Beispielergebnisse

Im Kapitel "Beispielergebnisse" präsentieren wir Ihnen einige "Reports", an Hand derer wir für Sie die IT-Sicherheit im untersuchten Umfeld beurteilen. Ein Bild sagt mehr als tausend Worte - schauen Sie ruhig mal rein. EISA-Projekt ist eine Kombination aus Beratung und computer-gestützten Methoden zur IT-Sicherheitsanalyse von beliebigen IT-Bereichen im Unternehmen.

Themenübersicht

Teile eines typischen IT-Sicherheitsberichtes

Ergebnis der IT-Sicherheitsanalyse nach der EISA-Methode ist der IT-Sicherheitsbericht.

Der IT-Sicherheitsbericht besteht aus einer Management-Zusammenfassung (Summary) mit den wichtigsten Ergebnissen und Empfehlungen und den kommentierten Detailberichten (Reports), die dynamisch aus einer Datenbank generiert werden können. 

Sofern sich kurzfristig Änderungen bei elementaren Daten ergeben, die einige oder alle Zusammenfassungen betreffen, müssen Sie nicht wieder wochenlang auf den neuen Bericht warten. Wir können kurzfristig - wenn nötig auch über Nacht - einen neuen Bericht generieren lassen. 

Ausländische Mitarbeiter müssen nicht sprachlos bleiben.

Berichtsprachen sind Deutsch oder Englisch. Die Interviews können in Deutsch oder / und Englisch durchgeführt werden. Sie können z. B. an Ihren deutschen Standorten die Mitarbeiter zum selben Thema auf Deutsch befragen. An Ihrem Standort in London setzen Sie die Befragung auf Englisch fort.

Deutsche Kommentare aus dem Interview werden im englischen Bericht nicht ins Englische übersetzt, um die Authentizität der Aussagen zu wahren. Dies gilt auch umgekehrt, wenn im Interview englische Kommentare gesetzt wurden.

Vom Management-Summary ausgehend kann in die Details verzweigt werden, die in den IT-Sicherheitsreports explizit dokumentiert sind. Da die Reports dynamisch generiert sind, können sehr schnell neue Sichtweisen auf die Daten erzeugt werden. Durch unsere Qualitätssicherungsmassnahmen während der Erhebungs- und Auswertungsphase wird zu jedem Zeitpunkt sichergestellt, dass alle Aussagen aufgrund eines integeren Datenbestands erfolgen.

Beispiel für eine konkrete Berichtshierarchie   [klicken Sie in das Bild um es zu vergrössern]

Für jeden auditierten IT-Bereich wird ein IT-Sicherheitsbericht erstellt. Für Bedarfsträger (z.B. Vorstand, Aufsichtsrat, Risikomanagement, IT-Sicherheitsmanagement, Bereichsverantwortliche, usw.) können weitere Management-Summaries erstellt werden, die den IT-Sicherheitsststatus für die jeweils gewünschte Sichtweise enthalten.

Ergebnis: Der IT-Sicherheitsstatus

Es handelt sich dabei um ein Balkendiagramm. Die einzelnen Balken stellen den Gesamtststatus und die Statussituation bei den IT-Sicherheitszielen Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit dar. 

Der IT-Sicherheitsstatus (hier: Gesamtstatus)   [klicken Sie in das Bild um es zu vergrössern]

Die drei erstgenannten IT-Sicherheitsziele werden im IT-Grundschutzhandbuch des BSI und anderen Publikationen als sogenannte "Grundwerte" bezeichnet. 

Der IT-Sicherheitsstatus ist ein Mass für die erreichte IT-Sicherheit in einem Untersuchungsbereich, welches das Verhältnis von gemessener IT-Sicherheit und möglicher IT-Sicherheit angibt. Der Wert wird als Prozentwert dargestellt. 0% entspricht „Unsicher“ und 100% entspricht „Sicher“.

Gemessen wird die IT-Sicherheit für das vorhandene, d.h. "gelebte" bzw. implementierte Ist-Konzept. Die "mögliche" IT-Sicherheit ist durch das Soll-Konzept festgelegt. In einer Art Bestandsaufnahme wird das Ist-Konzept festgestellt. Mit Hilfe des Referenz-Vergleichsverfahrens werden die im Soll-Ist-Vergleich festgestellten Abweichungen risikobewertet. 

Der IT-Sicherheitsstatus  (hier: je IT-Sicherheitsaspekt)   [klicken Sie in das Bild um es zu vergrössern]

Bewertet wird dabei das Risiko für die Erreichung der in der IT-Sicherheitspolitik für den auditierten IT-Bereich festgelegten IT-Sicherheitsziele. Das Ergebnis ist der gezeigte IT-Sicherheitsstatus. Für jeden Teilaspekt lässt sich ebenfalls ein IT-Sicherheitsstatus als Balkendiagramm angeben. 

Für jeden Bedarfsträger lässt sich darüberhinaus ein individueller IT-Sicherheitsstatus generieren. Somit kann sich jeder Verantwortungsträger einen Überblick zur aktuellen Sicherheitslage seines Verantwortungsbereichs verschaffen. 

IT-Sicherheitsstatus (Gruppenübersicht)   [klicken Sie in das Bild um es zu vergrössern]

Wenn nach ca. 1-2 Jahren ein zweites Audit nach der EISA-Methode erfolgt, ist ein Periodenvergleich möglich. Fortschritte bei der Entwicklung und Implementierung von IT-Sicherheitsmassnahmen in einem IT-Bereich oder im ganzen Unternehmen können so für das Management dokumentiert und zu Informationen für weitere Entscheidungen aufbereitet werden.

Für laufende Erfolgsmessung ist die EISA-Methode eher nicht geeignet. Zum Vergleich können Sie Buchführung und Inventur heranziehen. Mit Hilfe der Buchführung messen Sie Ihren Unternehmenserfolg permanent. Mit Hilfe der Inventur stellen Sie zu einem bestimmten Zeitpunkt den tatsächlichen Ist-Stand fest und können so Fehler bei der Buchführung erkennen und beheben. Die EISA-Methode entspricht einer Inventur.

Report: Der Schwachstellenkatalog

Mit Hilfe der Daten und Informationen aus der Erhebungsphase (Interviews) des EISA-Projektes  kann im Schwachstellenkatalog beinahe jedem Problem präzise auf den Grund gegangen werden. 

Schwachstellenkatalog   [klicken Sie in das Bild um es zu vergrössern]

Der Schwachstellenkatalog ist ein IT-Sicherheitsreport des IT-Sicherheitsberichtes. Er gruppiert die sicherheitsrelevanten Informationen nach Risikoklassen und nimmt damit eine Art Priorisierung der Schwachstellen und Defizte vor. 

Defizite mit der Risikoklasse "Hoch" (= Schwachstelle) müssen vordringlich behandelt werden.

Report: Der Massnahmenkatalog

Was für das jeweils vorgefundene Defizit im Einzelnen zu tun ist, enthält der Massnahmenkatalog, der ebenfalls nach Risikoklassen gruppiert ist. Der Massnahmenkatalog enthält zunächst nur allgemeine Empfehlungen. Die Risikoklasse entspricht einer Priorisierung nach reinen Sicherheitsgesichtpunkten. 

Massnahmenkatalog   [klicken Sie in das Bild um es zu vergrössern]

Unternehmen sind normalerweise bestimmten wirtschaftlichen Zwängen unterworfen. Daher kann jede Massnahme ggf. in einem weiteren Schritt - der Abgleichphase - noch unter unternehmensrelevanten Gesichtspunkten priorisiert werden. Dabei können auch wirtschaftliche Gesichtspunkte wie z.B. Budget, Kosten, Resourcen usw. berücksichtigt werden.

Minimal-IT-Sicherheitskonzept inklusive

Mit dem Massnahmenkatalog des IT-Sicherheitsberichts besitzen Sie gleichzeitig auch ohne dass Sie noch mehr Geld für Beratung oder Konzeptionierung ausgeben müssten, ein Minimal-IT-Sicherheitskonzept für den auditierten IT-Bereich. 

Wenn Sie ein "echtes" IT-Sicherheitskonzept für Ihr Unternehmen wünschen, haben Sie jetzt den Grundstein dazu gelegt. In weiteren Schritten unterstützen wir Sie gerne bei der Definition einer unternehmensweiten IT-Sicherheitspolitik und der anschliessenden Umsetzung in Form eines IT-Sicherheitskonzeptes.

Sie haben schon ein schriftlich fixiertes IT-Sicherheitskonzept? 

Dann können wir in einem Review dieses Konzept für Sie durchsehen und auf Lücken und Verbesserungsmöglichkeiten überprüfen.

Gibt es ein EISA-Tool zu kaufen?

Antwort: Nein, aber.... 

alle Tools die wir bei einem Audit in unseren Workshops gemeinsam mit Ihnen verwenden, bleiben nach dem Audit in Ihrem Besitz. Sie erhalten ein zeitlich unbegrenztes, nicht-ausschliessliches und zweckgebundenes Nutzungsrecht an allen Hilfsmitteln, die wir zum Zweck der Datengewinnung oder -aufbereitung an Sie übergeben. Für diese Tools zahlen Sie keinen Cent extra.  

Mit dem EISA-Projekt können Sie kein Tool käuflich erwerben, aber eines der wirtschaftlichsten Consulting-Verfahren zum Auditieren von IT-Bereichen auf dem deutschen Markt für sich und Ihr Unternehmen in Anspruch nehmen. 

Die hohe Wirtschaftlichkeit der von uns durchgeführten Projekte wird durch den Einsatz qualifizierter IT-Sicherheitsexperten in Kombination mit zum Teil selbstentwickelten Computer-Werkzeugen erreicht. Die von uns benutzte Auswertungs-Software wurde in vielen Projekten immer weiter verbessert. 

Wir betrachten unsere Software als strategisches Werkzeug, mit dem sich unsere Leistungen von denen unserer Mitbewerber qualitativ unterscheiden. Diesen Vorteil geben wir in Form unserer Beratungsdienstleistung an Sie weiter. Deshalb ist der Schutz unseres Know-Hows auch für Sie von grossem Interesse. Wir möchten unseren Kunden auch in Zukunft diese Auditing-Methode preiswert anbieten können. 

Weitere Informationen

Im nachfolgenden Kapitel  "Vorgehensweisen" wird auf einige der bisher angerissenen Methoden detailierter eingegangen. Hier erfahren Sie wie's gemacht wird.

Das notwendige Grundlagenwissen ist dort beigefügt, wo es gebraucht wird. Einige Dinge werden Ihnen aus anderen Publikationen zum Thema IT-Sicherheit wohl bekannt sein. Andere Begriffe müssen neu definiert werden, um die Systematik zu präzisieren. 

So wird mit dem Begriff "Policy" oft sehr viel Schindluder getrieben. Versteht man jetzt "Sicherheitspolitik", "Sicherheitskonzept" oder einfach nur die "Einstellungen" einer Firewall darunter? Wir werden Sie in dieser deutschsprachigen Dokumentation nicht verwirren und die Begriffe auf Deutsch nennen.

Für weitere Auskünfte oder für einen Termin zur Kontaktaufnahme schreiben Sie uns bitte eine eMail, welche wir zeitversetzt aber kurzfristig beantworten werden.