• Die Überprüfung erfolgt anhand von Fragenkatalogen – ein Normenwissen ist damit nicht erforderlich
• Eigene Checks können problemlos integriert werden
• Management-Cockpits an Bord zur perfekten Übersichtlichkeit
• Erzeugen von eigenen Bausteinen/Maßnahmen/Fragenkatalogen
• Anpassbare Vorgehensweise
• Integration neuer Normen
• Und wenn es mal Sonderwünsche geben sollte: unsere Entwickler lösen alles

Auf Basis der im Modul „IT-Verbund & Modellierung“ hinterlegten Informationen und zugewiesenen Fragenkataloge, wird in unserem Modul „Sicherheitscheck“ die eigentliche Überprüfung der technischen und organisatorischen Sicherheitsmaßnahmen auf Vollständigkeit und Umsetzungsgrad durchgeführt. Dieses erfolgt im Rahmen eines Soll-Ist-Abgleichs, wobei innerhalb Ihrer Organisation kein Normenwissen vorhanden sein muss: Verantwortliche Mitarbeiter Ihrer Organisation erhalten entsprechende Fragenkataloge aus der Praxis, welche nur beantwortet werden müssen. Die abgegebenen Antworten werden sodann bewertet (Ampelsystem Grün/Gelb/Rot) und erforderliche Nachbesserungen festgelegt.

Über ein Periodensystem wird hier – nachdem Nachbesserungen durchgeführt wurden – auch eine Re-Auditierung durchgeführt. Entsprechende Abweichungen zum Erfüllungsgrad werden detailliert ausgewiesen. 

Das Modul „Schutzbedarf & Risikoanalyse“ ist unser Werkzeug für ein umfassendes Risikomanagement. Hier wird sowohl eine
Schutzbedarfsanalyse durchgeführt, als auch Risiken an den einzelnen Assets erhoben und spezifiziert.

Bei der Schutzbedarfsanalyse wird entweder der erhobene Schutzbedarf am Asset festgelegt, oder aber über Verknüpfungen zu Prozessen und
Verfahren von diesen geerbt. Somit kann ein Asset aus verfahrensspezifischer Sicht verschiedene Schutzbedarfsklassifizierungen haben. Ab einem
Schutzbedarf „hoch“ wird hierüber – in Verbindung mit unserem Modul „Sicherheitscheck“ – auch die erforderliche ergänzende Risikoanalyse
durchgeführt.

Risiken werden – sofern vorhanden und gewünscht – je Asset aufgeführt und bewertet. Hierbei werden nicht nur die Risiken erkannt und
aufgelistet, sondern auch weiterführende Erklärungen und Maßnahmen definiert und dokumentiert. Alle Angaben können so aufbereitet werden,
dass ein umfassender Management-Report mit Klassifizierung und Auflistung der erkannten Risiken, Erläuterungen zu den Risiken, umzusetzenden
Maßnahmen zur Risikominimierung und etwaigen Projektressourcen und -kosten erstellt werden kann.

Umfangreiche Reporting-Funktionen stehen Ihnen direkt aus unserer ComplianceSuite zur Verfügung. Hierbei unterscheiden wir zwischen unserem Cockpit und aussagekräftigen Management-Reports, welche in verschiedenen Formaten ausgegeben werden können.

Cockpit: Verschaffen Sie sich schnell einen Überblick über aktuelle Projektstände und erkannte Risiken. Unser System zeigt Ihnen alle relevanten Informationen an, um eine Übersicht über das Projekt zu erhalten.

Management-Reports: Unsere Management-Reports beinhalten detaillierte Informationen zum aktuellen Projekt, zur Risikoanalyse und zum Erfüllungsgrad der umgesetzten technischen und organisatorischen Maßnahmen. Darüber hinaus können Arbeitslisten für jeden verantwortlichen Mitarbeiter des Projektes ausgegeben werden, welche die umzusetzenden Maßnahmen zur Risikominimierung beinhalten.

Unserer umfassende Report-Engine kann auch individuelle Reports ausgeben. Sprechen Sie uns hierzu an.

Von staatlicher Seite wurde daher das IT-Sicherheitsgesetz (IT-SiG) verabschiedet, um kritische Infrastrukturen vor potenziellen Gefahren zu schützen und die Sicherheit der damit verbundenen informationstechnischen Systeme zu erhöhen. Dieses Gesetz verpflichtet Betreiber kritischer Infrastrukturen, angemessene technische und organisatorische Maßnahmen zum Schutz dieser Infrastrukturen zu treffen, und diese mindestens alle zwei Jahre nachzuweisen.

Für Netzbetreiber, zum Beispiel Stadtwerke, wurden diese Vorgaben durch den von der Bundesnetzagentur (BNetzA) veröffentlichten IT-Sicherheitskatalog präzisiert. Dieser fordert gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) die Umsetzung eines Informationssicherheits-managementsystems (ISMS) und die Zertifizierung dieses ISMS nach ISO 27001 und ISO 27019. Diese Zertifizierung muss der Bundesnetzagentur bis zum 31.01.2018 schriftlich nachgewiesen werden.

Die Zertifizierung umfasst unter anderem

• die Festlegung des Geltungsbereiches (Scope) des ISMS für den sicheren Betrieb des Netzes,
• eine Risikoanalyse des Netzbetreibers mit Schutzzielen und der Beachtung besonderer Schadensszenarien,
• der Erstellung und Pflege eines Netzstrukturplanes und
• weiteren Punkten, um den Betrieb des Netzes sicherzustellen.

Darüber hinaus müssen auch noch weitere fachspezifische Standards und Vorgaben, auf die die jeweilige gefordert Norm referenziert, beachtet werden (zum Beispiel das BDE-Whitepaper).

Der IT-Grundschutz ist eine deutsche, zertifizierbare Norm, welche vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wurde. Diese Norm definiert, wie ein Informationssicherheitsmanagementsystem (ISMS) innerhalb einer Organisation zu betreiben ist. Hierbei muss die Informationssicherheit geplant, umgesetzt, überwacht und überprüft, und stetig verbessert werden (PDCA-Zyklus). Verantwortlichkeiten müssen festgelegt, und Ziele gesetzt, gemessen und überprüft werden. Auch ist eine Risikoanalyse und -bewertung innerhalb dieses Management-Standards ein wesentlicher Bestandteil.

Im Gegensatz zur ISO 27001 und ISO 27002 unterstützt der IT-Grundschutz die Umsetzung mit einem sehr umfangreichen und erklärenden Regelwerk. Hierbei wird – neben dem Aufbau des Informationssicherheitsmanagementsystems (ISMS) – auch die IT-Sicherheit, das heißt die technisch-organisatorische Absicherung der mittelbaren und unmittelbaren IT-Technik, betrachtet.

Für Betreiber medizinischer Netzwerke, wie zum Beispiel Krankenhäuser und Pflegeeinrichtungen, wurde die DIN EN 80001-1 zur Anwendung des Risikomanagements für medizinische IT-Netzwerke aufgelegt. Hierbei umfasst das Risikomanagement sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken der Medizinprodukte (was ein Medizinprodukt ist, ist im Medizinproduktegesetz (MPG) klar definiert).

Diese Norm sollte umgesetzt werden, um möglichen Haftungsansprüchen gegen Betreiber medizinischer Netzwerke entgegenzuwirken.