Berichte für Maßnahmen: Unterschied zwischen den Versionen

Auf dieser Seite können Sie Berichte über Maßnahmen innerhalb eines Analysezeitraumes für ausgewählte Organisationseinheiten erstellen, einsehen und herunterladen.

Die Berichte liefern eine Bewertung der Maßnahmen und eine Bewertung des Projektfortschritts. Die Bewertung der Maßnahmen setzt sich mit der Kritikalität der Maßnahmen auseinander und empfiehlt auf Basis davon einen Umsetzungszeitraum. Die Bewertung des Projektfortschritts zeigt mittels Ampelfarben die Bewertung des Fortschritts einzelner Maßnahmen und des gesamten Projekts. Erledigte sowie ausgesetzte Maßnahmen werden in diesem Bericht durchgestrichen dargestellt.

Die bereits erstellten Berichte werden links aufgelistet. Ein Klick auf einen Eintrag in dieser Liste zeigt auch die Revisionsinformation zu diesem Bericht an und er kann, falls eine Überarbeitung nötig ist, auch neu generiert werden. Mit Klick auf die blaue Bezeichnung in der Liste öffnet sich der Bericht in einer online Vorschau. Ist die Bezeichnung schwarz, wurde der Bericht vorbereitet aber noch nicht generiert. Mit Klick auf das Download Symbol kann der erstellte Bericht heruntergeladen werden.

Im Tab Datenselektion kann konfiguriert werden, welche Organisationseinheiten im Bericht enthalten sein sollen. Die Liste "Enthaltene OrgEhs" zeigt alle Organisationseinheiten, die aktuell berücksichtigt werden. Die Liste "Aktuelle OrgEhs" zeigt alle Organisationseinheiten, die im aktuellen Analysezeitraum des aktiven Managementsystem vorhanden sind. Es können mittels Drag & Drop jene der aktuellen OrgEhs, die noch nicht ausgewählt sind, zu den enthaltenen OrgEhs hinzugefügt werden.

Jede Maßnahme wird hinsichtlich seiner Kritikalität bewertet. Wie kritisch eine Maßnahme ist hängt davon ab wie hoch der potentielle Schaden durch die erkannte Schwachstelle ist bzw. wie hoch die Wahrscheinlichkeit des Eintretens des Ereignisses ist. Aus der Kritikalität der Maßnahme ergibt sich daher die Dringlichkeit der Behebung dieser Schwachstelle.

Die Kritikalität einer Maßnahme hängt vom betroffenen IT-System bzw. den damit verbundenen Daten ab. Dies kann anhand der durchgeführten Business Impact Analyse und Risikoanalysen erhoben werden. Sollte es für den betroffenen Service keine solche Bewertung gelten, so ist folgende Abwägung vorzunehmen:

1. Betrifft die Maßnahme IT Kernservices (wie z.B. das Netzwerk, die Firewall, das E-Mail Service oder gar die physische Sicherheit wie Zutritt zum Serverraum), dann ist immer von einer Kritikalitätsstufe HOCH auszugehen
2. Für alle nicht unter 1) fallende IT-Services ist folgende Überlegung zu treffen:
   • Das Bedrohungspotential ist NIEDRIG wenn,
     • einer Gesellschaft ein monetärer Schaden von <300 Tsd. EUR entstehen könnte
     • ein in begrenzten Maße nach außen wirkenden Imageverlust entstehen könnte
     • die Gefährdung der körperlichen Unversehrtheit von Menschen nicht garantiert werden könnte, auch wenn das Eintreten ist allerdings unwahrscheinlich gilt
   • Das Bedrohungspotential ist MITTEL wenn,
     • einer Gesellschaft ein monetärer Schaden von >300 Tsd. EUR bis max. 5 Mio. EUR entstehen könnte
     • ein Imageverlust bei Kunden und Partnern entstehen könnte, der durch mittelfristige Maßnahmen kompensiert werden müsste
     • die Gefährdung der körperliche Unversehrtheit von Menschen nicht garantiert werden könnte und das Eintreten des Falles als nicht unwahrscheinlich gilt
   • Das Bedrohungspotential ist HOCH wenn
     • einer Gesellschaft ein monetärer Schaden von >5Mio EUR entstehen könnte
     • eine negativen mediale Berichterstattung nicht ausschließbar wäre (mit nicht auszuschließenden mittel- bis längerfristigen Folgewirkungen)
     • Menschen definitiv an Leib & Leben gefährdet wären
3. Wenn keine entsprechende Risikoanalyse vorliegt gilt es auch die Eintrittswahrscheinlichkeit der Bedrohung zu berücksichtigen. Wenn das Eintreten der Risikosituation als sehr unwahrscheinlich gilt (ggf. durch eine Verkettung von Umständen ausgelöst werden müsste) oder zur Reduktion des Risikos kompensierende Maßnahmen ergriffen wurden, so kann die getroffene Risikoeinstufung auch reduziert werden. Ist eine Schwachstelle von Extern ausnutzbar, so darf die Risikoeinschätzung nicht reduziert werden.

Bewertungssystematik Abhängig von der Kritikalität der Maßnahme ergibt sich der empfohlene Startzeitpunkt für die Behebung der Maßnahme.

1. HOCH unmittelbar nach der Übermittlung der Auditfeststellungen
2. MITTEL 1 bis spätestens 2 Monate nach der Übermittlung der Auditfeststellungen
3. NIEDRIG 2 bis spätestens 4 Monate nach der Übermittlung der Auditfeststellungen

K.O. Maßnahmen gelten immer als HOCH und sind solche, die unmittelbar zu beheben sind da die Schwachstelle mit sehr großem Angriffspotential verbunden ist.

Natürlich kann nicht vom gleichen Aufwand für die Behebung jeder Maßnahme ausgegangen werden. Projekte werden daher abhängig von Ihrer geplanten Projektlaufzeit und den geschätzten Projekttagen wie folgt klassifiziert:

1. KLEIN <1 Monat Laufzeit; <= 2 PT Aufwand
2. MITTEL <3 Monate Laufzeit; <= 10 PT Aufwand
3. GROSS > 3 Monate Laufzeit; >10 PT Aufwand

Daher wird hier nur eine empfohlene Umsetzungsdauer angegeben.

Unter Berücksichtigung der Faktoren Kritikalität und Aufwand ergibt sich folgender empfohlener maximaler Umsetzungszeitraum:

Aufwand  Kritikalität  NIEDRIG  MITTEL  HOCH  GROSS  MITTEL  KLEIN  4 Monate + Projektaufwand  2 Monate + Projektaufwand  Projektaufwand  7 Monate  5 Monate  3 Monate  5 Monate  3 Monate  1 Monat  Bei Projekten mit großem Aufwand sollte berücksichtigt werden, dass kurzfristig zu treffende  risikoreduzierende Maßnahmen jedenfalls zu Projektbeginn umgesetzt werden. Die Projektdauer  folgender langfristig wirkender Lösung ist dann unter wirtschaftlichen Gesichtspunkten und der  Berücksichtigung der wirtschaftlichen Gesamtsituation des Unternehmens zu planen.  2.2 Bewertung des Projektfortschritts  2.2.1 Bewertung des Fortschritts einzelner Maßnahmen  Solange eine Aufgabe zeitlich innerhalb der empfohlenen Frist liegt, ist die Ampel zum Projektfortschritt  grün. Wenn eine Aufgabe erstmals als überfällig gilt, so wird die Ampel gelb. Wenn beim nächsten  Berichtsintervall die Aufgabe immer noch nicht erledigt ist, so wird die Ampel rot und bleibt es solange,  bis die Maßnahme behoben oder ein Follow Up Audit durchgeführt wurde, da die Bewertung des  Projektfortschritts im Zuge eines Follow Up Audittermins zurückgesetzt wird. Es werden bei diesem Audit  neue Umsetzungstermine vereinbart. Am „erkannt am“ Datum einer Maßnahme ist allerdings ersichtlich  seit wann die Maßnahme offen ist.  2.2.2 Bewertung des Fortschritts im Gesamtprojekt  Auch für den Fortschritt im gesamten Projektverlauf gibt es eine Bewertung über Ampelfarben.  © ToSec  VERTRAULICH / CONFIDENTIAL  3/4  Revision 1     

Bewertungssystematik KEINER Wenn im aktuellen Berichtszeitraum 0 Feststellungen als abgeschlossen berichtet wurden ACHTUNG: Wenn Keiner in ROT statt schwarz geschrieben steht bedeutet dies, dass eine Verzögerung bzw. Überfälligkeit hinsichtlich der Erledigung von Feststellungen droht. Andernfalls kann es auch daran liegen, dass derzeit zwar an Maßnahmen gearbeitet wird, diese aber z.B. aufgrund ihrer aufwendigen Natur von längerer Bearbeitungsdauer sind. GERING Wenn im aktuellen Berichtszeitraum weniger bzw. genau 10 % der Feststellung als abgeschlossen berichtet wurden und / oder mehr als 33% der Feststellungen als überfällig gelten MITTEL Wenn im aktuellen Berichtszeitraum mehr als 10% aber weniger bzw. genau 20 % der Feststellung als abgeschlossen berichtet wurden und / oder mehr als 20%, aber weniger als 33% der Feststellungen als überfällig gelten HOCH Wenn im aktuellen Berichtszeitraum mehr als 20 % der Feststellung als abgeschlossen berichtet wurden und / oder maximal 20% der Feststellungen als überfällig gelten 2.3 Abgeschlossene / Ausgesetzte Maßnahmen Eine durchgestrichene Zeile ist eine, im aktuellen Analysezeitraum erledigte Aufgabe und entfällt beim nächsten Bericht. Eine kursive Zeile ist ein unter Begründung ausgesetzte Aufgabe.