Haben Sie einen Service Provider engagiert? Hält dieser sich wirklich an die regulatorischen Vorgaben, zum Beispiel im Bereich der IT-Sicherheit? Mit diesem Tool überprüfen Sie die Qualität Ihres Dienstleisters.
Informationssicherheit und Datenschutz sind kompliziert und komplex
Alle Unternehmen – in Deutschland wie auch weltweit – unterliegen diversen regulatorischen Anforderungen. Eine zentrale, gesetzliche Regelung existiert leider nicht. Die Anforderungen und die damit zusammenhängende Pflichten ergeben sich aus unterschiedlichen Regelwerken und Normen. So hat beispielsweise für die Verarbeitung personenbezogener Informationen die europäische Datenschutz-Grundverordnung (DS-GVO) eine zentrale Bedeutung.
Darüber hinaus gibt es ergänzende Sondervorschriften, zum Beispiel für Unternehmen im Umfeld Kritische Infrastrukturen (KRITIS), Telekommunikation, Finance und Versicherung.
Das bedeutet: Unternehmen können in Sachen Informationssicherheit und Datenschutz nicht “vogelfrei” agieren! Sie müssen sich über die zahlreichen regulatorischen / branchenspezifischen Vorgaben informieren und diese einhalten. Ansonsten können rechtliche Konsequenzen drohen.
IT-Outsourcing ist am Ende immer Chefsache
Unternehmen nutzen zunehmend die Vorteile von Outsourcing. Anstatt IT-Services intern aufzubauen und aufrecht zu erhalten, werden diese flexibel bei einem externen IT-Dienstleister eingekauft. Das reicht von Cloud-Diensten über Cyber-Security bis hin zu Support-Services.
Wenn ein IT-Leiter oder die Geschäftsführung zum Beispiel entscheidet, spezielle Cloud-Services zu nutzen, wird das Unternehmen existentiell abhängig. Denn es legt die Verfügbarkeit und Weiterentwicklung des Service in die Hand eines Dritten – in die des IT-Dienstleisters. Es ist deshalb ratsam, nur klar abgrenzbare Funktionen auszulagern.
Und um die Abhängigkeit von einem Service Providers zusätzlich zu verringern, sollte die Management-Kontrolle über den externen Partner so weit wie möglich im Unternehmen bleiben.
Denn: Fällt ein Service aus oder kommt es gar zu einer erfolgreichen Cyber-Attacke, ist und bleibt die Geschäftsleitung verantwortlich für die aus dem Ausfall entstehenden Schäden!
Müssen Sie die IT-Security-Qualität des Service Providers überprüfen?
Verarbeitet ein Provider personenbezogene Daten, ergibt sich für die Geschäftsleitung aus der DS-GVO (engl. GDPR) eine fortlaufende Kontrollpflicht. Das bedeutet: Als Auftraggeber haben Unternehmen nicht nur das Recht, ihre Auftragsverarbeiter zu kontrollieren (Art. 28 III 2 lit. h DS-GVO), sondern sogar die Pflicht!
Ferner verlangt Art. 28 I DS-GVO für die Zusammenarbeit mit Auftragsverarbeitern, dass hinreichende angemessene technische und organisatorische Maßnahmen getroffen werden. Maßnahmen, die dazu dienen, dass die Verarbeitung im Einklang mit der Datenschutz-Grundverordnung erfolgt und den Schutz der Personenen-bezogenen Daten gewährleistet.
Um dieser Pflicht nachzukommen, reicht weder der Abschluss eines Auftragsverarbeitungsvertrags noch die einmalige Kontrolle aus! Vielmehr ist in der DS-GVO eine laufende Kontrollverpflichtung verankert (die sog. Auftragskontrolle). Dementsprechend müssen Sie, wenn Sie in der entsprechenden Position sind, das aktuelle Datenschutzniveau des Auftragsverarbeiters prüfen und gegebenenfalls Änderungen der technischen und organisatorischen Maßnahmen anregen.
Wie genau diese Kontrollpflicht implementiert wird, ist wiederum jedem einzelnen Unternehmen überlassen. Aber die Ergebnisse der durchgeführten Kontrollen – die Audits – sind nachweisbar zu dokumentieren!
Wie lassen sich Audits als Nachweis durchführen?
Wurden vom Service Provider alle Windows- oder Linux-Konfigurationen gemäß den Hardening-Empfehlungen durchgeführt? Wie sieht der Compliance-Status der Einstellungen aus? Sind die betreuten Systeme auf dem “Stand der Technik“? Derartige Fragen lassen sich schnell mit dem kostenlosen AuditTAP klären.
Das AuditTAP führt einen automatisiertes Audit durch, indem es – je nach Produkt oder System – bis zu mehrere hundert Konfigurationseinstellungen überprüft. Hierbei werden unter anderem…
-
- die genutzten Algorithmen und Schlüssel,
- der Speicherort von Log-Daten,
- die Nutzung von TLS 1.2 (oder höher),
- die aktivierten Services
- oder vorhandene, separierte Service-Accounts gecheckt.
Das Ergebnis des Hardening-Audits erhalten Sie in einer leicht verständlichen HTML-Datei. Dabei werden System-Fehlkonfigurationen oder andere Missstände aus Sicht einer Systemhärtung deutlich hervorgehoben.
Ein Service-Provider-Check kann einfach sein
Oft hören wir das Argument, dass Audit-Berichte schwer zu erzeugen seien. Und man müsse “studiert haben”, um einen entsprechenden Report zu interpretieren. Deshalb sei es angeblich extrem aufwändig, die Arbeit und die Qualität der Dienstleister im Bezug auf die Informationssicherheit zu überprüfen.
Das stimmt so nicht!
Mit dem AuditTAP können Sie wirklich in kürzester Zeit und ohne spezielles Studium sehen, wie gut Ihre IT-Systeme gehärtet sind bzw. wie sicher der Dienstleister die Systeme konfiguriert hat. Gleichgültig, ob es sich dabei um die Härtung eines kompletten Windows-Server-Systems oder um die Konfiguration eines einzelnen Browsers handelt.
Wie Sie das AuditTAP installieren und damit einen Report erzeugen, zeigt Ihnen dieses Video:
Was Sie bei der Auswertung des Audit-Reports bedenken sollten
Ist bei Ihrem Bericht auf Basis des AuditTAP viel “Rot” zu sehen? Dann deutet das darauf hin, dass zahlreiche empfohlene Konfigurationen nicht vorgenommen und dementsprechend Ihre Systeme tendenziell unzureichend gehärtet wurden.
Doch das Ziel einer Systemhärtung ist es nicht, größtmögliche Sicherheit um jeden Preis zu erreichen! Stattdessen muss ein möglichst hohes Security-Level erzielt werden, ohne damit wichtige Geschäftsprozesse zu stören oder sogar zu blockieren. Anders ausgedrückt: Business-Applikationen haben auch nach einer Härtung noch ohne Beeinträchtigung zu funktionieren.
Und: 100 Prozent Konformität zu einem Standard, zum Beispiel zu den Vorgaben gemäß BSI SiSyPHuS, ist nur ein theoretisches Ziel. In der Realität ist dieses Vorhaben in der Regel unerreichbar und auch nur wenig sinnvoll. Wir raten, eine Konformität gemäß den Vorgaben von 80 bis 85 Prozent anzustreben. Damit erreichen Sie ein hohes Sicherheitsniveau und balancieren Risiken angemessen aus.
Was folgt nach dem Audit?
Erfüllen Ihre geprüften Systeme nicht die hohen Anforderungen einer Systemhärtung? Dann gilt es, dieses Manko schnellstmöglich auszumerzen! Zum Beispiel mit einer Lösung wie dem Enforce Administrator, womit sich auch komplexe IT-Systemlandschaften mit Hunderten oder gar Tausenden Systemen automatisiert und nachhaltig härten lassen.
Der Enforce Administrator ist wie das AuditTAP ein sogenanntes #NoCodeHardening-Tool. Das bedeutet, Sie müssen für die Automatisierung keine Zeile Programmcode schreiben .
Weitere Informationen über die Enforce Administrator, der ein Bestandteil der Enforce Suite ist, erhalten Sie auf dieser Produktseite:
ENFORCE SUITE: Produktinformationen
Benötigen Sie Hilfe bei der Systemhärtung?
Haben Sie Fragen zum AuditTAP? Benötigen Sie Unterstützung bei der (automatisierten) Systemhärtung? Oder möchten Sie das System Hardening direkt in Ihre Deployment- bzw. Installationsprozesse integrieren?
Unsere Experten sind gerne für Sie da! Kontaktieren Sie uns ganz unverbindlich, wir melden uns umgehend bei Ihnen.
Bilder: Freepik, ScetchBubble