Management Summary

Für das Frühjahr 2024 ist bereits das neue NIST Cybersecurity Framework (CSF) in Version 2.0 angekündigt, das aktuell als Public Draft auf der Webseite des National Institute of Standards and Technology vorliegt.

Es soll die bisherige, weit verbreitete Version 1.1 mit folgendem Ziel ersetzen:

“With this update, we are trying to reflect current usage of the Cybersecurity Framework, and to anticipate future usage as well. The CSF was developed for critical infrastructure like the banking and energy industries, but it has proved useful everywhere from schools and small businesses to local and foreign governments. We want to make sure that it is a tool that’s useful to all sectors, not just those designated as critical.”

Cherilyn Pascoe, leitender Entwickler des Frameworks

Die Änderungen der Version 2.0 im Überblick

In diesem Abschnitt möchten wir einen Überblick über wesentliche Änderungen in der Entwurfsversion geben:

• Ausweitung des Geltungsbereichs des Rahmenwerks: Der Geltungsbereich bezieht sich in der neuen Version auf alle Organisationen, unabhängig von ihrer Art und Größe, und nicht mehr nur auf kritische Infrastrukturen. Dies zeigt sich auch in dem neuen, allgemeiner formulierten Titel „The Cybersecurity Framework“ (statt bisher: „Framework for Improving Critical Infrastructure Cybersecurity“).
• Verbesserung und Erweiterung der Leitlinien für die Umsetzung des CSF: Insbesondere die Erstellung von Profilen wird durch Umsetzungsbeispiele für die Unterkategorien erleichtert.
• Hinzufügen einer neuen Funktion: Zusätzlich zu den fünf bestehenden Funktionen wurde die sechste Funktion „Govern“ hinzugefügt, die sich damit befasst, wie eine Organisation ihre eigenen internen Entscheidungen zur Unterstützung ihrer Cybersicherheitsstrategie treffen und ausführen kann. Durch sie wird betont, dass die Cybersicherheit eine Hauptquelle von Unternehmensrisiken ist, die neben anderen Risiken von der Führungsebene berücksichtigt werden muss.

Kerninhalte des NIST Cybersecurity Frameworks 1.1

Bis zur finalen Veröffentlichung der neuen Version ist jedoch weiterhin das Cybersecurity Framework in Version 1.1 gültig, das für den Umgang mit Cybersicherheitsrisiken sehr sinnvoll genutzt werden kann.

Der priorisierte, flexible, wiederholbare, leistungsbasierte und kosteneffiziente Ansatz des Rahmenwerks besteht aus drei Komponenten (Framework Core, Framework Implementation Tiers, Framework Profile).

Der Framework Core setzt sich wiederum aus fünf Funktionen zusammen, die in Kategorien und Unterkategorien untergliedert sind und informative Referenzen beinhalten:

• Identify: Entwicklung eines organisatorischen Verständnisses für das Management von Cybersicherheitsrisiken für Systeme, Vermögenswerte, Daten und Fähigkeiten. Beispiele für Kategorien dieser Funktion: Asset Management, Business Environment, Risk Management Strategy
• Protect: Entwicklung und Umsetzung geeigneter Schutzmaßnahmen zur Gewährleistung der Bereitstellung kritischer Infrastrukturdienste. Beispiele für Kategorien dieser Funktion: Awareness and Training, Maintenance, Protective Technology
• Detect: Entwicklung und Umsetzung geeigneter Maßnahmen, um das Auftreten eines Cybersicherheitsereignisses zu erkennen. Beispiele für Kategorien dieser Funktion: Anomalies and Events, Security Continuous Monitoring, Detection Processes
• Respond: Entwicklung und Umsetzung geeigneter Maßnahmen für den Fall eines aufgedeckten Cybersicherheitsvorfalls. Beispiele für Kategorien dieser Funktion: Response Planning, Communications, Analysis
• Recover: Entwicklung und Umsetzung geeigneter Maßnahmen zur Aufrechterhaltung von Plänen für die Ausfallsicherheit und zur Wiederherstellung von Fähigkeiten oder Diensten, die durch ein Cybersecurity-Ereignis beeinträchtigt wurden. Beispiele für Kategorien dieser Funktion: Recovery Planning, Improvements, Communications

Wie eine Organisation dieses Rahmenwerk nun nutzen kann, um ein neues Cybersicherheitsprogramm zu erstellen oder ein bestehendes Programm zu verbessern, wird in Kapitel 3.2 „Establishing or Improving a Cybersecurity Program“ anhand von sieben Schritten beschrieben:

• Step 1: Prioritize and Scope
• Step 2: Orient
• Step 3: Create a Current Profile
• Step 4: Conduct a Risk Assessment
• Step 5: Create a Target Profile
• Step 6: Determine, Analyze, and Prioritize Gaps
• Step 7: Implement Action Plan

Systemgestützte Umsetzung des Cybersecurity Frameworks

Um aufzuzeigen, wie das Cybersecurity Framework mithilfe von ibi systems iris umgesetzt werden kann, orientieren wir uns an den Schritten aus Kapitel 3.2 des Rahmenwerks sowie an den Inhalten der einzelnen Funktionen.

In einem ersten Schritt werden die Geschäftsprozesse in ibi systems iris erfasst. Nachdem der Umfang der zugehörigen Systeme und Anlagen festgelegt wurde, werden diese in Form von Assets identifiziert und ihre Abhängigkeiten zu den Prozessen modelliert. Für jedes individuelle Asset und jeden Prozess kann ein individueller Schutzbedarf, z.B. nach CIA, hinterlegt werden. Anhand der Modellierung der Assets und Prozesse zueinander wird für jedes Element auch ein tatsächlicher, über die Modellierungsbeziehungen geerbter Schutzbedarf errechnet. Sowohl die Assets als auch die Prozesse werden bei deren Erfassung im System verantwortlichen Organisationseinheiten zugewiesen.

Um als nächstes zu überprüfen, welche Ergebnisse derzeit hinsichtlich des aktuellen Profils erreicht werden, kann die von uns implementierte Prüfvorlage zum Kern des Rahmenwerks genutzt werden. In der daraus abgeleiteten Prüfung kann für alle Unterkategorien, die in den Kategorien eingeordnet sind, der jeweilige Erfüllungsgrad (nicht umgesetzt, teilweise umgesetzt, umgesetzt) angegeben werden. Um der Flexibilität des Rahmenwerks gerecht zu werden, können für die Prüfung auch individuelle Kategorien und Unterkategorien mit eigens festgelegten Zielwerten definiert werden. Für einen Überblick über den Erfüllungsgrad mehrerer oder aller Kategorien, kann der entsprechende Erfüllungsgrad beispielsweise in Prozent ausgegeben werden. Auf diese Weise können mögliche Gaps identifiziert werden.

Werden bei der Prüfungsdurchführung Schwachstellen, Risiken oder Maßnahmen identifiziert, können diese direkt aufgenommen werden. Mithilfe der Prüfautomationen können bei einer Abweichung vom Zielwert auch automatisch Maßnahmenempfehlungen aus einem hinterlegten Maßnahmenkatalog vorgeschlagen werden.

In der anschließenden Bewertung der identifizierten Risiken werden die Risiken in den Dimensionen Schadenauswirkung und Eintrittswahrscheinlichkeit bewertet, was visuell in einer Risikomatrix dargestellt wird. Nach der Bewertung wird die jeweilige Risikobehandlungsstrategie mit den dazugehörigen Maßnahmen festgelegt. Der Umsetzungsstand der Maßnahmen ist für alle Beteiligten stets transparent und nachvollziehbar.

Um den Fortschritt des aktuellen Profils zu überwachen, können in ibi systems iris die sogenannten Prüfaktivitäten genutzt werden. Diese ermöglichen es Ihnen, Ihr Profil in regelmäßigen Abständen durch automatisch erstellte Prüfungen zu bewerten.

Fazit

Mithilfe von ibi systems iris werden Sie umfangreich bei dem flexiblen Vorgehen nach dem Cybersecurity Framework und dem Management von Cybersicherheitsrisiken unterstützt. Die von uns implementierte Prüfvorlage zum Kern des Frameworks aus Version 1.1 stellt dabei eine aussagekräftige Bewertung des Framework Profils sicher.

Die Fertigstellung von Version 2.0 wird von uns auch weiterhin verfolgt, so dass wir unseren Kunden die aktualisierte Prüfvorlage zur Verfügung stellen können, sobald die finale Veröffentlichung erfolgt ist.

 

 

Zurück zur Übersicht

_____________________

Quellen:

https://www.nist.gov/cyberframework/framework

https://www.nist.gov/news-events/news/2023/08/nist-drafts-major-update-its-widely-used-cybersecurity-framework

Management Summary

Nachdem bislang der BSI-Standard 100-4 „Notfallmanagement“ eine Hilfestellung für das Business Continuity Management (BCM) bietet, wird derzeit der BSI-Standard 200-4 „Business Continuity Management“ als Modernisierung des bisherigen Standards aufbereitet. Der neue BSI-Standard 200-4 wird den BSI-Standard 100-4 ablösen. Dieser soll als alleinstehender Standard anwendbar sein und den Aufbau und die Etablierung eines Business Continuity Management Systems (BCMS) mithilfe praxisnaher Anleitungen unterstützen.

Die umfassenden Neuerungen können bereits in der vorläufigen Version, die auf der Webseite des BSI heruntergeladen werden kann, eingesehen werden.

Kerninhalte des BSI-Standards 200-4

Anschließend möchten wir Ihnen einen kurzen Überblick über die Kerninhalte des BSI-Standards 200-4 geben.

Planung des BCMS (Plan)

In der ersten Phase „Planung des BCMS“ werden die Anforderungen relevanter Interessensgruppen an das BCMS analysiert, die Dokumentation wird näher festgelegt und die Leitlinie verfasst.

Umsetzung des BCMS (Do)

Im Rahmen der zweiten Phase „Umsetzung des BCMS“ wird die Besondere Aufbauorganisation (BAO) aufgebaut und befähigt. Das heißt, dass sie im Krisen- und Notfall erreichbar und handlungsfähig ist. Im Fokus dieser Phase stehen die Geschäftsprozesse. Sie sollen erfasst und angemessen abgesichert werden. Die Software ibi systems iris bietet hier umfassende Unterstützungsmöglichkeiten, welche in einem der folgenden Kapitel aufgezeigt werden.

Überprüfung des BCMS (Check)

Bei der „Überprüfung des BCMS“ wird anhand von Tests und Übungen überprüft, ob die in der Theorie beschriebenen Strukturen, Notfallpläne und im Besonderen die reaktiven Maßnahmen auch in der Praxis wirksam sind. Darüber hinaus wird mittels Leistungsüberprüfungen untersucht, ob die Vorgaben des BCMS eingehalten und die Ziele erreicht werden.

Korrektur und Verbesserung des BCMS (Act)

In der vierten Phase „Korrektur und Verbesserung des BCMS“ werden mithilfe der identifizierten Verbesserungsmöglichkeiten und Korrekturbedarfe konkrete Verbesserungs- und Korrekturmaßnahmen entwickelt, umgesetzt und weiter nachverfolgt.

Absicherung der Geschäftsprozesse mit der Software ibi systems iris nach BSI-Standard 200-4

Im Folgenden wird aufgezeigt, welche Schritte zur angemessenen Absicherung der Geschäftsprozesse notwendig sind und wie Sie unsere Software ibi systems iris bei der Umsetzung der Schritte unterstützen kann.

Voranalyse

Um die Anzahl an Geschäftsprozessen zu beschränken, die in der anschließenden Business Impact Analyse untersucht werden, kann im ersten Schritt eine Voranalyse durchgeführt werden. Hierbei wird eine Vorauswahl getroffen, durch die auf die potenziell zeitkritischsten Prozesse eingegrenzt wird. Um auf zeitkritische Prozesse eingrenzen zu können, muss allerdings zuerst der Begriff „zeitkritisch“ definiert werden. Dies geschieht, indem ein Untersuchungszeitraum (z.B. innerhalb von 7 Tagen), Schadensszenarien (z.B. negative Außenwirkung) und Schadenskategorien (z.B. gering – sehr hoch) festgelegt werden. Durch ein Untragbarkeitsniveau wird dann in Form einer Schadenskategorie (z.B. hoch) die Grenze bestimmt, ab der die Auswirkungen durch den Ausfall eines Geschäftsprozesses nicht länger toleriert werden können.

Aufbauend darauf können die potenziell zeitkritischsten Prozesse identifiziert werden, indem ausgewählte Organisationseinheiten dazu befragt werden, ob bei einem Ausfall der Geschäftsprozesse dieser Organisationseinheit z.B. innerhalb von 7 Tagen hohe Schäden für die Institution zu erwarten sind.

In der Software ibi systems iris können die bei der Voranalyse festgelegten Schadensszenarien und Schadenskategorien bereits als Vorarbeit für die anschließende BIA individuell für Sie konfiguriert werden. Alternativ steht Ihnen diesbezüglich aber auch eine Standardkonfiguration zur Verfügung. Nachdem die zeitkritischsten Prozesse mittels der Befragungen bestimmt wurden, können diese in ibi systems iris bei den Prozessen erfasst und als kritisch vermerkt werden. In der Software werden alle Prozesse in einer filterbaren Listenansicht ausgegeben, wodurch mittels des Filters nach kritischen Prozessen eine schnelle Übersicht über alle kritischen Prozesse möglich ist.

Business Impact Analyse (BIA)

Mittels der anschließenden Business Impact Analyse wird die Voranalyse verfeinert. Diesbezüglich wird untersucht, welche Geschäftsprozesse hinsichtlich des Analysebereichs zeitkritisch sind und ab wann es zu nicht tolerierbaren Auswirkungen durch deren Ausfall kommt.

In der Software ibi systems iris kann dies über die Schadensbewertung der Geschäftsprozesse ermittelt werden.

Hierbei wird das Schadenspotenzial (z.B. gering – sehr hoch) unterschiedlicher Schadensszenarien (z.B. negative Außenwirkung) zu unterschiedlichen Zeiten (z.B. 24 Stunden – 30 Tage) aufgezeigt. Daraus kann in Zusammenhang mit dem zuvor in der Voranalyse festgelegtem Untragbarkeitsniveau die maximal tolerierbare Ausfallzeit abgelesen und angegeben werden.

Für zeitkritische Geschäftsprozesse können zusätzlich die Prozessabhängigkeiten, die zugrundeliegenden Ressourcen und Wiederanlaufzeiten in der Software erfasst werden.

Soll-Ist-Vergleich

Bei dem folgenden Soll-Ist-Vergleich werden die geforderte Wiederanlaufzeit und die erreichbare Wiederanlaufzeit gegenübergestellt. Es wird überprüft, ob die Wiederanlaufzeit durch vorhandene organisatorische und technische Maßnahmen erreicht werden kann.

Um den Soll-Ist-Vergleich von Wiederanlaufzeiten in ibi systems iris durchführen zu können, werden die entsprechenden Zeiten inkl. Notfallaktivitäten bei den Prozessen eingetragen.

Für eine Übersicht des Vergleichs werden zuerst Notfallszenarien, die theoretisch eintreten könnten, mit Prozessen und Assets verknüpft, deren Ausfall sie verursachen können. Aus einem Notfallszenario für betroffene Assets und Prozesse kann anschließend ein Notfallereignis als Übung abgeleitet werden, bei dem der Soll-Ist-Vergleich der Wiederanlaufzeiten zu sehen ist.

Wird die geforderte Wiederanlaufzeit nicht erreicht, ermöglicht dies die Einschätzung möglicher Risiken. Diese können in der Software ibi systems iris unter anderem mit betroffenen Prozessen und Assets verknüpft werden.

BCM-Risikoanalyse und Business-Continuity-Strategien und -Lösungen

Die BCM-Risikoanalyse betrachtet die möglichen Ursachen für den Ausfall des Geschäftsbetriebs. Es wird ermittelt, gegen welche Gefährdungen der Geschäftsbetrieb abgesichert werden soll, bzw. bei welchen Gefährdungen das Risiko so hoch ist, dass abgesichert werden soll.

Um dies abzubilden, werden in ibi systems iris zuerst Risiken hinterlegt und mit den betroffenen Prozessen und Assets verknüpft. Mithilfe des Widgets „Zuordnungen“ oder geeigneter Filter lassen sich die Verknüpfungen übersichtlich darstellen und einfach erkennen. Im Anschluss kann die Risikoeinschätzung und -bewertung hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit eines Risikos anhand mehrerer alternativer Bewertungsmethoden (einfach, kategoriebasierte Bewertung mit Durchschnitt bzw. Maximalwert) durchgeführt werden. Hierbei wird zuerst eine (IST-)Bewertung vorgenommen. Danach kann als rein kalkulatorischer Wert noch eine SOLL-Bewertung angegeben werden, die die gewünschte Risikoentwicklung darstellt.

Mittels einer Risikomatrix kann die erfolgte (IST-)Bewertung übersichtlich dargestellt und der weitere Handlungsbedarf im Sinne der Risikobehandlungsstrategie (z.B. Risikoreduktion) abgeleitet und der Software hinterlegt werden.

Die abgeleiteten Handlungsbedarfe bilden die Grundlage der weiteren Notfallplanung. Folglich müssen die Handlungsbedarfe mit Business-Continuity-Strategien und -Lösungen behandelt werden.

Hierfür können in ibi systems iris mögliche Maßnahmen mit den Risiken verknüpft werden. Nachdem eine Maßnahme umgesetzt und das Risiko behandelt wurde, erfolgt eine Neubewertung des Risikos in Form einer neuen (IST-)Bewertung.

Dieser iterative Vorgang wird solange wiederholt, bis das Risiko auf einem Niveau ist, welches so hingenommen werden kann (Risikobehandlung = Risikoakzeptanz).

Geschäftsfortführungs-, Wiederanlauf- und Wiederherstellungsplanung

Die Geschäftsfortführungs- Wiederanlauf- und Wiederherstellungspläne bilden zusammen mit den Informationen aus dem Aufbau und der Befähigung der BAO die Inhalte des Notfallhandbuchs, welches die zentrale Dokumentensammlung zur erfolgreichen Notfallbewältigung ist.

In der Software ibi systems iris gibt es die Möglichkeit anhand von Berichten einen Wiederanlauf- und Wiederherstellungsplan zu erstellen. Ersterer baut beispielsweise auf den hinterlegten Notfallaktivitäten hinsichtlich der Wiederanlaufzeit bei den Prozessen auf. Des Weiteren können auch bei den Notfallszenarien Notfallaktivitäten hinterlegt und durch einen Bericht ausgegeben werden.

Fazit zum BSI-Standard 200-4 mit ibi systems iris

Die Software ibi systems iris kann Ihnen also bei den Schritten zur Umsetzung der angemessen Absicherung der Geschäftsprozesse nach BSI-Standard 200-4 behilflich sein. Kommen Sie bei Interesse daran oder offenen Fragen gerne jederzeit auf uns zu.

 

 

Zurück zur Übersicht

____________________

TISAX®: Rollen, Vorgehen und Vorteile

TISAX® steht für Trusted Information Security Assessment eXchange. Vor dem Hintergrund der Informationssicherheit in der Automobilindustrie stellt TISAX® ein unternehmensübergreifendes Prüf- und Austauschverfahren dar. Das Ziel ist, den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie letztlich im Betrieb von Fahrzeugen sicherzustellen.

Dies erfolgt über ein Informationssicherheitsmanagementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis der Norm ISO 27001 hat der Verband der Automobilindustrie e. V. (VDA) den speziellen Information Security Assessment (ISA) Anforderungs- und Prüfkatalog entwickelt.

Die Wirksamkeit eines ISMS kann über Assessments (Prüfungen) gegen den VDA ISA nachgewiesen werden. Bei erfolgreicher Prüfung, z.B. durch TÜV NORD, wird von ENX – der Administrator des TISAX®-Programms – in dessen Datenbank ein TISAX®-Label ausgestellt. Dieses wird von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Audi, Volkswagen oder BMW anerkannt und gefordert.

Rollen

Rollen innerhalb des TISAX®-Vorgehens:

ENX Association: Die ENX Association verwaltet und entwickelt die „Audit Provider Criteria and Assessment Requirements“ (TISAX ACAR). Sie autorisiert Prüfdienstleister und überwacht die Qualität der Umsetzung sowie der Ergebnisse.

Prüfdienstleister: Der Prüfdienstleister ist von der ENX Association zugelassen und führt die Bewertung beim Teilnehmer durch. Der Prüfdienstleister stellt schließlich dem bewerteten Teilnehmer das Ergebnis zur Verfügung.

Teilnehmer: Der Teilnehmer ist ein in TISAX registriertes Unternehmen und wird vom Prüfdienstleister nach VDA ISA auditiert.

Vorgehen

Prüfungen nach VDA TISAX werden von Prüfdienstleistern durchgeführt. Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung sowie der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Zulieferers (Dienstleister und Lieferanten) den Anforderungen des Käufers entspricht.

Sollte die Prüfung ergeben, dass das Managementsystem noch nicht vollständig konform ist, kann der Teilnehmer einen Korrekturplan vorlegen. Dieser kann vom Prüfdienstleister anerkannt werden, sodass temporäre TISAX-Label vergeben werden können. Im Nachaudit werden diese dann ggf. in permanente Labels umgewandelt.

Wurde im Rahmen der TISAX-Prüfung keine Haupt- und Nebenabweichung festgestellt, dann ist die TISAX Zertifizierung erfolgreich verlaufen. Der Prüfdienstleister übermittelt das TISAX Zertifizierungsergebnis an die ENX. Diese wiederum veröffentlicht es auf der ENX TISAX Plattform. 

Vorteile

Das Prüf- und Austauschverfahren nach TISAX® bietet diverse Vorteile:

• Erleichterte Erneuerung bestehender Lieferantenbeziehungen
• Eröffnung neuer Geschäftsbeziehungen durch branchenweite Anerkennung
• Schaffung von Preistransparenz für Prüfungen
• Etablierung eines gemeinsamen Niveaus der Informationssicherheit in der Branche
• Schaffung von Wettbewerb zwischen Prüfdienstleistern
• Allgemeine Anerkennung der Prüfergebnisse
• Einsparung von Kosten und Aufwand bei Herstellern und Lieferanten

Systemgestützte Prüfungsdurchführung des VDA ISA…

Die Software ibi systems iris unterstütz sowohl den Teilnehmer beim Self-Assessment als auch den Prüfdienstleister bei der Prüfung nach dem Fragenkatalog des VDA ISA.

…für den Teilnehmer

Der Teilnehmer kann sich in Form eines Self-Assessments ideal auf die Prüfung durch den Prüfdienstleister vorbereiten. Beim Self-Assessment muss ein Reifegrad von 3 erreicht werden.

Die Prüfung nach VDA ISA kann mithilfe der Software ibi systems iris systemgestützt über die Weboberfläche durchgeführt werden. Im Rahmen dieser Prüfung ist als Ergebnis ein Reifegrad zwischen 0 und 5 für die verschiedenen Kontrollen anzugeben. Die Umsetzung kann gegebenenfalls durch Hochladen und Anhängen der relevanten Dokumente belegt werden. Falls bei einzelnen Kontrollen Abweichungen oder Nachbesserungsbedarf besteht, können direkt bei der Kontrolle Feststellungen (z.B. Abweichung) und/oder Maßnahmen (zur Nachbesserung) angehängt werden.

Ein umfangreiches Reporting über Berichte und Dashboards ist ebenso mit der Software möglich. Dadurch werden die Ergebnisse übersichtlich dargestellt und Abweichungen vom angestrebten Reifegrad fallen sofort ins Auge.

Ein Prüfdienstleister darf hier den Teilnehmer nicht unterstützen, sonst ist dieser Prüfdienstleister von der Prüfung ausgeschlossen. Das Self-Assessment erfolgt daher meist mit Unterstützung eines externen Beraters, um dem Teilnehmer zur Erreichung des Reifegrades 3 zu verhelfen.

…für den Prüfdienstleister

Für den Prüfdienstleister stellt die Software die ideale Plattform dar, um alle Prüfungen für die verschiedenen Teilnehmer in nur einem Tool abzubilden. Die Teilnehmer werden als „betroffene Assets“ mit der Prüfung verknüpft und die Ergebnisse vom Prüfer eingetragen. Der Prüfdienstleister hat somit stets den Überblick über den aktuellen Stand und die Ergebnisse der durchgeführten Audits.

Wie in den Screenshots zwei und drei weiter oben ersichtlich, stehen umfangreiche Möglichkeiten zur Verfügung Berichte über die durchgeführten Audits zu erstellen. Auch eine Offline-Durchführung der Prüfung ist möglich, wenn der Auditor etwa gerade beim Teilnehmer vor Ort keinen Netzwerkzugriff haben sollte. Weitere Details zur Offline-Durchführung von Prüfungen finden Sie hier.

Fazit

Durch ibi systems iris werden sowohl die Prüfdienstleister als auch die Teilnehmer bei den Audits bzw. den Self-Assessments nach VDA ISA unterstützt. Die Prüfungsdurchführung nach VDA ISA stellt dabei Dreh- und Angelpunkt des TISAX®-Vorgehens dar.

Neben den Funktionalitäten zum Prüfungsmanagement und dem zugehörigen Reporting, bietet die Software ibi systems iris noch viele weitere nützliche Features und Lösungen. Sprechen Sie uns gerne darauf an und wir zeigen Ihnen welche das sind.

 

 

Zurück zur Übersicht

____________________

Herausforderungen und Risiken

Die Anzahl an unterschiedlichen Software-Applikationen innerhalb der eigenen Firma nimmt stetig zu, von On Premise-Applikationen oder Cloudanwendungen über sämtliche  Schnittstellen zu Fremdsystemen inbegriffen. Aufgrund einer immer weiter voranschreitenden Digitalisierung steigt das Bedürfnis nach Sicherheit generell bei Anwendungen des IT-Systems. Allerdings wird durch die zunehmende Heterogenität des Anwendungstools auch die Gefahr immer größer, dass Dritte über Schwachstellen unerlaubt Zugriff auf die komplette IT-Infrastruktur einer Firma erlangen können. Wodurch ebenfalls das Sicherheitsbedürnis im IT-Bereich verstärkt wird.

Dabei tun sich Fragen von, welche Applikationen denn überhaupt in der Firma genutzt werden bis hin zu den Risiken, die durch die Nutzung der einzelnen Applikationen entstehen können, auf.

Toolgestützter Application Security Check

Um den offenen Fragen gerecht werden und dabei den Überblick behalten zu können, ist es möglich Ihre Applikationen toolgestützt, individuell und strukturiert über einen Application Security Check der notwendigen Prüfung zu unterziehen.

Ausgangspunkt kann hierbei das identifizierte Risiko darstellen, von welchem aus die entsprechende Applikation, ob aus dem Bestandssystem oder ebenso eine Neueinführung, in eine Prüfung überführt wird. Dabei wird ein Überblick über die vorhandenen Risiken und Schwachstellen erzeugt.

Der Application Owner des IT-Systems muss dafür einen Application Security Check durchführen, der zuvor individuell festgelegt und mit Detailfragen ausgearbeitet wurde.

Möglich ist es, die Prüfung dabei direkt in ibi systems iris, oder aber als Offline Prüfung via Excel durchzuführen.

Als Ergebnis der Prüfung wird automatisch der Schutzbedarf des IT-Systems festgestellt und dokumentiert. Der ermittelte Schutzbedarf kann dann einer erweiterten Risikobetrachtung zugrunde gelegt werden.

Andererseits ergeben sich mit den internen Richtlinien in Verbindung mit den technischen und organisatorischen Anforderungen Maßnahmenvorschläge, aus deren Umsetzung der gewünschte Sicherheitsgrad für die jeweilige Applikation resultiert.

Auf verschiedenen Dashboards kann das Sicherheitsniveau im Zeitverlauf überwacht werden. Da im Bereich der Software eine regelmäßige Überprüfung der einzelnen Applikationen von großer Bedeutung ist, ist es auch möglich, Prüfungen immer wieder von neuem durchzuführen und wie oben bereits beschrieben, mit den Ergebnissen der Prüfungen in die weiterführenden Bereiche abzuspringen.

Fazit

Über den Application Security Check können vier wesentliche Punkte auf einmal abgedeckt werden:

1. Bestimmung und Dokumentation des Schutzbedarfs je nach Applikation.
2. Automatische Ableitung von Maßnahmen, ebenso in Abhängigkeit der Applikation.
3. Überblick über offene Flanken und Schwachstellen der kompletten Applikationslandschaft.
4. Ableitung und Behandlung der resultierenden Risiken.

 

 

Zurück zur Übersicht

____________________