HITGuard Release April 2020

Zu einer Ressource können Sie nun mehrere in Beziehung stehende Informationen auf einen Blick über den Ressourcen-Detaildialog einsehen:

• Abweichungen: Abweichungen, die im Zuge von Überprüfungen identifiziert und mit den Ressourcen verknüpft wurden. Historische Abweichungen werden ausgegraut angezeigt.
• Maßnahmen: Hier werden Maßnahmen gelistet, die über die Abweichungen indirekt den Ressourcen zugeordnet wurden.
• Kontrollen: Hier werden Kontrollen gelistet, die über die Abweichungen indirekt den Ressourcen zugeordnet wurden.

Man kann bei dieser Auswertung nun, über die zusätzlich geschaffenen Berichtsoptionen auf der rechten Seite, auch die Schutzziele (die zu den Prüffragen angezeigt werden) gezielt ein- und ausblenden.

Seit Jänner 2020 kann der Konformitätsbericht nach Norm auch auf einzelne Organisationseinheiten eingeschränkt werden.

Die ursprüngliche Option „Nur Hauptkapitel ohne Prüfobjekte/Prüffragen“ wurde entfernt. Da der Bericht nun flexiblere Auswertungsmöglichkeiten erlaubt wurde sie durch eine Auswahlbox ersetzt. Folgende Auswertungsoptionen stehen zur Wahl:

• „Tabellarische Auswertung“: Eine tabellarische Auswertung der Ergebnisse, in der die durchschnittlichen Reifegrade je Kapitel der Norm angedruckt und diese dann auch farblich gekennzeichnet werden, um schnell erkennen zu können wo ggf. Handlungsbedarf besteht.
• „Tabellarische Auswertung + graphische Auswertung der Hauptkapitel“: Eine tabellarische Auswertung der Ergebnisse, ergänzt um eine graphische Auswertung der Reifegrade der Hauptkapitel mit Balkendiagrammen.
• „Graphische Auswertung der Hauptkapitel“: Eine graphische Auswertung der Reifegrade der Hauptkapitel mit Balkendiagrammen.
• „Graphische Auswertung der Hauptkapitel & Unterkapitel inkl. Prüffragen“: Eine graphische Auswertung der Reifegrade der Hauptkapitel mit Balkendiagrammen einschließlich der textuellen Darstellung der Prüffragendetails.

Generell wurden in diesem Bericht die Darstellungen in Form von Tachos gegen Balkendiagramme getauscht. Die Darstellung in Form eines Spinnendiagramms bleibt auf oberster Ebene für einen Gesamtüberblick.

Die Navigationsleiste auf der rechen Seite expandiert den jeweiligen Sichtbereich nun in Abhängigkeit von der Anzahl der darin enthaltenen Anzeigeelemente und passt sich somit besser der Fülle Ihrer Organisationseinheiten, Ressourcen, Prozesse oder Datenkategorien an.

Bisher war es außerdem nur möglich, dass Sie in der Navigationsleiste zu einzelnen Elementen, wie einer Organisationseinheit die Sub-Elemente, also hierarchisch untergeordnete Abteilungen gemeinsam mit dem übergeordneten Element entweder an- oder abwählen konnten. Nun können z.B. auch alle Sub-Elemente abgewählt werden und der Knoten allein, über das Kontextmenü auf der rechten Maustaste (Funktion „Selektieren“) wieder angewählt werden. Das ermöglicht es Ihnen zB die Aufbauorganisation ihres Unternehmens bis zu einer von ihnen gewählten Ebene darzustellen und untergeordnete Organisationseinheiten bewusst auszublenden.

Außerdem wurde ein Such-Feld für die Suche von Knoten in der Visualisierung eingebunden. Der Knoten kann über exakte Suchtexte oder Teile von Suchtexten in Kombination mit dem Wildcard * (als Platzhalter für sonstige Textteile) verwendet werden. Die Groß- und Kleinschreibung spielt dabei keine Rolle. Es werden die gefundenen Knoten in der Reihe durchgesprungen indem wiederholt die Sucheingabe mit der Eingabe-/Entertaste bestätigt wird.

Eine weitere spezielle Neuigkeit ist der kleine Button in der linken Kopfleiste der Organisationssicht:

Wie im Tooltip des Buttons beschrieben selektiert man damit nur die im aktuellen Managementsystem aktivierten Organisationseinheiten.

Zur Dokumentation relevanter Risiken kann eine Risiko-Kontroll-Matrix unterstützen. HITGuard erfüllt damit nun auch eine wesentliche Anforderung von sogenannten Steuerkontrollsystemen (SKS) die von Steuerberatern und Wirtschaftsprüfern verwendet werden:

• Die Dokumentation der steuerrelevanten Risiken kann in einer Risiko-Kontroll-Matrix erfolgen.
• Die Risiko-Kontroll-Matrix hat die Mindestanforderungen des § 11 Abs. 1 Z 5 SKS-PV zu erfüllen.
• Sie kann tabellarisch dargestellt werden.

Diese Darstellung findet sich unter Risikomanagement > Risikobehandlung. Dort findet sich in der Menüleiste ober dem Grid die Möglichkeit die Risiko-Kontroll-Matrix aufzurufen.

Die Maßnahmen wurden um folgende Informationen erweitert:

• Es können nun je Maßnahmen Plan- und Ist-Kosten erfasst werden. Die Information ist für den Expert pflegbar. Es wurde bewusst im ersten Schritt darauf verzichtet, die Kosten auch dem Practitioner anzuzeigen (weder in den offenen Maßnahmen) bzw. erfassen zu lassen (bei der Fortschrittsmeldung).
• Es wird dem Expert nun angezeigt, wie viele Verknüpfungen zu Prüffragen bzw. direkt zugewiesenen Gefährdungslagen die Maßnahme bzw. Kontrolle hat. Beim Klick auf die Verknüpfungsinfo öffnet sich ein Dialog mit Details, von dem aus man in die jeweiligen Überprüfungen bzw. Gefährdungslagen springen kann.

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden.

Seit Jänner 2020 steht der Importer für Organisationseinheiten zur Verfügung. Nun gibt es Neu auch die Möglichkeit in derselben Handhabung Ressourcen und Gefährdungslagen zu importieren. Bzw. können auch Prüffragen, Maßnahmen und Kontrollen in vorausgewählte Wissensdatenbanken importiert werden.

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Wird im Unternehmen ein Microsoft Azure Active Directory (AAD) oder ein Microsoft Identity Platform Endpoint betrieben so ist es möglich dies als Identity Provider für HITGuard einzurichten. Anschließend können sich Benutzer per Single Sign On an HITGuard anmelden.

Voraussetzung hierfür ist, dass ein Benutzer in HITGuard existiert, dessen Email-Adresse mit der Email-Adresse die zur Anmeldung in AAD verwendet wird, übereinstimmt. Denn bei der ersten Anmeldung via AAD wird diese verwendet, um den AAD-Benutzer mit dem HITGuard-Benutzer zu verbinden. Anschließend kann die Email-Adresse des HITGuard-Benutzers bei Bedarf auch verändert werden.

Auf Kundenwunsch hin wurde das Design überarbeitet, so dass „Mit Firmenanmeldeinformationen anmelden“ nun bei der LOGIN-Maske, sofern die AD-Integration zum Einsatz kommt, prominenter angeboten wird. Damit soll es Usern nicht mehr passieren, dass Sie diesen „One-Klick-SignOn“-Mechanismus übersehen.

Die neue Darstellung präsentiert sich wie folgt:

Es ist nun möglich eine bestehende Verarbeitungstätigkeit (VT) zu kopieren. Hierzu wird in der Liste der VTs ein weiterer Button angeboten, der bei Klick eine Kopie der VT erstellt und anschließend öffnet.

Eine Verarbeitungstätigkeit kann nun mehreren Verantwortlichen zugewiesen werden. Dabei ist es möglich mehrere Organisationseinheiten unternehmensintern sowie Externe auszuwählen. Zum Beispiel, wenn die Operative IT als Shared-Service die Benutzerverwaltung für alle Tochterunternehmen übernimmt, dann können diese Tochterunternehmen als Verantwortliche hinterlegt werden sowie ein Externer (=externes Unternehmen, das die IT-Betreuung in diesem Fall outgesourced hat). Der Externe muss in der Verwaltung der Externen als „VT-Verantwortlicher“ gekennzeichnet sein, damit der zur Auswahl in der Verarbeitungstätigkeit angeboten wird.

Da sich die Rechtmäßigkeit der Verarbeitung nach Art. 6 der DSGVO richtet werden diese Optionen nun auch zur Auswahl im Schritt 2 des Assistenten zur Verarbeitungstätigkeit angeboten. Die rechtlichen Optionen wurden um eine Auswahl „etwaige sonstige Gründe“ ergänzt. Diese Option kann für Spezialfälle verwendet werden. Im ebenso neuen Feld Anmerkungen kann dann erläutert werden, worauf sich die Auswahl im Detail begründet.

Im Schritt 4 der Verarbeitungstätigkeit, in der alle Empfänger der Verarbeitungstätigkeit aufgelistet werden, gibt es nun eine Möglichkeit diese Empfänger für die Verarbeitungstätigkeit als Auftragsverarbeiter zu kennzeichnen.

Die Liste der TOMs kann nun zur weiteren Verwendung ins Excel exportiert werden.

Wir freuen uns darüber hinaus bekannt geben zu dürfen, dass es eine Neuerscheinung in unserer Produktpalette gibt:

Gemeinsam mit dem BSI dürfen wir unseren Kunden nun die Möglichkeit anbieten Schwachstellenanalysen nach dem IT-Grundschutz-Kompendium des BSI durchzuführen. Die erste Version, die wir seit Sommer 2019 im Angebot haben, enthielt die Inhalte des Kompendiums in der Edition 2019 an. Nun gibt es neu das Grundschutz-Kompendium 2020. Natürlich erhalten Sie über ein bestehendes Abo diese Version in Form eines jährlichen Updates. Neben der Analyse von Abweichungen bietet das IT-Grundschutz-Kompendium des BSI auch Maßnahmenempfehlungen laut BSI für erkannte Abweichungen an.

Bundesamt für Sicherheit in der Informationstechnik