Es gibt eine Reihe von bewährten Verfahren, mit denen Sie die Effizienz und Effektivität Ihrer Vorkehrungen für Informationssicherheit prüfen können, angefangen mit der Abarbeitung einfacher Checklisten und der punktuellen Prüfung der Netzsicherheit mittels Penetrationstests bis hin zu umfassenden Prüfungen der Angemessenheit und Wirksamkeit der umgesetzten technischen und organisatorischen Schutzmaßnahmen.

Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten. Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.

Sicherheitsvorfälle sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen. Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können.

Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die IS-Revision und der Cybersicherheits-Check:

• Mit einer Informationssicherheitsrevision (IS-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird. Die IS-Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit. Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.

• Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cybersicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein. Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.

Für die Durchführung der IS-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im Leitfaden IS-Revision beschrieben ist. Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.

Behandlung der Prüfergebnisse

Die Ergebnisse aller Überprüfungen müssen dokumentiert und der Leitung mitgeteilt werden. Diese benötigt insbesondere Informationen über den Stand der Umsetzung, Erfolge und auch Probleme sowie Risiken aufgrund von Umsetzungsmängeln. Bei Abweichungen von der Planung müssen Vorschläge erarbeitet werden, wie diese anzupassen oder die Umsetzung zu korrigieren ist. Gleiches gilt für Vorschläge zur Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen. Alle Entscheidungen hierzu, auch die Übernahme von Risiken durch eine verzögerte Umsetzung von Maßnahmen, müssen dokumentiert werden.

Standard-Anforderungen, die Berichte an die Leitungsebene erfüllen SOLLTEN, werden im Baustein ISMS.1 Sicherheitsmanagement des IT-Grundschutz-Kompendiums unter ISMS.1.A12 Management-Berichte zur Informationssicherheit beschrieben.