Cyberscore: der Sicherheits-Nutri-Score für KMU in Luxemburg

© IT Nation

Hallo Olivier, kannst du dich für unsere Leser, die dich noch nicht kennen, kurz vorstellen?

Hallo zusammen, mein Name ist Olivier Antoine und ich leite das Team Information Security Management, das aus den Information Security Officers von POST Luxembourg und POST Telecom besteht. Als Mitglieder der Abteilung Cyberforce kümmern wir uns um Sicherheitsaspekte im Zusammenhang mit Governance, Risiken und Compliance.

Kannst du uns erklären, was es mit dem Cyberscore auf sich hat?

Der Cyberscore ist das Ergebnis einer Initiative, die von POST und Luxcontrol mit dem Ziel entwickelt wurde, kleinen und mittleren Unternehmen in Luxemburg zu helfen, die Hürden der Cybersicherheit leichter angehen zu können. Ausgangspunkt war unsere Einschätzung, dass der KMU-Sektor bislang nicht die nötige Aufmerksamkeit hinsichtlich Informationssicherheit erhalten hat. Daher wollten wir mit Luxcontrol eine Lösung anbieten, die speziell darauf zugeschnitten ist.

Kleine und mittlere Unternehmen bleiben von Cyberangriffen nicht verschont, vielmehr sind sie zu den bevorzugten Zielen geworden, da sie leichter zu kompromittieren sind. Aus diesem Grund ist es wichtig, Mittel bereitzustellen, um wirksam auf Angriffe reagieren zu können. Allerdings ist es nicht einfach, die als erstes umzusetzenden Maßnahmen und die Mittel, die dafür bereitgestellt werden müssen, zu bestimmen. Schließlich haben KMU nicht unbedingt ein flexibles Budget.

Der Cyberscore ist ein Bewertungstool, das Aufschluss über das Sicherheitsniveau eines Unternehmens gibt. Auf Grundlage einer vor Ort durchgeführten Bewertung erhält das Unternehmen einen Cyberscore von A bis E zusammen mit einem Bericht, der die spezifischen Stärken und Schwächen des Unternehmens darlegt. Wenn ein Unternehmen einen unzureichenden Cyberscore erhält, kann es mithilfe des ausführlichen Berichts, der zahlreiche Empfehlungen enthält, einen Aktionsplan für die Cybersicherheit erarbeiten.Zudem hat es die Möglichkeit, sich von den Experten der Cyberforce bei POST unterstützen zu lassen.

Wie wird der Cyberscore ermittelt?

Der Cyberscore wird anhand der Antworten auf einen Fragebogen berechnet, der auf dem vom CIS vorgeschlagenen Kontrollrahmen basiert. POST und Luxcontrol streben einen für KMU zugänglichen Ansatz an, weshalb dieser Rahmen, der sich auf umsetzbare Lösungen für bekannte Bedrohungen konzentriert, gewählt wurde. Der Rahmen wurde an Luxemburg angepasst.

Wir haben 91 der 153 Kontrollpunkte, die das CIS in Bezug auf die drei vorgeschlagenen Sicherheitsstufen festgelegt hat, ausgewählt. Unserer Meinung nach sind dies die wichtigsten Punkte, die es zu beachten gilt, um im Bereich Cybersicherheit gut aufgestellt zu sein und im Falle eines Cyberangriffs wirksam reagieren zu können.

Die einzelnen Punkte betreffen Schlüsselthemen wie die Zugriffsverwaltung, die Sensibilisierung und Schulung der Teams, den Schutz von E-Mails, die Sicherung und Wiederherstellung von Daten usw. Einige Kontrollpunkte sind grundlegend. Werden die Maßnahmen in Bezug auf bestimmte Herausforderungen nicht umgesetzt, fällt die endgültige Bewertung negativ aus.

Wie wird man als KMU „Cyber Responsable“?

Im Anschluss an die Bewertung erhält jedes KMU einen Fahrplan, mit dem es die festgestellten Probleme beheben kann. Sobald die Empfehlungen – mit oder ohne Hilfe der Cyberforce von POST – umgesetzt wurden, führt die ESCEM, die zur Luxcontrol-Gruppe gehört, ein tiefer greifendes, neutrales und unabhängiges Audit durch, woraufhin das Unternehmen das Label Cyber Responsable beantragen kann. Unser Ziel ist es, dass dieses Label in Zukunft landesweit anerkannt wird und sich insbesondere bei Regulierungsbehörden und Versicherern als Referenz etabliert.

Dein Fazit für unsere Leser?

Sicherheitsmanagement ist ein dauerhafter Optimierungsprozess. Mit dem Cyberscore möchten wir ein für KMU zugängliches Tool anbieten, mit dem sie ihr Sicherheitsniveau erhöhen können. Das bedeutet nicht, dass sie nicht angegriffen werden, allerdings sind sie dann besser vorbereitet und geschützt. Und für Unternehmen, die einen Schritt weiter gehen wollen, bilden die durch das Label eingeführten Maßnahmen eine solide Grundlage für fortgeschrittenere Standards wie ISO/IEC 27001.