Die IT-Sicherheit eines Unternehmens ist Chefsache und kann nicht delegiert werden! Aber wie soll das Management eines KMUs das richtige Handeln seines IT-Dienstleisters kontrollieren? Damit KMU in Sachen IT-Sicherheit die Spreu vom Weizen trennen können, braucht es ein Gütesiegel für IT-Dienstleister. Secnovum hat sich an der Geburt des Gütesiegels CyberSeal massgeblich beteiligt.
Dieser Beitrag wurde von Roland Portmann für secnovum verfasst.
Wenn man den Chef eines KMUs fragt:
«Was tut ihr in eurer Firma für eure IT-Sicherheit?»
bekommt man häufig die Antwort:
«Hmm … keine Ahnung, dafür ist unser IT-Dienstleister zuständig».
Das ist eigentlich nicht zulässig, denn für alle Risiken (also auch die IT-Risiken) ist grundsätzlich der Chef (neudeutsch auch CEO) und dann in letzter Konsequenz der Verwaltungsrat verantwortlich. In der Schweiz mit ihren vielen KMU existiert aber die weitverbreitete Annahme, dafür sei eigentlich der IT-Dienstleister zuständig und somit auch verantwortlich, denn der Chef soll (und muss) sich auf das eigentliche Business konzentrieren.
IT-Sicherheit von KMU wird vom IT-Dienstleister geprägt
Die Erfahrung zeigt, dass es bei IT-Dienstleistern hinsichtlich der Ausübung von IT-Sicherheitsmassnahmen grosse Unterschiede gibt. Auf der einen Seite gibt es IT-Dienstleister, die ihren Kunden eine sehr hohe IT-Sicherheit bieten, auf der anderen Seite gibt es die, die nur ein Minimum an Sicherheitsmassnahmen umsetzen und entsprechend kostengünstige Lösungen anbieten. Doch ein CEO ist nicht immer in der Lage, die vom Dienstleister erhaltene Sicherheit in allen Details zu beurteilen.
secnovum erarbeitet einen Standard, als Grundlage für den Audit von IT-Dienstleistern
Dieses Problem wurde vonseiten des NCSC, Nationales Zentrum für Cybersicherheit (ehemals Melani), einer Versicherungsgesellschaft und digitalswitzerland erkannt. Man beschloss, eine Art Zertifizierung für IT-Dienstleister zu entwickeln und anzubieten. Secnovum wurde in der Folge mit der technischen Ausarbeitung eines Standards für eine mögliche Zertifizierung, bzw. eines Siegels beauftragt. Nebst höchster Praxisrelevanz und laufender Aktualisierung gemäss der Bedrohungslage war natürlich auch die Zertifizierung selber ein grosses Thema. Schlank musste sie sein, sodass ein Audit mit Bericht in einem Tag umgesetzt werden kann und die Vorbereitungsarbeiten für den Dienstleister nicht Wochen und Monate in Anspruch nehmen. Ebenso sollte das Siegel wirklich KMU tauglich sein, also nicht nur für den Dienstleister, sondern eben auch für den Endkunden.
Aus einer Zertifizierung wird ein Gütesiegel
In einem ersten Schritt fanden zwei Workshops statt, an denen mögliche Aspekte der Sicherheit zusammengetragen wurden. Danach wurde eine Vorversion der «Zertifizierung» geschrieben. Schnell zeigte sich, dass das Wort «Zertifizierung» vorbelastet war. Daher wurde das Wort «Zertifizierung» durch das Wort «Siegel» ersetzt. Es sollte insbesondere klar werden, dass ein Siegel im Vergleich zu einer Zertifierung weniger aufwändiger und damit auch günstiger ist.
Der Audit-Prozess entsteht
In einer ersten Pilotphase wurde der Fragenkatalog des Siegels getestet. Das Resultat war, dass dieser unmöglich in der zur Verfügung stehenden Zeit beantwortet werden konnte. Ein zweiter Kritikpunkt war, dass die Relevanz der Fragen zu wenig auf die Gefährdung der KMU zugeschnitten war. Die anschliessende Diskussion führte zu einer neuen Kategorisierung in «Art der Prüfung» und «Priorisierung der Fragen». Bei der «Art der Prüfung» wird zwischen einer Selbstdeklaration, einem Interview und einem Konsolenaudit unterschieden. Die «Art der Prüfung» soll der Gefährdung der KMU entsprechen.
- Bei einer Selbstdeklaration ist die Gefährdung eines typischen KMUs durch die Fragen im Kapitel relativ klein. Man glaubt den Aussagen des KMUs und auditiert in der Regel diese Punkte nicht.
- Bei einem Interview werden die relevanten Aspekt beim Audit diskutiert. Meistens werden diese Punkte nicht konkret überprüft.
- Alle Fragen von Kapiteln, die vom NCSC und der Versicherung als kritisch bezeichnet wurden, müssen an einem Audit vom Auditor überprüft werden. Die Erfahrung zeigt, dass eine explizite Überprüfung vielfach Probleme aufzeigt, die von einem typischen IT-Dienstleister nicht erkannt werden.
Die Priorisierung der Fragen sollte unabhängig vom NCSC und der Versicherung die Relevanz für KMU abbilden. In den ersten Workshops wurden teilweise Aspekte diskutiert, die im KMU-Umfeld nicht kritisch waren und daher vielfach von den IT-Dienstleistern nicht beachtet wurden. Die Personen, die an der Entwicklung des Standards beteiligt waren, wussten aus Erfahrung, welche Aspekte von guten IT-Dienstleistern klar abgehandelt wurden und welche Aspekte vielleicht in Zukunft wichtig werden. Das Ziel ist, mindestens ein Viertel aller rund 8000 IT-Dienstleister in der Schweiz mit dem Siegel auszuzeichnen. Dies wird in der Priorisierung der Fragen berücksichtigt.
- Fragen mit der Priorität 1 müssen vom IT-Dienstleister zwingend erfüllt werden. Falls diese nicht oder ungenügend erfüllt sind, kann der Auditor eine Hauptabweichung schreiben. Bei einer Hauptabweichung kann das Siegel nicht vergeben werden. Es kann auch sein, dass eine Frage mit Priorität 1 erst teilweise erfüllt ist. Dann kann der Auditor eine Nebenabweichung schreiben. Diese verhindert die Abgabe des Siegels nicht.
- Bei Fragen der Priorität 2 können viele IT-Dienstleister teilweise erstaunliche Implementationen vorweisen. Das Ziel ist es, dass alle Fragen mit der Priorität 2 von IT-Dienstleistern mit der Zeit erfüllt werden. Fragen der Priorität 2 können zu Nebenabweichungen führen.
- Fragen mit der Priorität 3 sind aktuell für KMU nicht gross von Bedeutung und werden in der Regel von IT-Dienstleistern mit konkreten Massnahmen behandelt.
Die Nebenabweichungen müssen vom IT-Dienstleister behandelt werden, und es muss eine merkliche Verbesserung in einem weiteren Audit (z.B. Aufrechterhaltungsaudit) festgestellt werden.
Unverbindliche Vorschläge zur Verbesserung der Sicherheit kann der Auditor mit einem Hinweis geben. Ein Hinweis sollte vom IT-Dienstleister diskutiert werden, muss aber nicht zwingend bearbeitet werden.
Aktualität ist oberstes Gebot
Der Fragenkatalog wird jedes Jahr überarbeitet und den aktuellen Entwicklungen angepasst. Damit ist der Fragenkatalog (der eigentliche Standard) aktuell und kann tägliche Entwicklungen berücksichtigen. Dies soll am Beispiel «Backup» gezeigt werden. Ein guter Backup ist gemäss NCSC und den Versicherungen sehr kritisch und ist zentral zur Bewältigung der meisten Cyberattacken. Im Standard für das Siegel CyberSeal wird gefordert, dass der Backup regelmässig und vollständig getestet wird. Damit kann ein verschlüsselter Backup zeitnah erkannt werden. Ob ein Backup auf ein Offline-Medium (z.B. Tape) geschrieben werden muss, wird eine wichtige Diskussion an der nächsten Überarbeitung des Standards sein. Die Pflicht für ein Offline Backup ist heute mit der Priorität 2 versehen. Es könnte also sein, dass ab dem Sommer 2022 diese Frage im Standard mit der Priorität 1 steht.
Wer vergibt das Gütesiegel für Cybersicherheit?
Schon ganz am Anfang war klar, dass eine professionelle Trägerorganisation für das Siegel notwendig sein würde. Der Verein secnovum konnte wohl eine wichtige Rolle beim Erstellen des Standards wahrnehmen, war aber als Trägerorganisation ungeeignet. Es wurde daraufhin die Trägerorganisation «Allianz digitale Sicherheit Schweiz ADSS» gegründet. Diese Allianz ist recht breit abgestützt und wird in der Lage sein, die Vergabe des Siegels professionell zu organisieren. Es wird auf die Webseite Allianz Digitale Sicherheit Schweiz (digitalsecurityswitzerland.ch) verwiesen. Der Verein secnovum ist Mitglied dieser Allianz. Die Allianz bietet das Siegel bereits heute an und hat zum jetzigen Zeitpunkt etwa 10 ausgebildete Auditoren.
Das Siegel CyberSeal soll also zentral für die KMU in der Schweiz sein. Damit wird sichergestellt, dass die IT-Dienstleister besser auf die aktuellen Gefahren in der heutigen Cyberwelt reagieren können. Das Ziel ist klar: Die IT-Dienstleister und damit ihre Kunden (typischerweise KMU) können die meisten Cyberangriffe und andere grosse Gefahren in der IT abwehren. Das Ziel ist es (auch von secnovum), die KMU mit möglichst kleinen Kosten optimal zu schützen.
CyberSeal ist somit für IT Dienstleister eine Vorgabe, wie sichere IT zu planen, bauen und zu betreiben ist und für den KMU Endkunden ein Orientierungspunkt, wo er mit grösster Wahrscheinlichkeit sichere IT kaufen kann.
