Umsetzung der Cyber Trust Austria Silber und Gold Label

Für die Erreichung eines Cyber Trust Austria Silber oder Gold Labels müssen Sie alle 14 Anforderungen B1 bis B14 erfüllen und zusätzlich die 11 Anforderungen A1 bis A11. Die A‑Anforderungen sind zum Teil aufwendiger in der Umsetzung und erfordern einen erhöhten kommerziellen Aufwand.

Mit unseren Praxistipps können Sie viel Zeit und Geld sparen, indem Sie die Anforderungen besonders effizient und kostensparend erfüllen*. Die Empfehlungen richten sich primär an KMU Unternehmen.

Anforderung A1 — Überprüfen sie ihre eingesetzte Software auf Sicherheitslücken?

Ein Tool zum Schwachstellenscannen muss im Einsatz sein und muss mindestens einmal pro Monat verwendet werden.

SEC4YOU Empfehlung

Nutzen Sie einen Vulnerability-Scanner in Ihrem Unternehmensnetzwerk und prüfen Sie zumindest monatlich alle Systeme auf Schwachstellen. Der Vulnerability-Scan muss authentisiert durchgeführt werden, damit bei der Überprüfung alle erforderlichen Informationen ermittelt und bewertet werden können.

Auch wenn es nicht konkret in der Anforderung steht, müssen Sie natürlich die identifizierten Schwachstellen entsprechend Ihrer Informationssicherheitsrichtlinie beheben oder mitigieren.

Wir nutzen in unseren Projekten eine kostengünstige Scan-Software, die auf einer VMware oder Hyper‑V virtuellen Maschine gleichzeitig mehrere Netzwerksegmente prüfen kann und keine Einschränkung bei der Anzahl der IP-Adressen hat. Sprechen Sie uns an, gerne vermitteln wir eine Testlizenz.

Aufwand/Kosten

Eigenleistung (blau) vs. Fremdleistung (rot)

Anforderung A2 — Haben Sie Mechanismen im Einsatz, die bei der Erstellung bzw. dem Erwerb von Software deren Sicherheit überprüfen?

Es gibt eine Policy zur sicheren Software-Entwicklung, welche Sicherheitsanforderungen, Secure Coding Rules sowie ein Testkonzept umfasst. Für den Erwerb von Software gibt es eine Sicherheits-Anforderungsliste und einen Prozess zur Risikoanalyse des Anbieters.

SEC4YOU Empfehlung

Die in der Anforderung B1 erstellte Richtlinie enthält (sofern Sie die SEC4YOU Vorlage nutzen) passende Sicherheitsvorhaben für die Erstellung bzw. den Erwerb von Software. Die Informationssicherheitsrichtlinie enthält auch eine Anforderungsliste, speziell auch für Cloud-Lösungen und eine Prozessbeschreibung für die Risikobewertung des Anbieters.

Zusätzlich empfehlen wir unsere Vorlage Secure Coding Manual, das elementare Vorgaben für Software-Entwickler in Bezug auf sichere Softwareentwicklung und Releasetests bietet.

Aufwand/Kosten

Eigenleistung (blau) vs. Fremdleistung (rot)

Anforderung A3 — Führen Sie in ihrer Systemlandschaft Penetration Tests durch?

Zumindest alle zwei Jahre werden Penetration Tests durchgeführt, welche die Angreifbarkeit des Unternehmens prüfen.
Aus den gefundenen Schwachstellen werden Maßnahmen abgeleitet und umgesetzt.

SEC4YOU Empfehlung

Planen Sie zumindest alle zwei Jahre einen Penetrationstest in Ihrem Netzwerk. Hierbei reicht es nicht nur die externen IT-Dienste zu prüfen, sondern der PenTest muss die gesamte Systemlandschaft inklusive der Anwendungen umfassen. Kleinen Unternehmen mit geringer Komplexität der IT-Infrastruktur empfehlen wir einen PenTest mit 2–3 Tagen Aufwand, mittleren Unternehmen mit komplexeren IT-Systemen 5–10 Tage durchzuführen. Gerne unterstützen wir mit einem passenden Angebot.

Alle gefunden Schwachstellen müssen entsprechend Ihrer Informationssicherheitsrichtlinie in Abhängigkeit der Schwere der Schachstelle priorisiert und dann behoben oder mitigiert werden.

Aufwand/Kosten

in der Regel Fremdleistung

Anforderung A4 — Überwachen Sie ihre Netzwerke auf ungewöhnliche Aktivitäten und Anomalien?

Es muss mindestens ein Intrusion Detection / Prevention System im Einsatz sein, das entweder über Baselining-Ansatz oder über heuristische Prozesse bzw. Machine Learning Verdacht auf unautorisierte Aktivitäten im Netzwerk identifizieren kann.

SEC4YOU Empfehlung

Die Anforderung lässt sich am einfachsten mit einer Network-Detection-and-Response (NDR) Lösung realisieren. Hierbei werden entsprechende Netzwerk-Probes oder Sensoren im Netzwerk installiert, die auffällige Aktivitäten im Netzwerk erkennen und in der Regel auch blockieren kann.

Sofern Sie auf Ihren Endgeräten und wesentlichen Servern eine Extended-Detection-and-Response (XDR) Lösung installieren können, ist das auch ein adäquater Weg über Anomalien auf Systemen und im Netzwerk zu erkennen und darauf zu reagieren. Mit einem entsprechenden Upgrade Ihrer Malware/Antivirenlösung auf eine XDR Lösung können Sie diese Anforderung erfüllen.

Aufwand/Kosten

in der Regel Fremdleistung

Anforderung A5 — Haben Sie Whitelisting im Einsatz, um die Ausführung nicht autorisierter Prozesse und Anwendungen zu unterbinden?

Auf allen Systemen (Clients/Servern) muss ein Mechanismus aktiv sein, der nur freigegebene Prozesse und Anwendungen ausführen lässt.

SEC4YOU Empfehlung

Die meisten Malware/Antiviren-Lösungen bieten eine Whitelisting-Funktion für autorisierte Prozesse und Anwendungen. Dennoch ist die strikte Kontrolle der Applikationen auf BenutzerInnen Endgeräten und Servern ein nicht zu unterschätzender Anpassungsaufwand. Starten Sie das Projekt frühzeitig, damit es ihr Cyber Trust Austria Label nicht verzögert.

Aufwand/Kosten

in Eigenleistung möglich

Anforderung A6 - Verwalten sie Identitäten und Berechtigungen aller Benutzer in nachvollziehbarer Weise?

Eine Identitäts- und Berechtigungsverwaltung ist im Einsatz, die alle Identitäten und deren Berechtigungen eindeutig auf Personenbasis nachvollziehbar macht.
Die Berechtigungsverwaltung muss auch administrative Berechtigungen sowie Berechtigungen für Zugänge zu Kundensystemen umfassen.

SEC4YOU Empfehlung

Ähnlich wie bei der Anforderung B6, bei der es um Berechtigungsmanagement geht, müssen Sie für die Anforderung A6 Richtlinien für die Benutzerverwaltung implementieren. Die in B1 erstellten Richtlinien (sofern Sie auf der SEC4YOU Vorlage basieren) umfassen Vorgaben für den vollständig Life-Cycle von Benutzerkonten, von der Anlage, Änderung z.B. bei Namensänderung und auch Vorgaben beim Austritt eines/einer MitarbeiterIn. Ohne ein zentrales Benutzerverzeichnis wie Microsoft Active Directory oder Azure Active Directory oder andere vergleichbare Dienste werden Sie die Nachvollziehbarkeit nicht nur sehr schwer erreichen. Achten Sie darauf, dass die den Benutzerkonten immer eindeutigen Personen zugewiesen werden, das gilt auch für Administratorkonten. Nur so können Sie sicherstellen, dass alle Änderungen in der Benutzerverwaltung und im Berechtigungsmanagement transparent nachvollziehbar sind.

Sollten Sie IT-Zugänge bei Ihren Kunden haben, müssen Sie auch diese Zugänge und Berechtigungen dokumentieren und eindeutigen Personen zuweisen. Sofern es möglich ist, teilen Sie Kundenzugänge nicht auf mehrere Ihrer MitarbeiterIn auf, sondern nutzen Sie Jump-Hosts oder Privileged Access Management (PAM) Lösungen für die Kundenzugänge. Solche Systeme bieten eine klare Protokollierung welche MitarbeiterInnen auf Kundensystem zugegriffen haben und was in der Sitzung geändert wurde.

Ohne die Verwaltung von Zugängen zu Kundensystemen:

Aufwand/Kosten

in Eigenleistung möglich

Sofern Sie Zugänge zu Kundensystemen haben:

Aufwand/Kosten

Eigenleistung (blau) vs. Fremdleistung (rot)

Anforderung A7 — Haben Sie ein Security Event & Information Management im Einsatz, das die Log Files ihrer Systeme korreliert und analysiert?

Es ist ein SIEM im Einsatz, an das zumindest die kritischen Netzwerk- und Sicherheitssysteme angeschlossen sind und deren Logfiles laufend korreliert und auf Unregelmäßigkeiten analysiert werden.

SEC4YOU Empfehlung

Ein SIEM System ist ein zentraler Log-Server mit Analyse- und Alarmierungsfunktion. Die Anforderung ist als Erweiterung der Protokollierungsanforderung aus B13 zu sehen. Es gibt zahlreiche sehr teure kommerzielle SIEM Produkte, einige für den Betrieb im eigenen Netzwerk, andere werden durch spezialisierte Dienstleister betrieben und wieder andere wie Microsoft Sentinel werden als Cloud-Lösung angeboten. Schnell gibt es auch in kleineren Unternehmen viele Gigabyte an sicherheitsrelevanten Protokolldaten pro Tag und die Kosten für eine SIEM Lösung steigen auf viele Tausend Euro pro Monat.

Wie raten Kunden die Einsatzkosten des Betriebes einer SIEM Lösung frühzeitig zu evaluieren, bevor Sie übereilt ein vermeintlich günstiges Einstiegsangebot mit Ihren Logs testen. Im April 2023 hat SEC4YOU eine große Evaluierung unterschiedlicher Open Source SIEM Lösungen begonnen, um die Technologie auch in kleineren Kundenprojekten nutzbar zu machen. Details zum Fortschritt der SIEM Evaluierung und Veröffentlichungen zu den Einsatzempfehlungen finden posten wir in unserem SECURITY BLOG.

Aufwand/Kosten

Eigenleistung (blau) vs. Fremdleistung (rot)

Anforderung A8 — Haben oder nutzen Sie ein Security Operations Team?

Es müssen Mitarbeiter mit nachgewiesenen Qualifikationen im Bereich IT-Sicherheit im Unternehmen beschäftigt sein oder es muss ein SLA mit einem entsprechenden Unternehmen bestehen,das die laufende Überwachung übernimmt.
Verdachtsfälle müssen untersucht werden und bei bestätigten Vorfällen muss eine Alarmierung stattfinden sowie – sofern relevant – betroffene Kunden informiert werden.

SEC4YOU Empfehlung

Dies ist mit Abstand die teuerste Anforderung, da Sie ein Security Operations Team benötigen, dass Alarme aus dem SIEM System, von Ihrer Malware-Protection, von Ihrem Schwachstellen-Scanner und anderen Überwachungstools bearbeitet. Auch wenn nicht von einer 24x7 Überwachung gesprochen wird, können Sie eine solche Überwachung nicht mit einer Person selbst durchführen. Wenn Sie selbst ein Security Operations Team aufbauen, benötigen Sie zumindest 2–3 Personen und eine Rufbereitschaft für die Wochenenden. Eine besondere Herausforderung ist auch die nachgewiesene Qualifikation, dafür müssen Sie die MitarbeiterInnen regelmäßig zu Expertenschulungen senden, um auch diffizile Angriffe erkennen zu können.

Alternativ können Sie die Überwachung von Sicherheitsereignissen auch an spezialisierte Dienstleister auslagern, entweder im Zuge der SIEM Auslagerung oder als Erweiterung einer Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) Lösung.

Aufwand/Kosten

Eigenleistung (blau) vs. Fremdleistung (rot)

Anforderung A9 — Können Sie auf qualifizierte Ressourcen zurückgreifen, wenn Sie einen schwerwiegenden Sicherheitsvorfall haben?

Es müssen Mitarbeiter mit nachgewiesenen Qualifikationen in den Bereichen vertiefte Incident Response und IT-Forensik im Unternehmen beschäftigt sein oder es muss ein SLA mit einem entsprechenden Unternehmen bestehen, bzw. der Zugriff auf ein solches muss über eine Cyberversicherung gedeckt sein.

SEC4YOU Empfehlung

Nur sehr große Unternehmen können sich ein eigenes Incident Response Team leisten. Besser ist es Verträge mit einem spezialisierten Dienstleister abzuschließen, der bei einem Sicherheitsvorfall ein Incident Response Team bereitstellt, die IT-Forensik übernimmt und ggfls. Verhandlungen mit Erpressern führt. Diese Maßnahme ist keine Prävention gegen Cybersicherheitsvorfälle, sondern ausschließlich zur Schadensminimierung gedacht.

Unser Tipp ist der Abschluss einer Cyberversicherung, da diese in der Regel die Bereitstellung eines Incident Response und IT-Forensik Teams inkludiert. Gerne helfen wir bei der Auswahl einer passenden Cyberversicherung.

Aufwand/Kosten

in der Regel Fremdleistung

Anforderung A10 — Verfügen Sie über ein getestetes Resilienzkonzept, das ihre Betriebskontinuität sicherstellt?

Das Resilienzkonzept muss präventive und reaktive Maßnahmen umfassen, um auf schwere Sicherheitsvorfälle reagieren zu können und somit Betriebskontinuität sicherzustellen. Schwerwiegende Sicherheitsvorfälle sind unter anderem:

Ausfall der Systeme,
Schadsoftware-Befall (inkl. Kryptolocker) sowie
Data Leakage
Zielgerichtete Hackingangriffe (z.B. APTs)

Bei Betrieb kritischer Anwendungen in der Cloud müssen diese Maßnahmen und Tests vom Cloud-Betreiber nachgewiesen werden (z. B. über ISAE 3402-Berichte). Tests müssen mindestens einmal jährlich durchgeführt und notwendige Verbesserungsmaßnahmen umgesetzt werden.

SEC4YOU Empfehlung

Erstellen Sie Ihren IT-Notfallplan auf Basis einer Business-Impact-Analyse für Ihre wesentlichen IT-Dienste und legen Sie RTO und RPO fest. Führen Sie dann ein Risiko-Assessment für Ihre wesentlichen IT-Dienste durch und dokumentieren Sie die die schwerwiegenden Risiken. Erstellen Sie basierend auf den identifizierten Risiken für alle wesentlichen IT-Dienste jeweils ein dokumentiertes Resilienzkonzept (in der Regel sind das Redundanzen, Backup/Restore Maßnahmen, Notbetriebsprozeduren und Wiederanlaufplanungen), um deren Betriebskontinuität sicherzustellen. Führen Sie zu den Resilienzkonzepten jährliche thematisch wechselnde Notfallübungen durch.

Sofern Sie wesentliche IT-Dienste in der Cloud betreiben, verlangen Sie von Ihrem Cloud-Anbieter ebenfalls Nachweise für die Betriebskontinuität und zugehörige Tests.

Aufwand/Kosten

in Eigenleistung möglich

Anforderung A11 — Haben sie einen Prozess zum Management ihrer Lieferantenrisiken?

Es muss einen dokumentierten Prozess geben, welcher vorab und laufend sicherstellt, dass kritische Lieferanten ihre Risiken bezüglich Informationssicherheit und Business Continuity Management adäquat managen.

SEC4YOU Empfehlung

Wie auch andere Normen wie die ISO 27001 oder VDA ISA / TISAX^® fordert die Anforderung eine Informationssicherheitsbewertung kritischer Lieferanten.

Die SEC4YOU beschäftigt sich seit Jahren mit dem Thema Lieferantenmanagement in zahlreichen ISMS Zertifizierungsprojekten unserer Kunden und wir haben im Frühjahr 2023 unseren gesamten Lieferantenmanagement-Prozess im Leitartikel Lieferantenbewertung nach ISO 27001:2022 veröffentlicht. Hier zeigen wir Kunden wie sie InfoSec relevante (wesentliche) Lieferanten mit nur 5 Kontrollfragen identifizieren können und legen dann passgenaue Mindestanforderungen für diese Lieferanten fest. Der Einkauf soll diese Bewertung für neue Lieferanten durchführen und jährlich die bestehenden Bewertungen überprüfen.

Aufwand/Kosten

in Eigenleistung möglich

*) Bitte beachten Sie, dass unsere Empfehlungen nach besten Wissen erhoben wurden, aber aufgrund von unterschiedlichen Rahmenbedingungen in einzelnen Unternehmen keinen Anspruch auf Vollständigkeit darstellen können.

Hier geht es zu den B‑Anforderungen des Standard Labels

Umsetzung der Cyber Trust Austria Silber und Gold Label