Checkliste für Informationssicherheit – Selbsteinschätzung für KMU und KMV

Zur Ermittlung eines möglichen Handlungsbedarfs hat die isec ag eine Checkliste für Informationssicherheit für kleine und mittlere Unternehmen (KMU) und Verwaltungen (KMV) entwickelt. 20 Fragen decken die wichtigsten Bereiche des Themas ab.

Wir hören immer wieder ein und dieselbe Frage:

Sind meine Unternehmensinformationen ausreichend geschützt?

Dabei müssen wir zuerst der Frage auf den Grund gehen, wie man  «ausreichend» überhaupt definiert, denn jede Unternehmung muss ihren speziellen Anforderungen gerecht werden.

Die Antwort ist also abhängig von weiteren Fragen wie beispielsweise:

  • Sind die gespeicherten Informationen für Angreifer wertvoll (beispielsweise Kreditkarteninformationen, datenschutzrelevante Informationen, Firmengeheimnisse, Preiskalkulationen bei Ausschreibungen usw.)?
  • Sind Sie auf eine rund um die Uhr funktionierende Computerinfrastruktur angewiesen (Wie lange darf Ihre IT ausfallen: Stunden, Tage, Wochen)?
  • Welche Benutzende greifen auf die Informationen zu?
  • Werden auch private Informationen in der Firma gespeichert?
  • Gibt es Mitarbeitende, die im Homeoffice arbeiten?
  • Wird die Infrastruktur von einer externen Firma betreut? Verfügt diese Firma in Sicherheitsfragen über eine ausreichende Kompetenz?

Die 20 Fragen der Checkliste für Informationssicherheit

Zur Ermittlung eines möglichen Handlungsbedarfs hat die isec ag eine  Checkliste für Informationssicherheit für kleine und mittlere Unternehmen (KMU) und Verwaltungen (KMV) entwickelt. 20 Fragen decken die wichtigsten Bereiche des Themas ab. Zu jeder Frage müssen vier Antwortszenarien mit «erfüllt», «teilweise erfüllt» oder «nicht erfüllt» beurteilt werden. Falls das Thema für die Organisation nicht von Bedeutung ist, steht die Antwort «nicht relevant» zur Verfügung. Kommentare und Bemerkungen können ebenfalls erfasst werden.

IT-Sicherheits Checkliste herunterladen

Nach dem Ausfüllen der Checkliste zeigt die farbliche Darstellung den Erfüllungsgrad. Je «grüner» desto besser. Je «roter» desto schlechter, resp. desto grösser ist der Handlungsbedarf.

Folgende Inhalte werden geprüft:

  • IT-Risikokatalog
  • Informationssicherheitspolitik
  • Weisungen zum Umgang mit IT-Mitteln für Benutzende
  • Datensicherung
  • Berechtigungsvergabe
  • Benutzerkonten (Accounts) / Passworte
  • Nutzung privater IT-Infrastruktur zur Bearbeitung von Informationen der Unternehmung
  • Schwachstellen-Management (z. B. Updates / Patching)
  • Änderungsmanagement (grössere Softwareanpassungen)
  • Internes Netzwerk
  • Datenaustausch
  • Malware-Schutz (Viren-Schutz)
  • Unterhalt Hardware / Sicherheitseinstellungen (Hardening)
  • Dokumentation
  • Protokollierung & Auswertung
  • Outsourcing / Rechenzentrum
  • Cloud Computing
  • Regelmässige Überprüfungen (Reviews)
  • Physische Schutzmassnahmen
  • Notverfahren

Die Checkliste referenziert das «Sicherheitshandbuch für die Praxis» (www.sihb.ch). Zu jedem Kontrollpunkt sind Hinweise für eine angepasste Umsetzung in einem KMU resp. KMV aufgeführt.

Dank der Checkliste kann mit wenig Aufwand ein erster Blick zum aktuellen Zustand der Informationssicherheit der eigenen Organisation geworfen werden. Die Erfahrung zeigt jedoch, dass die Checkliste recht häufig zu optimistisch ausgefüllt wird. Eine unabhängige Einschätzung durch externe Fachpersonen ist daher sehr zu empfehlen.

Das Ausfüllen der Checkliste ist der erste Schritt und zeigt auf, wo Handlungsbedarf besteht. Die erkannten Schwachstellen sollten entsprechend ihrer Relevanz unbedingt behoben werden.

Portrait Carlos Rieder

Autor dieses Beitrags: Carlos Rieder

Der Mensch ist oft gutgläubig und deshalb leicht manipulierbar. Dieser Umstand wird auch für Cyber Angriffe ausgenutzt. Mit gezielter Ausbildung wird der gesunde Menschenverstand der Mitarbeitenden geschärft und die nötige Awareness bezüglich IT-Risiken sichergestellt.