Fachstelle für Datenschutz - tuvit.de · ISO 13407 und ISO 9241-210 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen in den Bereichen

Fachstelle für Datenschutz

Das Datensicherheits-Assessment

IT-Sicherheit für den Mittelstand

Inhalt

1 Einleitung 1

2 Ablauf des Datensicherheits-Assessment 2

2.1 Vorbereitungsphase 3

2.2 Vor-Ort-Phase 3

2.2.1 Eröffnung 4

2.2.2 Erstbegehung 4

2.2.3 Prüfplan Abstimmung 4

2.2.4 Begehung und Interviews nach Themenkreisen 5

2.2.5 Bericht 5

2.2.6 Abschluss 6

3 Leistungsstufen des Datensicherheits-Assessment 7

3.1 Datensicherheits-AssessmentBUSINESS 7

3.2 Datensicherheits-AssessmentPLUS 7

3.3 Datensicherheits-AssessmentPREMIUM 7

4 Über TÜViT 8

5 Ansprechpartner 12

Datensicherheits-Assessment Seite 1 | 12

© TÜV Informationstechnik GmbH

1 Einleitung

Mit einem Anteil von über 99% sind die kleinen und mittleren

Unternehmen (KMU) ein wesentlicher Erfolgsfaktor der deutschen

Wirtschaft. Aber gerade die kleinen und mittleren Unternehmen

unterliegen einem stetig wachsenden Angriffsrisiko auf ihre IT und

geraten in das Visier von Cyber-Kriminellen. Um die Unternehmenswerte

wie z.B. Spezial Know-how gegen Ausspähen und Diebstahl zu schützen,

ist eine optimale Nutzung von geeigneten Sicherheitsmaßnahmen und

Informationsquellen unabdingbar.

An dieser Stelle setzt das Datensicherheits-Assessment an. Das

Datensicherheits-Assessment unterstützt Unternehmen, die den Bedarf

erkannt haben, ihren IT-Betrieb und insbesondere ihre IT-Sicherheit vor

dem Hintergrund der aktuellen Bedrohungslage optimal zu organisieren.

Hierzu gehört neben anderen Maßnahmen die Etablierung eines

wirksamen IT-Sicherheits- bzw. IT-Servicemanagement.

Das Datensicherheits-Assessment ist eine unabhängige Einschätzung der

Sicherheit und Effektivität des IT-Einsatzes bei

kleinen und mittelständischen Unternehmen,

dem Handwerk sowie

den Freien Berufen.

Das Datensicherheits-Assessment basiert auf etablierten Best Practices

und Standards des IT-Sicherheits- bzw. IT-Servicemanagements:

IT-Grundschutz, BSI Standard 100-2

Informationssicherheits-Managementsysteme,

ISO/IEC 27001, ISO/IEC 27002

IT Service Management, ISO/IEC 20000

Datensicherheits- Assessment Seite 2 | 12


Die Prüfungspraxis nach o.g. Standards hat gezeigt, dass oftmals weniger

aufwendige, dafür aber koordinierte Maßnahmen einen höheren

Sicherheits- bzw. Effektivitätsgewinn bringen, als eher technisch

orientierte und häufig teure Einzelmaßnahmen.

Das Datensicherheits-Assessment konzentriert sich deshalb auf die für

KMU besonders relevanten Maßnahmen, die bereits mit begrenztem

Ressourceneinsatz wirksam umsetzbar sind und somit rasch einen hohen

Nutzen erreichen.

2 Ablauf des Datensicherheits-Assessment

Der Ablauf des Datensicherheits-Assessment teilt sich in eine

Vorbereitungs- sowie eine Vor-Ort-Phase auf.

Abbildung 1: Phasen des Datensicherheits-Assessments



2.1 Vorbereitungsphase

Grundlage für die Durchführung des Datensicherheits-Assessment ist ein

Fragebogen, der als Vorbereitung des Unternehmens auf das Assessment

dient. Der Fragebogen beinhaltet unternehmensspezifische Daten wie

Unternehmensgröße, Anzahl der Standorte, Angaben zu organisa-

torischen Abläufen sowie die eingesetzte Automation durch Maschinen

oder IT.

Des Weiteren ermöglicht der Fragebogen dem IT-Assessor den Einstieg

in die konkreten Gegebenheiten des Unternehmens und seiner Abläufe.

2.2 Vor-Ort-Phase

Das Datensicherheits-Assessment beginnt ca. zwei Wochen nach

Vorliegen des Fragebogens. Die konkrete Gestaltung des Ablaufes vor

Ort übernimmt der IT-Assessor in Abstimmung mit dem Unternehmen.

Das Unternehmen hat im Vorfeld des Datensicherheits-Assessment dafür

Sorge zu tragen, dass notwendige Ansprechpartner der verschiedenen

Organisationseinheiten in ausreichendem Maße verfügbar sind. Zutritte

zu gegebenenfalls zutrittsgeschützten Räumlichkeiten sollten frühzeitig

vorbereitet werden, so dass im Verlauf des Assessment keine unnötigen

Verzögerungen auftreten.

Die Vor-Ort-Phase setzt folgende Schwerpunkte (Themenkreise), die

einen effektiven und sicheren IT-Betrieb ausmachen:

Organisation: umfasst die Aufbau- und Ablauforganisation und

rechtliche Aspekte

Infrastruktur: umfasst die Gebäudeinfrastruktur

IT-Systeme: umfasst die eingesetzten IT-Plattformen

Netzwerk: umfasst das IT-Netzwerk

Anwendungen: umfasst Aspekte wie Konfiguration und Administration

der eingesetzten Anwendungen



2.2.1 Eröffnung

Das Eröffnungsgespräch dient dem Kennenlernen der Unternehmung,

ihrer Abläufe, der eingesetzten Automation bzw. IT sowie der zugehörigen

Risiken. Dabei werden die wichtigsten Geschäfts- und Kundendaten

identifiziert, welche den Betrieb der Automation bzw. IT ermöglichen, um

den Sicherheitsbedarf der zugrundeliegenden IT abzuschätzen.

Dies ermöglicht dem IT-Assessor, im weiteren Verlauf die Eignung der

bereits getroffenen Schutzmaßnahmen zu bewerten und dient als

Grundlage für eine Einschätzung der Effektivität des IT-Einsatzes im

Unternehmen.

2.2.2 Erstbegehung

Das Ziel der Erstbegehung ist es, einen Eindruck der physischen

Gegebenheiten zu bekommen sowie die in der Eröffnung identifizierten

Abläufe und ihre Automation bzw. IT auf Plausibilität zu prüfen. Dabei

sollen nach Möglichkeit alle Bereiche des Standorts, die für die

Leistungserbringung wesentlich sind oder an denen IT in besonderem

Maße zum Einsatz kommt, betrachtet werden.

2.2.3 Prüfplan Abstimmung

Das Ziel der Abstimmung des Prüfplans ist es, den weiteren Verlauf des

Datensicherheits-Assessment zwischen Unternehmen und IT-Assessor

gemeinsam festzulegen. Der Prüfplan legt die Aktivitäten und ihre

Abfolgen, den Ort sowie Beginn und Ende der jeweiligen Aktivität und die

Beteiligten des Unternehmens fest.

Bei der Erstellung des Prüfplans berücksichtigt der IT-Assessor die

zeitliche Verfügbarkeit der jeweiligen Ansprechpartner.



2.2.4 Begehung und Interviews nach Themenkreisen

Das Ziel der Begehung und Interviews nach Themenkreisen ist das

systematische Erschließen der Vor-Ort Gegebenheiten, der Abgleich mit

den Angaben des Fragebogens sowie das Spiegeln zu erwartender

Maßnahmen mit den tatsächlich getroffenen Maßnahmen und ihrer

Wirksamkeit.

Die Begehung dauert ca. zwei Stunden je Themenkreis. Zur Durchführung

des Assessments greift der IT-Assessor auf folgende Methoden zurück:

Dokumentensichtung (inkl. elektronischer Dokumente)

Mündliche Befragung der Führungskräfte und Mitarbeiter des

Unternehmens

Beobachtung, z. B. während der Erstbegehung aufgefallener

individueller Umgang mit Sicherheitsregeln

Inaugenscheinnahme von z. B. IT-Systemen und Räumen

technische und organisatorische Erprobung, z. B. Überprüfung von

Alarmanlagen mittels „Gehtest“ oder Prüfung von Zutrittskontrollen

Datenanalyse

2.2.5 Bericht

Nach Abschluss der Begehungen erstellt der IT-Assessor einen Bericht,

wofür er ca. eineinhalb Stunden benötigt. Der Bericht enthält neben einer

kurzen Ergebnisübersicht auch eine zusammenfassende Übersicht der

Erfüllung einzelner Aspekte der Themenkreise sowie ein Kapitel mit

konkreten Handlungsempfehlungen zur Verbesserung der Effektivität und

Sicherheit der IT.

Die im Assessment gemachten Feststellungen werden in konsolidierter

Form tabellarisch aufgelistet und durch ein Management Summary

ergänzt.



2.2.6 Abschluss

Der IT-Assessor stellt in einer einstündigen Präsentation der

Unternehmensleitung die Ergebnisse des Datensicherheits-Assessment

vor und übergibt im Anschluss den Assessment Bericht.

Das Ziel des Abschlusses ist die verständliche Vermittlung der

Ergebnisse des Assessments. Zugleich soll er der Unternehmensleitung

aufzeigen, in welcher Hinsicht gegebenenfalls Handlungsbedarf besteht

und wie erforderliche nächste Schritte aussehen können.



3 Leistungsstufen des

Datensicherheits-Assessment

Die Leistungsstufen des Datensicherheits-Assessment sind gegliedert

in die Module Datensicherheits-AssessmentBUSINESS, Datensicherheits-

AssessmentPLUS, Datensicherheits-AssessmentPREMIUM.

3.1 Datensicherheits-AssessmentBUSINESS

bestehend aus einem 1,5- bis 2-tägigem Assessment vor Ort inkl.

Statusermittlung mittels Fragebogen inkl. fach-kompetenter

Auswertung

Erstbegehung vor Ort

Abstimmung Prüfverlauf

Sicherheitsbegehung und Interviews nach festgelegten Themenkreisen

Abschlussbericht

3.2 Datensicherheits-AssessmentPLUS

bestehend aus einem 2- bis 3-tägigem Assessment vor Ort mit den

Inhalten aus dem Datensicherheits-AssessmentBUSINESS sowie

Konfigurationsanalyse

Port-Analyse bestehender IT-Infrastruktursysteme

Management-Summary mit konkreten Handlungsempfehlungen

3.3 Datensicherheits-AssessmentPREMIUM

bestehend aus einem unternehmensspezifisch angepassten

Assessment vor Ort mit den Inhalten aus dem Datensicherheits-

AssessmentPLUS sowie

bedarfsorientierter Prüfung unternehmensspezifischer IuK-

Einrichtungen

Managementpräsentation mit konkreten Handlungsempfehlungen

Vermittlung der Assessment-Ergebnisse in den beteiligten

Fachbereichen



4 Über TÜViT

Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist

einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir

unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-

Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre

Unternehmenswerte zu bewahren.

Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf

Themen wie Common Criteria Evaluationen, Cyber Security, Mobile

Security, Industrial Security, Penetrationstests, Bewertung von

Informationssicherheits-Managementsystemen nach ISO/IEC 27001 sowie

Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung

von Rechenzentren hinsichtlich ihrer physischen Sicherheit und

Hochverfügbarkeit.

Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter

Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere

Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen.

Unsere Dienstleistungen werden stets nach dem Stand der Technik

ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche.

Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und

internationale Organisationen und Behörden weisen unsere Kompetenzen

auf dem Gebiet der IT-Sicherheit und IT-Qualität nach.

Bundesamt für Sicherheit in der Informationstechnik

Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach

ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3,

BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5

IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich

IS-Revision und IS-Beratung und Penetrationstests

Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001

Lizenzierte Auditoren für De-Mail



Deutsche Akkreditierungsstelle

Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen

IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC

17025:2005

Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach

ITSEC/ITSEM/CC/ISO 15408/CEM

Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN

EN ISO 9241-110, DIN EN ISO 9241-11, ISO/IEC 25051, DIN EN

ISO 13407 und ISO 9241-210

Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,

Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und

Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN 319 401 / 319

411-1 / 319 411-2 / 319 421, ETSI TS 101 456 / 102 042 / 102 023,

DIN EN 50518-1:2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC

17065:2013

Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,

Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013

und ETSI EN 319 403 V2.2.2 im Bereich qualifizierte Vertrauens-

diensteanbieter und die von ihnen erbrachten qualifizierten

Vertrauensdienste im Anwendungsbereich der VERORDNUNG

(EU) Nr. 910/2014 (eIDAS)

Bundesnetzagentur

Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten

für qualifizierte elektronische Signaturen

Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung

von Sicherheitskonzepten für Zertifizierungsdiensteanbieter

Die Deutsche Kreditwirtschaft

Gelistete Prüfstelle für elektronischen Zahlungsverkehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch)

EuroPriSe Gutachter (rechtlich/technisch)



Information-technology Promotion Agency, Japan

Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM

National Institute of Technology and Evaluation, Japan

Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in

dem Bereich der IT / Common Criteria Evaluationen (Lab Code:

ASNITE0019T)

National Institute of Standards and Technology

National Voluntary Laboratory Accreditation Program, USA

Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für

Cryptographic Module Testing (Scopes 17BCS, 17CAV/01,

17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01,

17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing

Europay, MasterCard and Visa, USA/Großbritannien/Japan

Full Service Laboratory für Prüfungen von ICs und Chipkarten nach

EMVCo Sicherheitsrichtlinien

Modular Label Auditor

Visa, USA

Test House zur Durchführung von Visa Chip Product

Sicherheitsevaluationen

MasterCard, Großbritannien

Akkreditiert zur Durchführung von CAST (Compliance Assessment and

Security Testing) Evaluationen

Betaalvereniging Nederland, Niederlande

Evaluation Laboratory



In nationalen und internationalen Forschungsprojekten und Gremien

gestaltet TÜViT den Stand der Technik aktiv mit.

TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und

Umweltmanagement, welche nach ISO 9001:2008 bzw.

ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche

und Erwartungen ihrer Kunden.

TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV

NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem

nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten.

Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische

Tests und Prüfungen in zahlreichen Bereichen durchgeführt und

entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen

verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten

und durchzuführen.



5 Ansprechpartner

Peter Kattner, LL.M.

Leiter der Fachstelle für Datenschutz

TÜV Informationstechnik GmbH

TÜV NORD GROUP

Langemarckstraße 20

45141 Essen

Tel.: +49 201 8999-643

Fax: +49 201 8999-666

[email protected]

www.tuvit.de Jörg Schlißke, LL.B.

Produktmanager Datenschutzqualifizierung

TÜV Informationstechnik GmbH

TÜV NORD GROUP

Langemarckstraße 20

45141 Essen

Tel.: +49 201 8999-533

Fax: +49 201 8999-666

[email protected]

www.tuvit.de

Version: 1.9

Documents

Fachstelle für Datenschutz - tuvit.de · ISO 13407 und ISO 9241-210 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen in den Bereichen