HITGuard Release Juli 2019

Als Expert steht Ihnen eine neue Oberfläche für die Abweichungsanalysen bzw. die Erfassung von Prüfergebnissen im Menüpunkt „Risikoidentifikation“ des Security Assessors zur Verfügung. Der Assistent ist inhaltlich gleich, aber neu strukturiert, somit wesentlich übersichtlicher mit neuem ansprechenderem Design gestaltet worden.

Zu den neuen Features gehören:

• eine übersichtliche Navigationsstruktur in Form einer Baumdarstellung durch die Prüffragen der zu behandelnden Themen
• eine farbliche Kennzeichnung in Abhängigkeit von der Fragenbeantwortung
• eine Kennzeichnung bereits besuchter Fragen (unabhängig von der Beantwortung)
• die Möglichkeit zum Rücksetzen von Prüffragenbeantwortungen auf unbeantwortet
• eine Kennzeichnungsmöglichkeit „Abklärungsbedarf“ die im Folgenden detailliert erklärt wird

Im Security Assessor im Menüpunkt “Risikoidentifikation“ finden sie eine neue Ansicht mit der Bezeichnung „Abklärungsbedarf“.

Hier finden sich alle Prüffragen die sie in Überprüfungen mit „Abklärungsbedarf“ gekennzeichnet haben.

Diese Kennzeichnung ist in der Praxis dann von Nöten, wenn Sie bei einer Prüffragenbeantwortung momentan nicht abklären können, wie die Frage zu beantworten ist, weil Sie z.B. noch eine andere Person hinzuziehen oder die Information anderweitig nachrecherchieren müssten. Im Anschluss an eine Reihe von Überprüfungen ist es praktisch einfach auswerten zu können, welche Fragen nun tatsächlich noch recherchiert werden müssen. Genau dazu dient die Ansicht „Abklärungsbedarf“.

In der Strukturanalyse wurde das Steuerelement auf der rechten Bildschirmseite überarbeitet:

Das Steuerelement zeigt mehrere farbige Balken an, die sogenannten Sichten (Organisationssicht, Ressourcensicht, Datensicht und Prozesssicht). Man kann eine dieser Sichten zur sogenannten „Hauptsicht“ ernennen. Dies erfolgt indem man die Sicht per Doppelklick auf den Bezeichner der Sicht aktiviert. Erkennbar ist die Hauptsicht dadurch, dass der Bezeichner dieser Sicht unterstrichen wird. Zur Hauptsicht können dann ein oder mehrere weitere „Nebensichten“ dazu gewählt bzw. geladen werden. Dies geschieht durch das Selektieren der Sicht über die Checkbox neben dem Bezeichner. Dadurch kann man sich bei den weiteren Analysen auf gewisse Themengebiete und Abhängigkeiten daraus konzentrieren, anstatt mit allen Informationen des gesamten Graphen gleichzeitig konfrontiert zu werden. Es gibt weiters eine Unterscheidung zwischen Entwurfs- und Analysemodus. Durch die oberste Schaltfläche im Steuerelement werden die Modi „Analysemodus“ bzw. „Entwurfsmodus“ gewechselt. Entwurfsmodus: Alle Sichten können in diesem Modus beliebig miteinander kombiniert werden. Alle Elemente der jeweiligen Sicht werden nach ihrer Selektion in den Sichten im Graphen ein- oder ausgeblendet, sobald man „Anwenden“ klickt. Der Sinn des Entwurfsmodus ist, dass in diesem Modus neue Beziehungen zwischen bisher noch nicht verknüpften Elementen gesetzt werden können. Analysemodus: Auch in diesem Modus werden, ausgehend von einer Hauptsicht Nebensichten ergänzend geladen. Allerdings werden aus der Nebensicht, wenn diese durch das Setzen des Hakens und durch den Button „Anwenden“ aktiviert wird, nur jene Elemente geladen, die in einer direkten bzw. indirekten Beziehung (sowohl bottom-up als auch top-down) zu den selektierten Elementen der Hauptsicht stehen. Wenn nach dem Setzen des Hakens für die zusätzlich zu ladende Nebensicht weiters gleich auch Elemente in der Nebensicht „abselektiert“ werden, bevor der Button „Anwenden“ geklickt wird, schränkt die Mechanik die Auswahl entsprechend weiter ein. Wenn Knoten manuell abgewählt wurden zu denen prinzipiell Beziehungen existieren, dann können sie im Analysemodus nachträglich auch wieder aktiviert werden. Wenn für Knoten aber keine direkte bzw. indirekte Beziehung vorhanden ist, dann werden diese Knoten nicht wieder dazu geladen (man kann sie zwar wieder anhaken, aber nachdem „Anwenden“ geklickt wurde, werden sie werden nicht geladen und der Haken verschwindet wieder).

Im Analysemodus wird auch die sogenannte Abhängigkeitsanzeige aktiv. Diese sagt aus, ob dargestellte Abhängigkeiten im Graphen die Fragestellung beantworten, ob ausgehend von einem betrachteten Element (=selektiert im Graphen bzw. wenn man mit der Maus drüber fährt) Abhängigkeiten dargestellt werden („Was hängt von mir ab“) oder ob die dargestellten Abhängigkeiten eine Aussage zum betrachteten Element machen („Wovon hänge ich ab?“). Man kann dabei auch einen Schwellwert festlegen (z.B. highlighte mir in der Analyse nur Elemente die zu mehr als 25% von mir abhängen). Im Kontextmenü innerhalb des Graphen bietet sich eine Funktion „Zeige Abhängigkeiten“. Über diese Funktion können zu einem Knoten alle abhängigen Knoten (direkt wie indirekt bzw. bottom-up und top-down) geladen werden. Besonderheit Ressourcensicht: Wenn die Ressourcensicht die Hauptsicht ist, dann werden alle Elemente der Ressourcensicht geladen (außer sie werden bewusst abgewählt). Wenn aber die Ressourcensicht als Nebensicht dazu geladen wird, dann werden standardmäßig nur die Elemente der Anwendungsebene geladen. Dies hat den Sinn, um nicht mit einem sehr detaillierten Ressourcen-Graphen die gesamte Ansicht zu überladen. In der Regel will man in dieser Abhängigkeitsanalyse zwischen z.B. einer Prozessebene und der Ressourcenebene wissen, welche direkt in Beziehung stehenden Ressourcen der Anwendungsebene für den Prozess relevant sind. Neu ist in der Ressourcensicht auch, dass Ressourcengruppen nicht mehr als solche graphisch visualisiert werden. Sie dienen viel mehr der Gruppierung der Ressourcen und werden daher nur im Steuerungselement für die Sichten zur Selektion im Graphen angezeigt. Mit dem Button „Zurücksetzen“ können alle Einschränkungen wieder aufgehoben werden.

Die Ansichten im Graphen und ihre Kombinationen inkl. Entwurfs- oder Analysemodus-Einstellungen können konfiguriert und abgespeichert werden. Dadurch ist es möglich sich Ansichten zu erstellen mit denen das Arbeiten erleichtert wird.

Diese Buttons finden sich am Steuerelement zu den Sichten. Der blaue Button steht für „Konfiguration laden“, der grüne Button steht für „Konfiguration speichern“ und der graue Button wird rot, sobald es in einer bestehenden Konfiguration Änderungen gibt. Durch Klick auf den roten Button kann man die neuen Anpassungen in die zuletzt gewählte Konfiguration speichern. Diese Konfigurationen können privat genutzt werden oder auch mit Kollegen geteilt werden (Kennzeichnung „Privat“).

Man kann beim Speichern einer Konfiguration durch Doppelklick auf eine bereits bestehende Konfiguration in der Konfigurationen-Auswahl diese durch die aktuelle Konfiguration ersetzen.

Ein Tipp noch zum schnelleren Arbeiten im Graphen: Drücken Sie die ALT-Taste, um dann einen ersten Knoten zu selektieren und halten Sie weiter die ALT-Taste gedrückt um einen 2. Knoten zu selektieren. Auf diese Weise können Sie eine Beziehung zwischen zwei Knoten erzeugen.

In der Risikopolitik findet sich eine neue Konfigurationsmöglichkeit mit dem Namen „Schutzbedarfsklassen“. Eine völlig frei definierbare Menge an Schutzbedarfsklassen kann hier angelegt und verwaltet werden.

Schutzbedarfsklassen können in weiterer Folge Datenkategorien und Ressourcen zugewiesen werden bzw. werden sie für diese automatisch über die Business Impact Assessments abgeleitet.

Der sogenannte BIA-Kantengewicht-Range sagt dabei aus, dass bei einer Abhängigkeitsanalyse über den Graphen, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über diesen BIA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird dabei die Kantenabhängigkeit in % mit dem höchsten BIA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.

Der aus den BIAs abgeleitete Schutzbedarf zu den Ressourcen wird in der Ressourcenübersicht je Ressource angezeigt.

Diese Informationen sind u.a. auch bei der weiteren Schwachstellenanalyse wertvoll, wenn in Prüffragen in den Wissensdatenbanken wie beim BSI Grundschutz Kompendium nach Schutzbedarfsanforderungen unterteilt sind. In diesem Fall macht es Sinn für Ressourcen vom Schutzbedarf „sehr hoch“ auch Prüffragen der Kategorie „hohe Schutzbedarfsanforderungen“ für den jeweiligen Prüfgegenstand zu betrachten (siehe nachfolgenden Screenshot).

Das Schutzbedarfsanalysen kann nun auch als Self-Assessment ausgesendet und beantwortet werden

Da wir in der letzten Release den Funktionsumfang um die Team-Funktionalität erweitert haben, ergaben sich neue Anwendungsmöglichkeiten. Es etabliert sich die Praxis Maßnahmen Teams zuzuteilen und es den Teams zu überlassen, dass sie die angeforderten Fortschrittsmeldungen zur Bearbeitung einzelnen Teammitgliedern delegieren. Natürlich bleiben die Fortschrittsmeldungen am Practitioner Dashboard dann nach wie vor bei den Teammitgliedern sichtbar, im Status „delegiert“. Damit die Teammitglieder schnell erkennen können, wem die Fortschrittsmeldung zur Erledigung delegiert wurde kann nun die Spalte „Delegiert an“ in der Grid-Auswahl selektiert werden. Das Einblenden der Spalte muss einmal je User und Grid im Bereich „Fortschrittmeldung“ eingestellt werden und bleibt danach in den User Settings erhalten.

Wissensdatenbanken die gemeinsam mit Standard- bzw. Normungsinstituten angeboten werden, haben Copyright Informationen an mehreren Stellen erhalten, damit jederzeit ersichtlich ist wer der Ersteller des Inhalts ist/war.

Von Kunden haben wir immer wieder das Feedback erhalten, dass manche Felder vor allem im Zusammenhang mit unseren Wissensdatenbanken eher nicht benötigt werden. Daher haben wir uns dafür entschieden, dass oft weniger mehr ist und Felder wie z.B. „Kategorie“, „Detailebene“ oder „Risikobehandlungstyp“ ausgeblendet.

Wir freuen uns darüber bekannt geben zu dürfen, dass wir unsere Produktpalette im vergangenen Quartal erweitern konnten:

Gemeinsam mit dem BSI dürfen wir unseren Kunden nun die Möglichkeit anbieten Schwachstellenanalysen nach dem IT-Grundschutz-Kompendium des BSI durchzuführen. Die erste Version bietet die Inhalte des Kompendiums in der Edition 2019 an. Natürlich erhalten Sie mit dem Abo auch die weiteren jährlichen Updates des BSI über die Abo-Laufzeit hinweg. Neben der Analyse von Abweichungen bietet das IT-Grundschutz-Kompendium des BSI auch Maßnahmenempfehlungen laut BSI für erkannte Abweichungen an.

Bundesamt für Sicherheit in der Informationstechnik

Wir freuen uns die Fertigstellung unseres HITGuard Add On Data Protector zur effizienten Administration von Datenschutzgrundverordnungsaufgaben bekannt zu geben. Der Data Protector ist ab sofort erhältlich und beinhaltet eine Menge an Features wie:

• Verwaltung von einheitlich gepflegten Betroffenen- und Datenkategorien sowie Externen bzw. Auftragsverarbeitern
• Verwaltung von Verarbeitungstätigkeiten (VT) in Organisations- und Gesellschaftsregistern
• Möglichkeit zur Aussendung einer Bearbeitungsaufforderung einer VT durch Practitioner
• Verwaltung von TOMs inkl. der Möglichkeit der Verknüpfung mit Maßnahmen aus Informationssicherheitsmanagement oder anderen Managementsystemen
• Verwaltung der Abhängigkeiten zwischen VTs mit Prozessen bzw. Organisationseinheiten, Ressourcen und Datenkategorien
• Auswertungen wie zur Erfüllung von Betroffenenrechtsanfragen und für die Verarbeitungsmeldung an die Behörde