Cyberseal: Ein neues Security-Gütesiegel für IT-Dienstleister
Quelle: zVg

Cyberseal: Ein neues Security-Gütesiegel für IT-Dienstleister

Mit dem neuen Qualitätslabel Cyberseal kann ein IT-Dienstleister seine Kompetenz rund um KMU-Security unter Beweis stellen.

Artikel erschienen in Swiss IT Magazine 2022/10

     

Die rasant zunehmende Vernetzung von Unternehmensinfrastrukturen mit dem Internet führt zu einer Zunahme der Cyberbedrohungen, zudem steigt die Komplexität von IT ganz generell. Darin sind sich die Schweizer KMU einig. Immer öfter greifen KMU auf externe IT-Dienstleister zurück, damit das Management sich auf sein Geschäft konzentrieren kann. IT-Dienstleister haben somit einen unmittelbaren Einfluss auf die Cyberresilienz der KMU und darum ist es zwingend notwendig, dass sie grundlegende technische und organisatorische Kompetenzen in IT- und Informationssicherheit mitbringen.


Wie aber erkennt ein KMU, welcher IT-Dienstleister die richtigen Qualifikationen hat? Was müssen seine Lösungen mindestens bieten und was ist lediglich nice to have? Wenn es um IT-Sicherheit geht, sind die Unterschiede zwischen den einzelnen Dienstleistern sehr gross und das Risiko, den Falschen zu wählen, entsprechend hoch. Dieses Problem wurde durch das NCSC, das Nationale Zentrum für Cybersicherheit, eine Versicherungsgesellschaft und Digitalswitzerland vor gut zwei Jahren erkannt. Der Umsetzungsplan der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken hielt damals fest, dass ein Standard entstehen muss, eine Art Zertifizierung, ein Gütesiegel.

Praxisrelevant und aktuell

IT-Sicherheitsexperten wurde mit der Ausarbeitung dieses Standards für Cybersicherheit beauftragt. Die Parameter waren Praxisrelevanz, laufende Aktualisierung gemäss der Bedrohungslage, eine schlanke Zertifizierung mit einem höchstens eintägigen Audit und nur geringen Vorbereitungsarbeiten für den IT-Dienstleister. Daraus entstanden ist eine Prüfliste, die spezifisch auf die Gefährdung von KMU zugeschnitten ist. Die Fragen werden jährlich überarbeitet, damit sie immer die aktuelle Gefahrenlage widerspiegeln.


2021 wurde als professionelle Trägerorganisation die Allianz für digitale Sicherheit Schweiz ADSS mit Sitz in Zug gegründet. Der Verein betont die strategische Bedeutung der IT-Dienstleister und unterstreicht in seiner Mission, dass er seine Unabhängigkeit durch umfassende Partnerschaften mit dem Bund, Verbänden, Think Tanks und Unternehmen fördert. Nach einer einjährigen Pilotphase ist der Verein seit 2022 mit dem Rollout des sogenannten Cyberseal-Gütesiegels beschäftigt. Der Verein organisiert die Audits, vergibt das Cyberseal-Gütesiegel an IT-Dienstleister und sorgt für die jährliche Aktualisierung der Prüfliste.

Rolle des IT-Dienstleisters wird gestärkt

Da es beim Cyberseal zentral um die Sicherheit der KMU geht, fokussiert sich die Prüfliste für das Audit heute auf die Anliegen der KMU. Dies soll die IT-Dienstleister befähigen, besser auf die aktuellen Cyberrisiken reagieren zu können. Das Audit ist sehr schlank gestaltet und praxisnah. Es soll insbesondere kleinere IT-Dienstleister ansprechen. Organisationen, die sich aufgrund des hohen Aufwands und der Kosten oftmals vor einer ISO-Zertifizierung als Beispiel scheuen.

Es gibt einige Punkte, insbesondere in den Bereichen Organisation und Prozesse, in denen sich das Cyberseal und ISO 27001 überlappen. Technisch geht das Cyberseal allerdings weiter und wird jährlich auf die aktuellen Cyberrisiken hin überprüft.


Ein IT-Dienstleister stärkt mit dem ­Audit sein Verständnis der aktuellen Angriffsvektoren und erhöht damit die Kompetenz in der IT-Security. So versetzt sich ein IT-Dienstleister in die Lage, dem KMU auf ­Augenhöhe zu begegnen, wenn es um Cybersicherheitsfragen geht. Selbstverständlich eröffnen sich Möglichkeiten zu Anschlussgeschäften. Ein IT-Dienstleister unterstützt seine Kunden bei der Umsetzung von strukturierten Standards, damit die minimalen IT-­Sicherheitsanforderungen erfüllt werden. Die Rolle des IT-Dienstleisters wird wesentlich gestärkt. Durch das optimierte Dreiecksverhältnis KMU – IT-Dienstleister – Versicherung können die KMU mit möglichst tiefen Kosten vor Cyberangriffen besser geschützt werden.

Ein IT-Dienstleister, der ein Cyberseal Audit bestanden hat, kennt die aktuellen Cyberrisiken sowie die Minimalstandards und erfüllt diese. Damit gewährleistet das Cyberseal indirekt über den IT-Dienstleister ein angemessenes und vergleichbares Schutzniveau und stärkt die Cyberresilienz eines Unternehmens nachhaltig. Als KMU bekommt man die notwendige Unterstützung bei der Erfüllung der aktuellen Best Practices im Bereich Cybersecurity. Wenn die minimalen IT-Sicherheitsanforderungen durch den IT-Dienstleister eingehalten werden, ist das Risiko von tendenziell zunehmenden, unsichtbaren Cyberattacken geringer. Dies führt zu weniger Vorfällen und niedrigeren Kosten im Schadensfall. Da die IT-Sicherheit durch den IT-Dienstleister gesamtheitlich betrachtet und umgesetzt wird, werden Schäden im Cyberereignisvorfall zudem schneller erledigt.

Der Ablauf des Audits

Wenn ein IT-Dienstleister zertifiziert werden möchte, muss er heute über die ADSS-­Website einen Antrag einreichen. Dieser wird geprüft, damit anschliessend innerhalb eines geschützten Bereiches das Profil des IT-Dienstleisters eröffnet werden kann. Über diesen abgesicherten Raum teilen der Auditor, der IT-Dienstleister und ADSS sämtliche für die Zertifizierung relevanten Dokumente. Der IT-Dienstleister findet hier beispielsweise das Audit-Handbuch, mittels welchem eine sogenannte Cyberseal-Prüfliste bearbeitet wird. Im Zentrum des Audits steht ein zirka vierstündiger Audit vor Ort durch einen zertifizierten Auditor. Gesamthaft ist das Gütesiegel drei Jahre gültig. Jedes Jahr findet ein videogestütztes Aufrechterhaltungs-Audit statt, in welchem die Prüfliste überarbeitet wird.

Der Inhalt des Standards, der geprüft wird, ist technischer, organisatorischer und prozessualer Natur. Neben dem Geschäftsmodell des IT-Dienstleisters, der Systemdokumentation oder der Ausbildung der Mitarbeiter wird auch das Netzwerk-Design, das Patch-Management und die Protokollierung, das Change- und Incident-Management oder die Services von Drittanbietern mit Abhängigkeiten zur Infrastruktur des KMU oder zu anderen Anbietern betrachtet. Die Fragen der einzelnen Kapitel des Handbuchs und der Prüfliste sind nach ihren kritischen Faktoren priorisiert. Mittels einer Selbstdeklaration füllt der IT-Dienstleister die Prüfliste teilweise bereits vor dem Audit aus. Der Auditor bereitet sich so optimal auf das Audit vor. Während dem Audit wird der IT-Dienstleister interviewt und es findet ein Audit an der Konsole statt. Wenn schliesslich sämtliche Fragen beantwortet sind, schreibt der Auditor einen Audit-­Bericht, der absichtlich sehr kurzgefasst ist. Hier werden Hauptabweichungen, Nebenabweichungen und Hinweise des Auditors beschrieben. Wenn es Abweichungen gibt, kann der IT-Dienstleister selbst bestimmen, wie er diese beheben wird. Eine Hauptabweichung muss innerhalb von drei Monaten behoben werden, um das Audit zu bestehen. Für die erneute Überprüfung werden zusätzlich 500 Franken erhoben. Eine Nebenabweichung muss bis zum nächsten Aufrechterhaltungsaudit behandelt werden. Noch dieses Jahr kostet das Cyberseal Audit und -Gütesiegel insgesamt 4000 Franken über drei Jahre. Nach drei Jahren muss der Auditprozess wiederholt werden, damit der Standard und Status Quo wieder auf dem aktuellen Stand sind.


Der Plan des NCSC, ein neutrales Label in der Schweiz zu erschaffen, das einen Standard hinsichtlich Kompetenz in IT-Sicherheit, Qualität der Dienstleistungserbringung und Reputation bietet und damit die Wahl eines IT-Dienstleisters vereinfacht, ist mit dem Cyberseal-­Gütesiegel gelungen. Ein Cyberseal-­Gütesiegel schreibt die Resultate vor und nicht den Weg, wie diese erreicht werden müssen. Es ist eine schlanke, pragmatische, praxisorientierte und günstige Prüfung für IT-Dienstleister.

Weitere Informationen zum Cyberseal:
www.digitalsecurityswitzerland.ch/de/cyberseal

Dienstleister mit Cyberseal-Gütesiegel

Folgende Schweizer IT-Dienstleister haben bereits ein Cyberseal-Audit absolviert und ein Gütesiegel erlangt (Stand Mitte September 2022):

Ascanius, 5035 Unterentfelden

Backup One, 3011 Bern

Baltek, 4057 Basel

Cloudside, 6006 Luzern

Comdatanet, 6460 Altdorf

Comitas, 8952 Schlieren

Glaronia Informatik, 8750 Glarus

Groupe Ansam, 1260 Nyon

Hürlimann Informatik, 8912 Obfelden

ITB Plus, 6340 Baar

ITCheck.ch, 3132 Riggisberg

Iten Informatik, 6314 Unterägeri

LAN Computer Systems, 2502 Biel

Megahertz Computer, 1752 Villars-sur-Glâne

OCOM, 3902 Glis

Predata, 3600 Thun

Somnitec, 4563 Gerlafingen

Stackworks, 9000 St. Gallen

Swiss IT Professional, 8442 Hettlingen

T&N, 8305 Dietlikon

Talus Informatik, 3266 Wiler bei Seedorf

Vocom, 6055 Alpnach

Andreas W. Kaelin ist Präsident von ICT-Berufsbildung Schweiz, Gründungsmitglied und CEO des Nationalen Testinstituts für Cybersicherheit NTC, Gründungsmitglied und CEO der Allianz Digitale Sicherheit Schweiz ADSS, Leiter des Cybersecurity-Dossiers der Dachorganisation Digitalswitzerland und Bankratsmitglied der Nidwaldner Kantonalbank.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER