Die rasant zunehmende Vernetzung von Unternehmensinfrastrukturen mit dem Internet führt zu einer Zunahme der Cyberbedrohungen, zudem steigt die Komplexität von IT ganz generell. Darin sind sich die Schweizer KMU einig. Immer öfter greifen KMU auf externe IT-Dienstleister zurück, damit das Management sich auf sein Geschäft konzentrieren kann. IT-Dienstleister haben somit einen unmittelbaren Einfluss auf die Cyberresilienz der KMU und darum ist es zwingend notwendig, dass sie grundlegende technische und organisatorische Kompetenzen in IT- und Informationssicherheit mitbringen.
Wie aber erkennt ein KMU, welcher IT-Dienstleister die richtigen Qualifikationen hat? Was müssen seine Lösungen mindestens bieten und was ist lediglich nice to have? Wenn es um IT-Sicherheit geht, sind die Unterschiede zwischen den einzelnen Dienstleistern sehr gross und das Risiko, den Falschen zu wählen, entsprechend hoch. Dieses Problem wurde durch das NCSC, das Nationale Zentrum für Cybersicherheit, eine Versicherungsgesellschaft und Digitalswitzerland vor gut zwei Jahren erkannt. Der Umsetzungsplan der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken hielt damals fest, dass ein Standard entstehen muss, eine Art Zertifizierung, ein Gütesiegel.
Praxisrelevant und aktuell
IT-Sicherheitsexperten wurde mit der Ausarbeitung dieses Standards für Cybersicherheit beauftragt. Die Parameter waren Praxisrelevanz, laufende Aktualisierung gemäss der Bedrohungslage, eine schlanke Zertifizierung mit einem höchstens eintägigen Audit und nur geringen Vorbereitungsarbeiten für den IT-Dienstleister. Daraus entstanden ist eine Prüfliste, die spezifisch auf die Gefährdung von KMU zugeschnitten ist. Die Fragen werden jährlich überarbeitet, damit sie immer die aktuelle Gefahrenlage widerspiegeln.
2021 wurde als professionelle Trägerorganisation die Allianz für digitale Sicherheit Schweiz ADSS mit Sitz in Zug gegründet. Der Verein betont die strategische Bedeutung der IT-Dienstleister und unterstreicht in seiner Mission, dass er seine Unabhängigkeit durch umfassende Partnerschaften mit dem Bund, Verbänden, Think Tanks und Unternehmen fördert. Nach einer einjährigen Pilotphase ist der Verein seit 2022 mit dem Rollout des sogenannten Cyberseal-Gütesiegels beschäftigt. Der Verein organisiert die Audits, vergibt das Cyberseal-Gütesiegel an IT-Dienstleister und sorgt für die jährliche Aktualisierung der Prüfliste.
Rolle des IT-Dienstleisters wird gestärkt
Da es beim Cyberseal zentral um die Sicherheit der KMU geht, fokussiert sich die Prüfliste für das Audit heute auf die Anliegen der KMU. Dies soll die IT-Dienstleister befähigen, besser auf die aktuellen Cyberrisiken reagieren zu können. Das Audit ist sehr schlank gestaltet und praxisnah. Es soll insbesondere kleinere IT-Dienstleister ansprechen. Organisationen, die sich aufgrund des hohen Aufwands und der Kosten oftmals vor einer ISO-Zertifizierung als Beispiel scheuen.
Es gibt einige Punkte, insbesondere in den Bereichen Organisation und Prozesse, in denen sich das Cyberseal und ISO 27001 überlappen. Technisch geht das Cyberseal allerdings weiter und wird jährlich auf die aktuellen Cyberrisiken hin überprüft.
Ein IT-Dienstleister stärkt mit dem Audit sein Verständnis der aktuellen Angriffsvektoren und erhöht damit die Kompetenz in der IT-Security. So versetzt sich ein IT-Dienstleister in die Lage, dem KMU auf Augenhöhe zu begegnen, wenn es um Cybersicherheitsfragen geht. Selbstverständlich eröffnen sich Möglichkeiten zu Anschlussgeschäften. Ein IT-Dienstleister unterstützt seine Kunden bei der Umsetzung von strukturierten Standards, damit die minimalen IT-Sicherheitsanforderungen erfüllt werden. Die Rolle des IT-Dienstleisters wird wesentlich gestärkt. Durch das optimierte Dreiecksverhältnis KMU – IT-Dienstleister – Versicherung können die KMU mit möglichst tiefen Kosten vor Cyberangriffen besser geschützt werden.
Ein IT-Dienstleister, der ein Cyberseal Audit bestanden hat, kennt die aktuellen Cyberrisiken sowie die Minimalstandards und erfüllt diese. Damit gewährleistet das Cyberseal indirekt über den IT-Dienstleister ein angemessenes und vergleichbares Schutzniveau und stärkt die Cyberresilienz eines Unternehmens nachhaltig. Als KMU bekommt man die notwendige Unterstützung bei der Erfüllung der aktuellen Best Practices im Bereich Cybersecurity. Wenn die minimalen IT-Sicherheitsanforderungen durch den IT-Dienstleister eingehalten werden, ist das Risiko von tendenziell zunehmenden, unsichtbaren Cyberattacken geringer. Dies führt zu weniger Vorfällen und niedrigeren Kosten im Schadensfall. Da die IT-Sicherheit durch den IT-Dienstleister gesamtheitlich betrachtet und umgesetzt wird, werden Schäden im Cyberereignisvorfall zudem schneller erledigt.
Der Ablauf des Audits
Wenn ein IT-Dienstleister zertifiziert werden möchte, muss er heute über die ADSS-Website einen Antrag einreichen. Dieser wird geprüft, damit anschliessend innerhalb eines geschützten Bereiches das Profil des IT-Dienstleisters eröffnet werden kann. Über diesen abgesicherten Raum teilen der Auditor, der IT-Dienstleister und ADSS sämtliche für die Zertifizierung relevanten Dokumente. Der IT-Dienstleister findet hier beispielsweise das Audit-Handbuch, mittels welchem eine sogenannte Cyberseal-Prüfliste bearbeitet wird. Im Zentrum des Audits steht ein zirka vierstündiger Audit vor Ort durch einen zertifizierten Auditor. Gesamthaft ist das Gütesiegel drei Jahre gültig. Jedes Jahr findet ein videogestütztes Aufrechterhaltungs-Audit statt, in welchem die Prüfliste überarbeitet wird.
Der Inhalt des Standards, der geprüft wird, ist technischer, organisatorischer und prozessualer Natur. Neben dem Geschäftsmodell des IT-Dienstleisters, der Systemdokumentation oder der Ausbildung der Mitarbeiter wird auch das Netzwerk-Design, das Patch-Management und die Protokollierung, das Change- und Incident-Management oder die Services von Drittanbietern mit Abhängigkeiten zur Infrastruktur des KMU oder zu anderen Anbietern betrachtet. Die Fragen der einzelnen Kapitel des Handbuchs und der Prüfliste sind nach ihren kritischen Faktoren priorisiert. Mittels einer Selbstdeklaration füllt der IT-Dienstleister die Prüfliste teilweise bereits vor dem Audit aus. Der Auditor bereitet sich so optimal auf das Audit vor. Während dem Audit wird der IT-Dienstleister interviewt und es findet ein Audit an der Konsole statt. Wenn schliesslich sämtliche Fragen beantwortet sind, schreibt der Auditor einen Audit-Bericht, der absichtlich sehr kurzgefasst ist. Hier werden Hauptabweichungen, Nebenabweichungen und Hinweise des Auditors beschrieben. Wenn es Abweichungen gibt, kann der IT-Dienstleister selbst bestimmen, wie er diese beheben wird. Eine Hauptabweichung muss innerhalb von drei Monaten behoben werden, um das Audit zu bestehen. Für die erneute Überprüfung werden zusätzlich 500 Franken erhoben. Eine Nebenabweichung muss bis zum nächsten Aufrechterhaltungsaudit behandelt werden. Noch dieses Jahr kostet das Cyberseal Audit und -Gütesiegel insgesamt 4000 Franken über drei Jahre. Nach drei Jahren muss der Auditprozess wiederholt werden, damit der Standard und Status Quo wieder auf dem aktuellen Stand sind.
Der Plan des NCSC, ein neutrales Label in der Schweiz zu erschaffen, das einen Standard hinsichtlich Kompetenz in IT-Sicherheit, Qualität der Dienstleistungserbringung und Reputation bietet und damit die Wahl eines IT-Dienstleisters vereinfacht, ist mit dem Cyberseal-Gütesiegel gelungen. Ein Cyberseal-Gütesiegel schreibt die Resultate vor und nicht den Weg, wie diese erreicht werden müssen. Es ist eine schlanke, pragmatische, praxisorientierte und günstige Prüfung für IT-Dienstleister.
Weitere Informationen zum Cyberseal:
www.digitalsecurityswitzerland.ch/de/cyberseal
Dienstleister mit Cyberseal-Gütesiegel
Folgende Schweizer IT-Dienstleister haben bereits ein Cyberseal-Audit absolviert und ein Gütesiegel erlangt (Stand Mitte September 2022):
Ascanius, 5035 Unterentfelden
Backup One, 3011 Bern
Baltek, 4057 Basel
Cloudside, 6006 Luzern
Comdatanet, 6460 Altdorf
Comitas, 8952 Schlieren
Glaronia Informatik, 8750 Glarus
Groupe Ansam, 1260 Nyon
Hürlimann Informatik, 8912 Obfelden
ITB Plus, 6340 Baar
ITCheck.ch, 3132 Riggisberg
Iten Informatik, 6314 Unterägeri
LAN Computer Systems, 2502 Biel
Megahertz Computer, 1752 Villars-sur-Glâne
OCOM, 3902 Glis
Predata, 3600 Thun
Somnitec, 4563 Gerlafingen
Stackworks, 9000 St. Gallen
Swiss IT Professional, 8442 Hettlingen
T&N, 8305 Dietlikon
Talus Informatik, 3266 Wiler bei Seedorf
Vocom, 6055 Alpnach
Andreas W. Kaelin ist Präsident von ICT-Berufsbildung Schweiz, Gründungsmitglied und CEO des Nationalen Testinstituts für Cybersicherheit NTC, Gründungsmitglied und CEO der Allianz Digitale Sicherheit Schweiz ADSS, Leiter des Cybersecurity-Dossiers der Dachorganisation Digitalswitzerland und Bankratsmitglied der Nidwaldner Kantonalbank.
