Confidential tags

 

Das inet- TMS steht als Plattform zwischen Lieferanten, Partnern und Kunden sozusagen im Datenmittelpunkt. Unsere Kunden vertrauen uns sensible, geschäftskritische Daten an und gehen damit ein Risiko ein. Wir sind uns der Verantwortung bewusst, die damit einhergeht und investieren deshalb kontinuierlich in Informationssicherheit. Durch Audits und weitere Maßnahmen stellen wir hohe Qualität sicher und bedanken uns somit für den Vertrauensvorschuss.

Neben internen Audits und freiwilligen Penetration- Tests wird inet im Rahmen ders ISO 27001-Zertifizierung regelmäßig auditiert. Diese Check-ups durch unabhängige Auditoren helfen dabei, in kurzer Zeit einen umfassenden Überblick zu bekommen und Lernfelder zu identifizieren. Das letzte Audit, ein sogenanntes Überprüfungsaudit, wurde von den Profis von CIS durchgeführt. Die wichtigsten Ergebnisse im Überblick:

 

Volle Punktezahl für Risikomanagementtool

Positiv bewertet wurden im Allgemeinen die gut nachvollziehbare Dokumentation, die Management-Attention für das Thema Informationssicherheit und die kontinuierliche Weiterentwicklung des Information-Security-Management-Systems (ISM) bei inet.

Im Speziellen überzeugten die Spezialisten von CIS die Durchführung von Penetration-Tests und die Entwicklung des inet-Risikomanagementtools. Das Tool zielt darauf ab, Risiken, die im Betrieb auftauchen, zu bewerten. Ein Teil davon ist die sogenannte assetbasierte Risikobewertung: Verschiedene Assets (Personal, Hard-und Software etc.) werden anhand verschiedener Bedrohungsszenarien auf Risiken hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität bewertet. Beispiele für Bedrohungsszenarien sind Diebstahl, Datenverlust oder potentielle Schwachstellen wie fehlende Prozesse, Backups oder Restore-Tests. Der inet-Information-Security-Manager und das Managementteam bewerten gemeinsam die Risiken. Danach werden Maßnahmen entsprechend definiert, priorisiert und initialisiert.

Die Security-Checkliste - eine Erweiterung des Risikomanagementtools - punktete ebenfalls bei den Auditoren. Basierend auf den OWASP-Top-Ten-Risiken für Webapplikationen wird darin die Sicherheit der verschiedenen Lösungen von inet bewertet. Darauf aufbauend können Maßnahmen im Secure-Software-Development-Programm priorisiert werden. Die so entstandene TMS-Security-Risk-Matrix bildet die Basis für die systematische sichere Softwareentwicklung.

 

Hausaufgabe Lieferantenmanagement

Als Hausaufgabe wurde die Systematisierung des Lieferantenmanagements mitgegeben. Um der ISO 27001-Vorgabe im Anhang A „Supplier Relationships“ zu entsprechen, muss dargelegt werden, wie inet sicherstellt, ob und in welcher Form die Lieferanten den festgelegten Sicherheitsanforderungen entsprechen. Dabei muss der Grundsatz der Verhältnismäßigkeit gegeben sein, also die Lieferanten zuerst hinsichtlich des Sicherheitsrisikos gereiht werden. Für Lieferanten, die sicherheitsrelevante Bestandteile des TMS liefern, werden dann neue Prozesse etabliert. Eine mögliche Maßnahme wäre beispielsweise die telefonische oder dokumentenbasierte Auditierung der Lieferanten.

inet-Information-Security-Manager Alexander Lipski zum Ergebnis des Audits: „Natürlich freuen wir uns über das erneut positive Feedback. Wir dürfen aber nicht still stehen. Es gibt immer was zu tun in der Informationssicherheit, denn Sicherheitsrisiken kennen keine Audittermine.“