Berichte für Maßnahmen/en: Unterschied zwischen den Versionen

On this page, you can create, view, and download reports about measures within an analysis period for selected organizational units.

The reports offer an evaluation of the measures and the project progress. The evaluation of the measures deals with their criticality and recommends an implementation timeframe on the basis of that. The evaluation of the project progress shows, using traffic light colors, the evaluation of the progress of individual measures and the project as a whole. Finished and suspended measures are displayed as crossed out text in this report.

Reports already created are listed to the left. A click on such an entry shows the report's revision information and it can be generated anew, if any modification is necessary. Clicking the blue name in the list opens an online preview of the report. If the name is blac, the report was prepared but not yet generated. Clicking the download symbol downloads a generated report.

In the tab Data selection, you can configure which organizational units are to be included in the report. The list "Included OUs" shows all organizational units that are currently considered for the report. The list "Current OUs" shows all organizational units that are available in the current analysis period of the active management system. Current OrgUnits that are not yet selected, can be added to to the included OUs via drag & drop.

The following evaluation systematics are applied in the detail report for measures and also added to the report as an appendix.

Evaluation of the measures

Every measure is evaluated as to its criticality. How critical a measure is depends on the potential damage of the recognized vulnerability and the probability of occurrence of the event. The criticality of the measure results in the urgency of that vulnerability's correction.

Measure criticality

The criticality of a measure depends on the affected IT system and the data related to that. This can be ascertained by means of the business impact analysis and risk analyses carried out. If there is no such analysis for the affected serice, the following consideration is to be made:

1. If the measure affects IT core services (such as, e.g., the network, the firewall, e-mail services or even physical security such as access to the server room), then the criticality level HIGH is to always be assumed.
2. For all IT services not covered by point 1), the following deliberation is to be made:
   • The threat potential is LOW, if
     • monetary damages of up to EUR 300K for the company are possible,
     • an image loss of partially external ramification could occur,
     • the physical integrity of persons cannot be guaranteed, even if the occurrence is unlikely.
   • The threat potential is MEDIUM, if
     • monetary damages from over EUR 300K to up to EUR 5 million for the company are possible,
     • an image loss with customers and partners could occur, that would have to be compensated with mid-term measures,
     • the physical integrity of persons cannot be guaranteed, and the occurrence is not unlikely.
   • The threat potential is HIGH, if
     • monetary damages of over EUR 5 million for a company are possible,
     • negative media coverage cannot be ruled out (with unavoidable mid- to long-term consequences),
     • there is definitely danger to the life and limb of persons.
3. If no associated risk analysis is available, the probability of occurrence of the threat must also be considered. If the probability of occurrence of the risk is estimated to be very unlikely (or would have to be triggered by a chain of events) or compensating measures for the reduction of the risk have already been taken, then the risk level can be reduced. If a vulnerability can be exploited externally, the risk level may not be reduced.

Recommended implementation timeframe

The criticality of the measure informs the resulting proposed start date for the implementation of the measure.

1. HIGH: immediately after conveying the audit findings
2. MEDIUM: 1 to at most 2 months after conveying the audit findings
3. LOW: 2 to at the most 4s months after conveying the audit findings

KO measures always cound as HIGH and are those that must be implemented immediately as the vulnerabilities are linked to a very high attack potential.

Natürlich kann nicht vom gleichen Aufwand für die Behebung jeder Maßnahme ausgegangen werden. Projekte werden daher abhängig von ihrer geplanten Projektlaufzeit und den geschätzten Projekttagen wie folgt klassifiziert:

1. KLEIN: <1 Monat Laufzeit; <= 2 PT Aufwand
2. MITTEL: <3 Monate Laufzeit; <= 10 PT Aufwand
3. GROSS: > 3 Monate Laufzeit; >10 PT Aufwand

Daher wird hier nur eine empfohlene Umsetzungsdauer angegeben.

Unter Berücksichtigung der Faktoren Kritikalität und Aufwand ergibt sich folgender empfohlener maximaler Umsetzungszeitraum:

Bei Projekten mit großem Aufwand sollte berücksichtigt werden, dass kurzfristig zu treffende risikoreduzierende Maßnahmen jedenfalls zu Projektbeginn umgesetzt werden. Die Projektdauer folgender langfristig wirkender Lösung ist dann unter wirtschaftlichen Gesichtspunkten und der Berücksichtigung der wirtschaftlichen Gesamtsituation des Unternehmens zu planen.

Evaluation of the project progress

Evaluation of the progress of individual measures

Solange eine Aufgabe zeitlich innerhalb der empfohlenen Frist liegt, ist die Ampel zum Projektfortschritt grün. Wenn eine Aufgabe erstmals als überfällig gilt, so wird die Ampel gelb. Wenn beim nächsten Berichtsintervall die Aufgabe immer noch nicht erledigt ist, so wird die Ampel rot und bleibt es solange, bis die Maßnahme behoben oder ein Follow Up Audit durchgeführt wurde, da die Bewertung des Projektfortschritts im Zuge eines Follow Up Audittermins zurückgesetzt wird. Es werden bei diesem Audit neue Umsetzungstermine vereinbart. Am „erkannt am“ Datum einer Maßnahme ist allerdings ersichtlich, seit wann die Maßnahme offen ist.

Evaluation of the progress in the project as a whole

Auch für den Fortschritt im gesamten Projektverlauf gibt es eine Bewertung über Ampelfarben.

• KEINER
  • Wenn im aktuellen Berichtszeitraum 0 Feststellungen als abgeschlossen berichtet wurden.
    ACHTUNG: Wenn "Keiner" in rot statt schwarz geschrieben steht, bedeutet dies, dass eine Verzögerung bzw. Überfälligkeit hinsichtlich der Erledigung von Feststellungen droht. Andernfalls kann es auch daran liegen, dass derzeit zwar an Maßnahmen gearbeitet wird, diese aber z.B. aufgrund ihrer aufwendigen Natur von längerer Bearbeitungsdauer sind.
• GERING
  • Wenn im aktuellen Berichtszeitraum weniger als bzw. genau 10 % der Feststellung als abgeschlossen berichtet wurden und/oder
  • mehr als 33% der Feststellungen als überfällig gelten.
• MITTEL
  • Wenn im aktuellen Berichtszeitraum mehr als 10% aber weniger als bzw. genau 20 % der Feststellungen als abgeschlossen berichtet wurden und/oder
  • mehr als 20% aber weniger als 33% der Feststellungen als überfällig gelten.
• HOCH
  • Wenn im aktuellen Berichtszeitraum mehr als 20 % der Feststellung als abgeschlossen berichtet wurden und/oder
  • maximal 20% der Feststellungen als überfällig gelten.

Abgeschlossene/Ausgesetzte Maßnahmen
Eine durchgestrichene Zeile ist eine im aktuellen Analysezeitraum erledigte Aufgabe, die beim nächsten Bericht entfällt. Eine kursive Zeile ist ein unter Begründung ausgesetzte Aufgabe.