Cyber Essentials

Ein Leitfaden zu den Informationen, die für die Cyber Essentials-Anwendung freigegeben wurden 

 1. Organisation

 In diesem Abschnitt „Organisation“ werden grundlegende, aber wichtige Informationen über die Stelle gesammelt, die sich der Cybersicherheitsbewertung unterzieht.
Zu den Fragen gehören der Name, die Art, die Registrierungsnummer und die Adresse der Organisation.
Diese Informationen sind von grundlegender Bedeutung, da sie das zu bewertende Unternehmen identifizieren, die Anwendbarkeit relevanter Sicherheitsmaßnahmen sicherstellen, die Legitimität des Unternehmens überprüfen und einen Kontext für Sicherheitsprotokolle bieten, die für den Standort des Unternehmens spezifisch sind.

2. Geltungsbereich: Der Abschnitt „Geltungsbereich“ konzentriert sich auf die Definition der Grenzen der Cybersicherheitsbewertung.
Die zentrale Frage hierbei ist die nach dem Umfang des Assessments, das abgrenzt, welche Systeme, Netzwerke und Prozesse einbezogen werden.
Dies ist entscheidend, um sicherzustellen, dass die Bewertung umfassend ist und alle kritischen Aspekte der digitalen Infrastruktur des Unternehmens abdeckt und so einen klaren Rahmen für die Bewertung von Sicherheitsmaßnahmen bietet.  

3. Boundary Firewalls und Internet-Gateways

 In diesem Abschnitt werden das Vorhandensein und die Konfiguration von Firewalls untersucht, die als kritische erste Verteidigungslinie gegen externe Bedrohungen dienen.
Bei den Fragen in diesem Abschnitt wird geprüft, ob es eine Firewall zwischen dem Netzwerk und dem Internet gibt und ob sie sicher konfiguriert ist.
Die ordnungsgemäße Einrichtung von Firewalls trägt dazu bei, unbefugten Zugriff zu verhindern und das Netzwerk vor einer Vielzahl von Cyberbedrohungen zu schützen.

4. Sichere Konfiguration

 Der Abschnitt „Sichere Konfiguration“ soll sicherstellen, dass die Systeme innerhalb des Unternehmens sicher konfiguriert sind, um Schwachstellen zu minimieren.
Dazu gehören die Deaktivierung nicht benötigter Dienste und die regelmäßige Überprüfung von Benutzerkonten.
Durch die Reduzierung potenzieller Angriffsflächen und die strikte Kontrolle über den Benutzerzugriff kann das Unternehmen das Risiko einer Ausnutzung durch böswillige Akteure erheblich senken.

5. Zugriffskontrolle für Benutzer

Die Benutzerzugriffskontrolle ist eine wichtige Komponente der Cybersicherheit, und dieser Abschnitt konzentriert sich auf die Verwaltung, wie der Zugriff auf Systeme und Daten gewährt wird.
Bei den wichtigsten Fragen wird bewertet, ob Benutzerkonten die geringstmöglichen Berechtigungen erhalten und ob die Zwei-Faktor-Authentifizierung verwendet wird.
Diese Maßnahmen begrenzen den potenziellen Schaden durch kompromittierte Konten und fügen eine zusätzliche Sicherheitsebene hinzu, die die allgemeine Zugriffskontrolle verbessert.

 6. Schutz vor Malware

 Im Bereich „Malware-Schutz“ liegt der Fokus auf den Maßnahmen, die zum Schutz vor Schadsoftware ergriffen wurden.
Bei den Fragen hier wird bewertet, ob Anti-Malware-Software auf allen Geräten installiert ist und ob regelmäßige Scans durchgeführt werden.
Dieser kontinuierliche Schutz und diese Erkennung sind für die Abwehr von Malware, die den Daten und Abläufen eines Unternehmens erheblichen Schaden zufügen kann, unerlässlich.

7. Patch-Verwaltung

Der Abschnitt „Patch-Verwaltung“ befasst sich mit dem Prozess der Anwendung von Updates auf Software, um Schwachstellen zu beheben.
Dazu gehört die Sicherstellung, dass Patches rechtzeitig angewendet werden, und die Verwendung automatisierter Patch-Management-Systeme.
Die Aktualisierung der Software ist von entscheidender Bedeutung, um Exploits zu verhindern, die zur Kompromittierung von Systemen verwendet werden könnten, und macht das Patch-Management zu einem Eckpfeiler effektiver Cybersicherheitspraktiken.

Bedeutung für Unternehmen

Ein effektives Risikomanagement wird durch die Identifizierung und Behebung von Schwachstellen erreicht, um den Geschäftsbetrieb zu sichern.
Eine robuste Cybersicherheit verbessert den Ruf des Unternehmens und fördert das Vertrauen bei Kunden, Partnern und Stakeholdern.
Durch die Verhinderung von Cybervorfällen gewährleisten diese Maßnahmen das reibungslose und ununterbrochene Funktionieren der Geschäftstätigkeit, was für die Aufrechterhaltung der Betriebskontinuität unerlässlich ist.  

Für alle Bereiche, die im Bericht behandelt werden, priorisiert das Haupt-Dashboard von Lupasafe alle Risiken und Schwachstellen, damit die Benutzer Maßnahmen ergreifen und Probleme beheben können.
Sobald alle Schwachstellen behoben sind, kann der Bericht zur Zertifizierung durch die IASME eingereicht werden.

Penetrationsprüfung (Stiftprüfung)

Lupasafe kann Pent-Tests unterstützen, die die gesamte Netzwerk-, Geräte-, Endpunkt- und Cloud-Sicht auf Cyberrisiken abdecken.
Darüber hinaus können die Pen-Test-Partner von Lupasafe in Ihr Unternehmen eindringen, um die Sicherheit zu identifizieren und Ihnen zu helfen, die Sicherheit zu erhöhen.

Pen-Tests befassen sich in der Regel mit einem begrenzten Technologieumfang innerhalb eines Unternehmens für einen bestimmten Zeitraum.
Die Plattform von Lupasafe deckt die gesamte Technologie sowie die Schulung und Sensibilisierung des Personals für das gesamte Unternehmen ab.