Die Versorgung mit lebenswichtigen Gütern und Dienstleistungen in der Schweiz ist ohne funktionierende Informations- und Kommunikationstechnologie (IKT) schwierig. Diese sind aber zunehmend durch Prozess- und Cyberrisiken bedroht. Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat darauf reagiert und einen IKT-Minimalstandard basierend auf dem NIST CSF (Cyber Security Framework) erarbeitet. Der IKT-Minimalstandard richtet sich in erster Linie an die Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich auf jede Organisation anwendbar. Weshalb auch Sie genau das tun sollten, erfahren Sie in diesem Blogbeitrag.
Jedes IKT-System birgt in sich ein gewisses Risiko. Mit Hilfe adäquater Massnahmen lässt sich dieses jedoch auf ein tragbares Mass reduzieren. Wie wichtig Governance, Risk & Compliance (GRC) für ein Unternehmen sind, haben wir Ihnen in einem früheren Beitrag bereits erläutert. Besonders wenn es um den Schutz von kritischen Infrastrukturen geht, ist dies umso wichtiger. Aus diesem Grund, hat das Bundesamt für wirtschaftliche Landesversorgung (BWL) 2018 den IKT-Minimalstandard ins Leben gerufen. Das Ziel: Die Vertraulichkeit, Integrität und Verfügbarkeit von IKT-Systemen in kritischen Infrastrukturen zu schützen und zu gewährleisten.
Die Basis für den IKT-Minimalstandard bildet eine Risikoanalyse zu Cyberrisiken. Der Minimalstandard zur Stärkung der Resilienz der Informations- und Kommunikationstechnik (IKT) basiert dabei auf dem international anerkannten NIST Cyber Security Framework (NIST CSF) und wird mit weiteren Industriestandards ergänzt, wie beispielsweise dem NIST Guide to Industrial Control Systems (ICS), ISO 2700x, COBIT oder dem BSI. Der IKT-Minimalstandard ist dabei nicht als Konkurrenz zu bestehenden Standards zu verstehen, sondern ist mit diesen kompatibel bei bewusst reduziertem Umfang. Dadurch soll ein einfacher Einstieg in die Thematik ermöglicht und trotzdem ein hohes Schutzniveau gewährleistet werden.
IKT-Sicherheitsstrategie – Defence-in-Depth
Die IKT-Sicherheitsstrategie muss darauf ausgerichtet sein, die für die Geschäftsprozesse notwendigen kritischen IKT-Betriebsmittel zu schützen. Dazu braucht es einen mehrschichtigen Ansatz, welcher unter dem Begriff «Defense-in-Depth» bekannt ist und dem Prinzip folgt, dass es für einen Angreifer schwieriger ist, ein komplexes und mehrschichtiges Abwehrsystem zu überwinden als eine einzige Barriere. So zielt das holistische Defense-in-Depth-Konzept darauf ab, Verletzungen der IKT-Sicherheit zu erkennen, darauf zu reagieren sowie die Konsequenzen der Sicherheitsverletzung zu minimieren. Die Ressourcen sollen so eingesetzt werden, dass ein effektiver Schutz vor bekannten Risiken und eine umfassende Überwachung potenzieller zukünftiger Risiken gewährleistet ist.
Die 106 Massnahmen des IKT-Minimalstandard rufen nach Unterstützung
Im IKT-Minimalstandard werden über 100 konkrete Handlungsanweisungen zur Verbesserung der IKT-Resilienz aufgeführt. Die vorgeschlagenen Massnahmen sind sowohl organisatorischer als auch technischer Natur. So umfassen sie Handlungsanweisungen wie die Erstellung eines vollständigen Inventars für Hard- und Software, Schulungen und Trainings von Mitarbeitenden, Vorgaben zum Datenschutz, Massnahmen zur Früherkennung von Bedrohungen, um nur einige davon zu nennen. Durch den risikobasierten Ansatz ermöglicht der Standard die Umsetzung unterschiedlich strenger Schutzniveaus, angepasst an die Bedürfnisse der Organisation. Dies alles im Griff zu behalten und gegenüber den Interessengruppen jederzeit Auskunft geben zu können, ist eine grosse Herausforderung.
Womit Sie sich bei der Umsetzung des IKT-Minimalstandards befassen müssen
Als Informatiksicherheitsbeauftragter oder CISO im Bundes- oder bundesnahen Umfeld stehen Sie vor der schwierigen Aufgabe, die Verordnungen und Weisungen betreffend Informationssicherheit des Bundes umzusetzen und regelmässig zu überprüfen resp. zu aktualisieren. Dabei sind die geltenden Sicherheitsdokumente wie die Schutzbedarfsanalyse (Schuban, P041) oder das Informationssicherheits- und Datenschutzkonzept (ISDS, P042) für die betroffenen IKT-Schutzobjekte der Verwaltungseinheit zwingend und termingerecht zu erarbeiten. Dazu gehört ebenfalls die Einhaltung der Anforderungen des IKT-Grundschutzes sowie deren periodische Überarbeitung und Anpassung.
Mit einem dezentralen Ansatz sind die Sicherheitsprozesse meist nur schwer oder gar nicht umzusetzen. Ebenfalls fehlen konsolidierte Informationen (Lagebild) resp. die Risikodarstellung über die gesamte Verwaltungs- oder Organisationseinheit. Nachfolgend nur einige der Fragestellungen, mit welchen Sie bei der Umsetzung des IKT-Minimalstandards mit grosser Sicherheit früher oder später konfrontiert werden:
- Erfüllen die (Ziel-)Systeme alle relevanten Anforderungen des IKT-Minimalstandards und des ISDS?
- Erfüllen die Komponenten alle Anforderungen und entsprechen diese den Vorgaben?
- Werden alle relevanten Anforderungen des IKT-Minimalstandards und des ISDS eingehalten?
- Welche Abweichungen zu einem erhöhten Schutzbedarf existieren noch?
- Wie ist der Stand der Umsetzung von Massnahmen?
Antworten auf obengenannte und weitere Fragestellungen in Zusammenhang mit dem Sicherheitslagebild können Sie nur verlässlich geben, wenn Sie Ihre ISDS-Konzepte, Risikobewertungen und den IKT-Minimalstandard aktiv bewirtschaften.
Die Grundlage für die Festlegung von Informationssicherheits- und Datenschutzmassnahmen bildet das ISDS-Konzept mit seiner Risikoanalyse. Es weist die bestehenden Restrisiken aus, die durch den Betrieb der IKT-Systeme entstehen und mit der Organisation verbunden sind.
Mit einer IKT-Anwendung behalten Sie jederzeit alles im Griff
Die Identifikation von Risiken, die Priorisierung des Handlungsbedarfs, die Nachverfolgung von Massnahmen usw. – all diese Herausforderungen sind auf die Dauer ohne Unterstützung von workflowbasierten Prozessen (in spezialisierten Anwendungen) kaum zu bewältigen. Unternehmen sollten sich daher mit dem Einsatz einer IKT-Plattform befassen, welche zentral und IT- resp. workflowbasiert die Überwachung, Messung und Steuerung der Anforderungen aus dem IKT-Minimalstandard und der daraus resultierenden Risiken und ISDS-Konzepten unterstützt sowie sicherstellt.
Eine IKT-Plattform unterstützt den Sicherheitsverantwortlichen, eine unternehmensweite und risikobewusste Kultur sowie Cyber-Security-Best-Practices aufzubauen. Ebenso erleichtert es ihm, Richtlinien, Verfahren, Berichte und Analysen zu Geschäftsauswirkungen einschliesslich der Berichte über das IT Risiko-Management mit all seinen Facetten unternehmensübergreifend zu standardisieren. Eine solche Plattform ermöglicht es aber auch dem Supply Chain Manager sowie dem gesamten Unternehmensmanagement, die Cyber Security-Informationen in einer verständlichen Form zugänglich zu machen. Dadurch soll ihnen bewusstwerden, welche bestehenden und potenziellen Bedrohungen aus der Geschäftstätigkeit, dem Wachstum und der digitalen Transformation hervorgehen.
Die ideale IKT-Lösung? Unser Favorit
Die IKT-Anwendung, welche wir gemeinsam mit unserem Partner HiScout in einem integrativen Ansatz den Vorgaben der Schweiz angepasst haben, deckt vollständig die Anforderungen des IKT-Minimalstandards ab und unterstützt die HERMES-Projektmethodik. Schutzbedarfsanalysen (P0041), ISDS-Konzepte (P0042) und Risikoanalysen können Schutzobjekt zentriert und gemäss den aktuellen Prozessen erstellt werden. In der Grundversion ist die IKT-Anwendung ohne Anpassungen einsatzbereit. Bereits bei mehreren Unternehmen und Organisationen konnten wir HiScout so erfolgreich zur Unterstützung des Cyber Security-Prozesses einsetzen.
Dank der integrierten Workflows, der erweiterten Risikoanalyse sowie dem Echtzeit-Reporting, werden unnötige manuelle Aufwände vermieden und so die Maturität in den GRC-Disziplinen kontinuierlich verbessert. Auch der Zugriff auf aktuelle Informationen ist für alle Interessengruppen sichergestellt.
Wie sieht es in Ihrem Unternehmen aus mit GRC-/IKT-Anwendungen? Wenn Sie näheres über unsere Lösung von HiScout erfahren möchten, dann melden Sie sich. Unsere Cyber Security Consultants beraten Sie gerne.
Grafik in Anlehnung an: https://www.isb.admin.ch/isb/de/home/ikt-vorgaben/sicherheit/si001-ikt-grundschutz_in_der_bundesverwaltung.html