Life Ankün­di­gun­gen bei den von Ihnen ein­ge­setz­ten Sys­te­men. Pla­nen Sie recht­zei­tig eine Migra­ti­on von ver­al­te­ten Sys­te­men, oder iso­lie­ren Sie die­se in Ihrem Netzwerk.

Es ist eine Netz­werk-Seg­men­tie­rungs­ein­rich­tung (zB. Fire­wall, Rou­ter, etc.) im Ein­satz, wel­che auf Basis mög­lichst restrik­tiv gesetz­ter Regeln den Netz­werk­ver­kehr mit dem Inter­net filtert.

Sofern Sie eige­ne Diens­te im Unter­neh­men betrei­ben, benö­ti­gen Sie eine Fire­wall zum Schutz Ihres Unter­neh­mens­netz­wer­kes. Kon­fi­gu­rie­ren Sie Ihre Fire­wall klar struk­tu­riert und erlau­ben Sie sowohl für ein­ge­hen­den Ver­kehr (vom Inter­net ins Unter­neh­men) als auch für aus­ge­hen­de Netz­werk­ver­bin­dun­gen (aus dem Unter­neh­men ins Inter­net) nur die benö­tig­ten Diens­te. Klei­ne Unter­neh­men, die kei­ne Diens­te selbst im Unter­neh­men betrei­ben, kön­nen auch am Port-Fil­ter des Inter­net-Rou­ters alle ein­ge­hen­den Ports sperren.

Es muss zumin­dest eine aktu­el­le Anti­vi­rus­soft­ware im Ein­satz sein, wel­che lau­fend die Sys­te­me und Datei­en auf Schad­soft­ware über­prüft. Im Ver­dachts­fall erfolgt eine Alar­mie­rung im Unternehmen.

Nut­zen Sie allen Sys­te­men, zumin­dest jedoch auf allen Sys­te­men mit Inter­net-Zugang, eine Anti­vi­rus­soft­ware mit auto­ma­ti­scher Aktua­li­sie­rungs­funk­ti­on. Es gibt auch kos­ten­freie Viren­schutz­lö­sun­gen, wie z.B. den in Win­dows bereits inte­grier­ten Micro­soft Defen­der, der jedoch in der ein­fachs­ten Ver­si­on bei einem Mal­ware­fund kei­ne Alar­mie­rung im Unter­neh­men aus­lö­sen, son­dern nur die Benut­ze­rIn war­nen. Die­se ein­fa­chen Anti­vi­ren­lö­sun­gen eig­nen sich für den Pri­vat­ein­satz, aber nicht für Unternehmen.

• Es muss die Mög­lich­keit bestehen, Datei­en ver­schlüs­selt zu über­tra­gen, ent­we­der per eMail (zB. S/MIME, PDF ver­schlüs­selt, man­da­to­ry enforced TLS, etc.) oder per ver­schlüs­sel­tem Upload.
• For­mu­la­re auf der Web­sei­te wer­den aus­schließ­lich über https hochgeladen.

E‑Mailverschlüsselung mit S/MIME, PDF-Ver­schlüs­se­lung oder SMTP-TLS sind sehr auf­wen­dig im Betrieb. Wir emp­feh­len für sen­si­ble Daten die Benut­ze­rIn­nen bei der Mit­ar­bei­te­rIn­nen Schu­lung aus B2 für die Ver­wen­dung von ZIP- oder 7‑ZIP Ver­schlüs­se­lung von Datei­an­hän­gen zu schu­len. Schrei­ben Sie die ZIP / 7‑ZIP Ver­schlüs­se­lung für sen­si­ble E‑Mailanhänge in Ihrer Benut­ze­rIn­nen-Richt­li­nie vor. Grund­sätz­lich soll­ten zum Aus­tausch von Datei­en Platt­for­men wie z.B. Micro­soft 365 oder own­Cloud / Next­cloud bevor­zugt ein­ge­setzt wer­den. Beach­ten Sie dabei die kor­rek­te Nut­zung von https.

Gibt es tat­säch­lich noch Web­sei­ten mit unver­schlüs­sel­ten http For­mu­la­ren? Wenn Sie noch so ein Relikt haben, dann bit­ten Sie ihren Pro­vi­der auf https umzu­stel­len. Aufwand/Kostenfreie SSL/TLS Zer­ti­fi­ka­te gibt es bei Let’s Encrypt.

• Es müs­sen zumin­dest die Stan­dard­pro­to­kol­le der Betriebs­sys­te­me akti­viert sein. Die Pro­to­kol­le müs­sen dem Unter­neh­men zur Ver­fü­gung stehen.
• Es exis­tiert eine Über­sicht aller akti­ven Sys­tem­pro­to­kol­le und deren Speicherort.
• Die Pro­to­kol­le wer­den zumin­dest drei Mona­te aufbewahrt.

Akti­vie­ren Sie sicher­heits­re­le­van­te Pro­to­kol­le in Ihren Sys­te­men, auch auf der Fire­wall und in den genutz­ten Cloud-Diensten.

Doku­men­tie­ren Sie wel­che Sys­te­me sicher­heits­re­le­van­te Pro­to­kol­le erstel­len und auch, wo die Pro­to­kol­le gespei­chert wer­den und wie Admi­nis­tra­to­ren dar­auf zugrei­fen kön­nen. Der Fokus soll­te hier nicht nur auf den Benut­ze­rIn­nen End­ge­rä­ten lie­gen (weil die­se Pro­to­kol­le bei einem Vor­fall auch gelöscht oder mani­pu­liert sein kön­nen), son­dern auch auf den zen­tra­len Netzwerkdiensten.

Kon­trol­lie­ren Sie die Sys­te­me und kon­fi­gu­rie­ren Sie eine Pro­to­koll-Spei­cher­frist von drei Mona­ten, bes­ser jedoch, wenn aus­rei­chend Spei­cher­platz zur Ver­fü­gung steht, von 6 oder 12 Mona­ten. In Abhän­gig­keit der Bedro­hungs­la­ge des Unter­neh­mens kann es auch not­wen­dig sein die­se Auf­be­wah­rungs­dau­er zu erhö­hen (z.B. 3 Jah­re), um erfolg­rei­che Angrif­fe zu einem spä­te­ren Zeit­punkt nach­voll­zie­hen zu können.

Der Not­fall­plan muss beschrei­ben, wie auf einen schwer­wie­gen­den IT-Sicher­heits­vor­fall reagiert wird. Schwer­wie­gen­de Sicher­heits­vor­fäl­le sind zum Beispiel:

• Aus­fall der Systeme,
• Schad­soft­ware-Befall (inkl. Kryp­to­lo­cker) sowie 
• Data Leakage​

Die Plä­ne müs­sen min­des­tens alle zwei Jah­re getes­tet werden.

Erstel­len Sie einen Not­fall­plan, in dem Sie für Ihr Unter­neh­men rele­van­te Sicher­heits­vor­fäl­le berück­sich­ti­gen. Eine pas­sen­de Vor­la­ge fin­den Sie im SEC4YOU Shop unter dem Titel IT-Not­fall­or­ga­ni­sa­ti­on / Notfallhandbuch.

Tes­ten Sie mit rea­lis­ti­schen Not­fall­übun­gen (z.B. Aus­fall von Ser­vern / wesent­li­chen IT-Diens­ten, Inter­net­aus­fall, Ran­som­wa­re-Vor­fall) ihren Not­fall­plan regel­mä­ßig, zumin­dest aber alle 2 Jahre.

*) Bit­te beach­ten Sie, dass unse­re Emp­feh­lun­gen nach bes­ten Wis­sen erho­ben wur­den, aber auf­grund von unter­schied­li­chen Rah­men­be­din­gun­gen in ein­zel­nen Unter­neh­men kei­nen Anspruch auf Voll­stän­dig­keit dar­stel­len können.