Eine Auswahl wichtiger Fragen von UnternehmensentscheiderInnen an ihre IT-Verantwortlichen zur Einschätzung der IT-Sicherheitslage eines Unternehmens.

Diese Liste des österreichischen nationale CERT (Computer Emergency Response Team) spricht organisatorische Themen abseits der rein technisch fokussierten Maßnahmen wie etwa Backup, Passwortrichtlinien oder physikalische Sicherheit an.

>> Informationsfluss  <<

- Wie und vor allem wer erfährt im Unternehmen von IT-Sicherheitsproblemen (wenn beispielsweise Dritte eine Sicherheitslücke melden)?

- Gibt es dazu eine klar definierte Prozesskette, wie Meldungen & Eskalationen zu erfolgen haben?

- Verfügt das Unternehmen über ein entsprechendes Social-Media- bzw. Medienmonitoring, um allfällige Sicherheitsvorfälle in Verbindung mit dem eigenen Firmen- oder Produktnamen selbst erkennen zu können, sobald berichtet wird?

>> Verantwortlichkeiten  <<

- Gibt es im Unternehmen für alle Systeme und Services klare Verantwortlichkeiten mit entsprechenden Stellvertretungsregelungen?

>> Abläufe  <<

- Wenn ein IT-Sicherheitsvorfall eingetreten ist: Gibt es entsprechende Einsatz- oder Ablaufpläne? (Idealerweise nach unterschiedlichen Kategorien sortiert).

>> Erreichbarkeit  <<

- Ist die Erreichbarkeit der wichtigsten Unternehmensbereiche (Geschäftsführung, Technik, PR) auch außerhalb der Bürozeiten sichergestellt?

>> Vertrauenswürdigkeit der Dienstleister   <<

- Sind alle extern zugekauften Dienstleistungen (von Co-Location bis hin zur Cloud) mit entsprechenden Security Service-Level-Agreements versehen, als vertrauenswürdig einzustufen und verfügen die Dienstleister über eine entsprechende Zertifizierung (z.B. ISO 27001)?

>> Versicherung  <<

- Welche IT-Risiken eines Unternehmens sind prinzipiell versicherbar?

- Bei welchen könnte das aus Sicht des Unternehmens auch wirtschaftlich vernünftig sein?

>> Eigene Zertifizierung  <<

- Was wäre der Aufwand einer IT-Security-Zertifizierung (z.B. ISO 27001) und was der potenzielle Nutzen aus Sicht des Unternehmens (Sicht von IT, Marketing, neuen Auftragsmöglichkeiten)?

- Ist das Unternehmen hinsichtlich NIS-Richtlinie selbst der »kritischen Infrastruktur« zuzuordnen?

- Wenn ja: Wie ist das Unternehmen auf die Anforderungen der europäischen NIS-Richtlinie vorbereitet?

>> Investitionen  <<

- Wieviel Aufwand (personell, finanziell) wird derzeit in IT-Security-Themen investiert?

- Wie ist das Verhältnis von reiner Angriffs-Abwehr (Prävention) zu Erkennung erfolgreicher Angriffe (Detection) im Unternehmen?

>> Verhaltensregeln  <<

- Gibt es im Unternehmen klare Richtlinien zu Privatnutzung, Verhaltensregeln und Themen wie Smartphones/Tablets?

- Kann jedes Gerät im Unternehmensnetzwerk einem Benutzer bzw. einem Verantwortlichen zugeordnet werden und ist sichergestellt, dass alle Geräte auf aktuellem Stand und sicher konfiguriert sind?

Sollten Unklarheiten oder weitere offene Fragen auftauchen, empfehlen CERT.at und GovCERT.gv.at Firmen, sich intern wie auch extern – etwa durch SicherheitsexpertInnen – näher mit IT-Sicherheit zu befassen.