Einfach zertifizieren
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung.
Egal ob ISO9001, COBIT oder GDPR – mit 360inControl ist der Status der Zertifizierung auf einen Blick klar.
Ohne Zertifizierung geht es nicht – sei es für die Qualitätssicherung (ISO 9001), zur Informationssicherheit (ISO 27001) oder für den Datenschutz (GDPR), um nur einige Beispiele zu nennen. Dabei sind die Anforderungen so umfangreich wie komplex. Kein Wunder, dass sie mit hohem personellem und finanziellem Aufwand verbunden sind. Zahlreiche Lösungen bieten deshalb Wege, vorgeschriebene System wie Information Security Management (ISMS, ISO 27001) oder ein internes Kontrollsystem (IKS, OR) aufzusetzen. "Leider sind diese häufig wenig digital", meint Andreas von Grebmer, Mitgründer von CISS (Control, Improve, Secure, Sustain).
Das Basler Start-up hat deshalb eine Lösung entwickelt, die es erlaubt, jegliche Zertifizierungsanforderungen digital abzubilden und die relevanten Informationen übersichtlich bereit zu stellen. 360inControl, so der Name, bietet dafür eine Library mit den zu erfüllenden Kontrollzielen und Massnahmen für Standards wie etwa GDPR, COBIT, ISO27001 oder CSC16. Steht eine Zertifizierung an, wählt der Verantwortliche einfach den relevanten Standard und erhält eine Liste mit den umzusetzenden Inhalten. Für jeden einzelnen Punkt lassen sich Dokumente ablegen, der Status erfassen sowie Aufgaben zuweisen.
Report auf Knopfdruck
Jedes Teammitglied hat eine Rollen-basierte Übersicht und der Teamleiter kann jederzeit automatisch einen Bericht erstellen für das Reporting an Management oder Verwaltungsrat. "Normalerweise dauert es Tage und Wochen, Informationen zu sammeln und dann in ein Word-Dokument zu kopieren. Mit 360inControl waren wir viel schneller, der Report kam auf Knopfdruck", so beispielsweise Fritz von Allmen, CISO und Datenschutzbeauftragter von Unic.
Neben Übersicht und Geschwindigkeit ermöglicht 360inControl das Aufbrechen der Silos, die noch in vielen Organisationen bestehen. Häufig sind nämlich die Kompetenzen für einzelne Zertifizierungen verteilt. In Folge werden die Informationen häufig redundant und nicht für andere zugänglich gehalten. Beispielsweise erarbeitet der Datenschutzbeauftragte ein eigenes Information Inventory, obwohl das bereits beim Informationssicherheitsverantwortlichen (ISECO) vorhanden ist. Mit der CISS-Lösung ist ein holistischer 360-Grad-Überblick möglich. Sind also Kontrollziele und deren Massnahmen für mehr als eine Zertifizierung gültig, so müssen sie nur einmal erfasst werden. Werden neue Zertifizierungsanforderungen hinzugefügt, prüft das System automatisch, was schon vorhanden ist. Ein Beispiel ist die Überprüfung der Zugangsrechte von Administratoren, die sowohl für ISO 27001, COBIT 5 und CSC 16 vorhanden sein muss.
Für jedes Kontrollziel gibt 360inControl ausserdem detaillierte Beschreibungen, Beispiele, sowie Informationen, die für das Testen relevant sind. So erlaubt die Lösung, die Kosten stark zu senken. "Das Teure an der Zertifizierung ist häufig der Berater, der bei der Vorbereitung hilft. Wir können dessen Stundenaufwand deutlich reduzieren", so Andreas von Grebmer. Dabei ist 360inControl nicht auf die bereits vorhandenen Standards begrenzt, sondern erlaubt auch, eigene Frameworks mit Kontrollzielen und Massnahmen anzulegen.
Schnell bei Gesetzesänderungen
360inControl ist seit 2018 am Markt und konnte bereits erste Kunden überzeugen, wie etwa Unic. Zudem haben Studierende des Master-Programms "Business Information Technology (BIS)" der Fachhochschule Nordwestschweiz (FHNW) die Lösung erfolgreich eingesetzt, um in verschiedenen Unternehmen COBIT5-Prozesse zu auditieren.
Sehr praktisch dabei: Jeder Student brauchte nicht mehr als seinen Laptop und konnte binnen weniger Minuten loslegen. "Das Feedback war sehr positiv", so Professorin Petra Maria Asprion, Dozentin am Institut für Wirtschaftsinformatik an der FHNW. Bei CISS sieht man diese Einfachheit als Wachstumstreiber – gerade da wo Gesetzesänderungen oder neue Standards schnell eine Reaktion fordern.
More articles on General Security
- Tuesday 22.11.2022
Die eigene Recovery-Box
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante. - Thursday 09.12.2021
Das Passwortarchiv bleibt in der Schweiz
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen. - Thursday 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Tuesday 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Friday 01.12.2017
Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt. - Friday 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist. - Friday 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Friday 24.11.2017
Sicherheit hat Mehrwert – am Computer und im Geschäft
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen. - Friday 24.11.2017
Security for international payments
In 2016, hackers attempted to steal more than 950 million dollars from accounts held at Bangladesh’s central bank, Bangladesh Bank. While automated systems managed to stop the transfers at 81 million, this was still an impressive demonstration of the vulnerability of the SWIFT system. - Friday 24.11.2017
Sicherheit klingt gut
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen. - Friday 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz.