Was ist die Cyber Essentials Checkliste?
Die Cyber Essentials-Checkliste ist eine praktische Vorab-Liste der Konfigurationen, Nachweise und Entscheidungen, die eine britische Organisation vor dem Ausfüllen des Selbstbewertungsfragebogens (SAQ) treffen muss. Sie umfasst den Geltungsbereich, die fünf Kontrollbereiche, Cloud-Dienste, Multi-Faktor-Authentifizierung, Patching und die zusätzlichen Prüfungen, die für Cyber Essentials Plus gelten.
Cyber Essentials ist ein von der britischen Regierung gefördertes Zertifizierungsprogramm, das von IASME im Auftrag des National Cyber Security Centre (NCSC) verwaltet wird. Das Programm prüft, ob Ihre Firewalls, Geräte, Konten, Malware-Abwehrmaßnahmen und Software-Updates einem sicheren Sicherheitsstandard entsprechen. Die untenstehende Checkliste führt Sie durch alle Prüfungen, die die meisten Bewerber durchlaufen, sodass Sie etwaige Lücken vor der Einreichung schließen können, anstatt erst nach einer negativen Bewertung. Weitere Informationen zum Programm finden Sie in unserer Website. Cyber Essentials HubDie Details zur Steuerung der einzelnen Positionen finden Sie unter Anforderungen der Cyber Essentials.
Arbeiten Sie die einzelnen Abschnitte der Reihe nach durch. Haken Sie die bereits erfüllten Punkte ab, listen Sie die fehlenden Punkte als Maßnahmen mit Verantwortlichem und Fälligkeitsdatum auf und buchen Sie Ihre Bewertung erst, wenn alle Punkte entweder vollständig erledigt sind oder eine dokumentierte Ausnahme vorliegt. Kunden, die ISMS.online Erfassen Sie jeden unten aufgeführten Punkt als nachverfolgbare Kontrollmaßnahme mit verknüpften Nachweisen, sodass dieselbe Checkliste die Grundlage bildet. jährlicher Erneuerungszyklus sowie die erste Zertifizierung.
Wie definiert man den Umfang eines Cyber Essentials-Projekts?
Bevor Sie technische Steuerungselemente anfassen, müssen Sie den Umfang genau kennen. Die Festlegung des Umfangs ist die wichtigste Entscheidung in einem Cyber-Essentials-Projekt, und spätere Änderungen kosten Zeit und Geld.
- Entscheiden Sie sich für den Geltungsbereich der gesamten Organisation oder für eine klar definierte Teilmenge (benannte Abteilung, Geschäftseinheit oder Umgebung).
- Listen Sie alle Baustellen und Heimarbeitsplätze auf, an denen die im Leistungsumfang enthaltenen Arbeiten stattfinden.
- Dokumentieren Sie die Netzwerke, die die betroffenen Geräte verbinden: Firmen-LANs, Wi-Fi, VPNs und jegliche Nutzung mobiler Daten.
- Erfassung aller relevanten Benutzerkonten (Mitarbeiter, Auftragnehmer, Dritte mit Zugriff).
- Inventarisieren Sie alle Geräte, die in den Geltungsbereich fallen: Laptops, Desktop-PCs, Server, Mobiltelefone, Tablets, Netzwerkgeräte.
- Listen Sie alle Cloud-Dienste auf, die zur Verarbeitung oder Speicherung von Organisationsdaten verwendet werden (SaaS, PaaS, IaaS).
- Ermitteln Sie alle BYOD-Vereinbarungen (Bring Your Own Device) und prüfen Sie, ob diese Geräte in den Geltungsbereich fallen.
- Stellen Sie sicher, dass eine klare technische Abgrenzung zwischen den innerhalb und außerhalb des Geltungsbereichs liegenden Umgebungen besteht (separates Netzwerk, Verzeichnis oder Mandant), wenn Sie einen Teilbereich verwenden.
- Halten Sie Ihre Beschreibung des Geltungsbereichs schriftlich fest und lassen Sie sie von einem Eigentümer genehmigen, der über die Verfügungsgewalt über das betreffende Grundstück verfügt.
Wenn der Umfang mit der Entdeckung weiterer Geräte, Cloud-Anwendungen oder Schatten-IT stetig wächst, entspricht genau das dem Ziel des Systems. Es ist besser, dies jetzt zu erkennen als erst während der Bewertung.
Wie konfiguriert man Firewalls und Router?
Jedes Gerät, das sich mit dem Internet verbindet, sowie die Netzwerkgrenze selbst müssen sich hinter einer korrekt konfigurierten Firewall (oder einem gleichwertigen Netzwerkgerät) befinden.
- Bei jeder mit dem Internet verbundenen Firewall und jedem Router wurde das standardmäßige Administratorpasswort durch ein starkes, individuelles Passwort ersetzt.
- Nicht authentifizierte eingehende Verbindungen werden standardmäßig blockiert.
- Jede eingehende Firewall-Regel, die einen Dienst zulässt, hat einen dokumentierten Geschäftszweck und einen Verantwortlichen.
- Nicht mehr benötigte eingehende Regeln wurden entfernt.
- Hostbasierte (Software-)Firewalls sind auf Laptops und anderen Geräten aktiviert, die außerhalb des Unternehmensnetzwerks verwendet werden.
- Der administrative Fernzugriff auf Firewalls aus dem Internet ist entweder deaktiviert oder durch Multi-Faktor-Authentifizierung oder eine IP-Zulassungsliste geschützt, wobei ein dokumentierter geschäftlicher Bedarf vorliegt.
- Heimarbeiter nutzen entweder Router ihres Internetanbieters, deren Standard-Administratorpasswort geändert wurde, oder verlassen sich auf die hauseigene, hostbasierte Firewall des Firmenlaptops.
Zu sammelnde Nachweise: Firewall-Hersteller und -Version, Screenshots oder Bestätigungen über die Änderung des Administratorpassworts, eine Liste der eingehenden Regeln mit ihrer Begründung sowie die Bestätigung, dass die Host-Firewalls auf allen Geräten aktiviert sind.
Was ist für eine sichere Konfiguration erforderlich?
Eine sichere Konfiguration beseitigt die Schwächen, mit denen Geräte und Software standardmäßig ausgeliefert werden: ungenutzte Konten, Beispielpasswörter, Demoinhalte und eine zu freizügige Freigabe.
- Benutzerkonten und Software, die Sie nicht benötigen, wurden entfernt oder deaktiviert (Bloatware, Standard-Administratorkonten, inaktive Benutzerkonten).
- Standardpasswörter oder leicht zu erratende Passwörter für Geräte, Konten und Dienste wurden geändert.
- Automatisch ausgeführte Funktionen, die Code von Wechseldatenträgern ausführen, sind deaktiviert.
- Benutzer müssen sich authentifizieren, bevor sie auf Organisationsdaten oder -dienste zugreifen können.
- Die Multi-Faktor-Authentifizierung (MFA) wird für alle Administratorkonten jedes Cloud-Dienstes erzwungen.
- Die Multi-Faktor-Authentifizierung (MFA) ist für Standard-Cloud-Benutzer überall dort aktiviert, wo die Plattform dies unterstützt.
- Die Passwortlänge beträgt mindestens 12 Zeichen, wenn keine MFA (Multi-Faktor-Authentifizierung) eingerichtet ist, oder 8 Zeichen mit MFA, oder 8 Zeichen bei Drosselung oder Sperrung.
- Die reine SMS-basierte Zwei-Faktor-Authentifizierung wurde, wo immer möglich, durch Authentifizierungs-Apps oder Hardware-Token ersetzt (oder ergänzt).
- Die WLAN-Gästenetzwerke sind vom Firmennetzwerk (LAN) isoliert.
Dies ist der Kontrollbereich, in dem die meisten Organisationen den größten Anteil an unerwarteter Arbeit feststellen. Beginnen Sie daher frühzeitig in Ihrem Projekt damit. Ordnen Sie die hier durchgeführten Prüfungen Ihren Vorgaben zu. Selbstbewertung für Cyber Essentials Antworten vor dem Absenden.
Wie funktioniert die Benutzerzugriffskontrolle in der Praxis?
Die Benutzerzugriffskontrolle legt fest, wer welche Aktionen auf Ihren Systemen ausführen darf und stellt sicher, dass Konten gelöscht werden, wenn Mitarbeiter das System verlassen.
- Es existiert ein dokumentierter Prozess zur Erstellung und Genehmigung von Benutzerkonten, der auch eingehalten wird.
- Benutzer müssen sich mit starken, individuellen Anmeldeinformationen authentifizieren, bevor sie auf die betroffenen Systeme zugreifen können.
- Ein Verfahren für Beitritte, Versetzungen und Austritte entfernt oder deaktiviert Konten umgehend, wenn Personen ihre Rolle wechseln oder das Unternehmen verlassen.
- Die Multi-Faktor-Authentifizierung wird bei Cloud-Diensten für alle Benutzer erzwungen, sofern die Plattform dies unterstützt, und bedingungslos für alle Administratorkonten.
- Administratorkonten sind von den Konten der alltäglichen Benutzer getrennt; Administratoren surfen nicht im Internet und lesen keine E-Mails mit ihrem privilegierten Konto.
- Die Liste der Benutzer mit administrativen Rechten wurde in den letzten 12 Monaten überprüft und alle unberechtigten Rechte wurden entfernt.
- Gemeinsam genutzte Konten (sofern vorhanden) sind dokumentiert, begründet, durch Multi-Faktor-Authentifizierung geschützt und haben einen Inhaber.
Zu sammelnde Nachweise: das Verfahren für Eintritt/Versetzung/Austritt, eine Liste der administrativen Benutzer mit der jeweiligen geschäftlichen Begründung, Screenshots der MFA-Konfiguration Ihrer wichtigsten Cloud-Plattformen und eine Stichprobe kürzlich deaktivierter Austrittskonten.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Wie sollte der Malware-Schutz eingerichtet werden?
Jedes betroffene Gerät muss mittels Antimalware-Software, einer Zulassungsliste für Anwendungen oder Sandboxing vor Schadcode geschützt werden.
- Einer der drei zugelassenen Mechanismen (Antimalware, Zulassungsliste für Anwendungen oder Sandboxing) ist auf jedem betroffenen Gerät implementiert.
- Antimalware-Definitionen und -Engines werden automatisch aktualisiert.
- Die Antimalware ist so konfiguriert, dass sie Dateien beim Zugriff und Webseiten scannt.
- Verbindungen zu bekannten schädlichen Websites werden blockiert, sofern das Anti-Malware-Produkt diese Funktion anbietet.
- Wenn die Zulassungsliste für Anwendungen verwendet wird, existiert eine Liste zugelassener Anwendungen, die die Ausführung anderer Anwendungen verhindert.
- Bei Verwendung von Sandboxing (iOS, Android, bestimmte verwaltete Windows-Builds) läuft jede Anwendung in ihrer eigenen Sandbox.
- Mobile Geräte installieren Apps nur aus den offiziellen Stores (Apple App Store, Google Play) oder einem verwalteten Unternehmens-Store.
- Alle nicht verwalteten BYOD-Geräte wurden entweder in das MDM-System integriert oder aus diesem entfernt.
Die häufigste Lücke besteht darin, dass Mitarbeiter ihre privaten Macs für dienstliche E-Mails nutzen, ohne dass diese registriert sind und die IT-Abteilung sie einsehen kann. Entweder muss das Gerät in die Verwaltung aufgenommen oder die Nutzung für dienstliche Zwecke eingestellt werden.
Wie funktioniert die Verwaltung von Sicherheitsupdates?
Sämtliche im Bewertungsumfang enthaltene Software muss unterstützt, lizenziert und mit den neuesten Patches versehen sein. Betriebssysteme, Browser, Plugins, Firmware und Anwendungen, deren Lebenszyklus abgelaufen ist, fallen bei der Bewertung sofort durch.
- Alle Betriebssysteme auf den betroffenen Geräten sind lizenziert und erhalten weiterhin Sicherheitsupdates der Hersteller.
- Alle Anwendungen auf den betroffenen Geräten sind lizenziert und erhalten weiterhin Sicherheitsupdates vom Hersteller.
- Die Firmware von Routern, Firewalls, Switches und Access Points erhält weiterhin Herstellerupdates.
- Browser-Plug-ins und -Erweiterungen sind lizenziert und aktuell.
- Automatische Updates werden überall dort aktiviert, wo der Anbieter sie anbietet.
- Sicherheitsupdates mit hoher und kritischer Priorität werden innerhalb von 14 Tagen nach ihrer Veröffentlichung installiert (die 14-Tage-Regel).
- Die monatlichen Wartungsfenster für die Server wurden überprüft, um sicherzustellen, dass sie das 14-tägige Patch-Fenster nicht überschreiten.
- Es existiert ein Verzeichnis der Software- und Firmware-Versionen, sodass Sie auf einen Blick sehen können, was enthalten ist und in welchem Zustand es sich befindet.
Das Verpassen des 14-tägigen Patch-Fensters ist der häufigste Grund für das Scheitern von Unternehmen bei Cyber Essentials Plus. Integrieren Sie die Patch-Verfolgung in Ihren monatlichen Compliance-Zyklus.
Wie passen Cloud-Dienste auf die Checkliste?
Cloud-Dienste, die Organisationsdaten verarbeiten oder speichern, fallen in den Geltungsbereich. Die Aufteilung der Verantwortung für die einzelnen Kontrollmechanismen hängt vom jeweiligen Dienstmodell ab.
- Alle von der Organisation genutzten SaaS-Anwendungen (Microsoft 365, Google Workspace, Salesforce, Xero usw.) sind in Ihrem Anlagenverzeichnis aufgeführt.
- Jede PaaS-Umgebung (App Service, App Runner, Heroku usw.) wird aufgelistet und die Anwendungsschicht wird gepatcht.
- Jeder IaaS-Host (EC2, Azure VM, Compute Engine) wird so behandelt, als wäre er ein lokaler Server, wobei Patches, Malware und Host-Firewalls in Ihrer Hand liegen.
- Die Multi-Faktor-Authentifizierung (MFA) wird ausnahmslos für jedes Cloud-Administratorenkonto durchgesetzt.
- Die Multi-Faktor-Authentifizierung (MFA) ist für Standardbenutzer bei Cloud-Diensten aktiviert, sofern die Plattform dies unterstützt.
- Die Standardeinstellungen für die Mandantensicherheit (Microsoft 365-Sicherheitsstandards, Google Workspace-Sicherheitseinstellungen, AWS-Schutzmaßnahmen) wurden überprüft und gegebenenfalls verschärft.
- Cloud-Administratorkonten sind von den alltäglichen Benutzerkonten getrennt.
- Schatten-IT (SaaS-Anwendungen, die von Einzelpersonen über eine Firmenkarte oder -domain abonniert wurden) wurde überprüft und entweder in den Geltungsbereich aufgenommen oder stillgelegt.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie bereitet man sich auf Cyber Essentials Plus vor?
Cyber Essentials Plus bietet zusätzlich zur Selbstbewertung ein unabhängiges technisches Audit. Der Prüfer untersucht Ihre Geräte stichprobenartig, führt Schwachstellenscans durch und testet die Wirksamkeit der von Ihnen bestätigten Sicherheitsmaßnahmen. Die meisten Fehler bei Plus sind vorhersehbar; nutzen Sie diese Checkliste, um sie zu vermeiden.
- Ihre Antworten in der Selbsteinschätzung spiegeln den aktuellen Zustand der Umwelt wider, nicht einen angestrebten zukünftigen Zustand.
- Eine repräsentative Stichprobe der Geräte wird heute innerhalb des 14-tägigen Zeitfensters gepatcht, nicht wie vor drei Monaten.
- Der Malware-Schutz ist auf jedem getesteten Gerät aktiv und erstellt einen Bericht.
- Die MFA für Cloud-Konten wurde durch Anmeldung über eine neue Browsersitzung verifiziert, nicht durch Überprüfung einer Richtlinienseite.
- E-Mail- und Webfilter sind so konfiguriert, dass bekannte schädliche Links und Anhänge blockiert werden.
- Die Handhabung von USB- und Wechseldatenträgern entspricht auf den Beispielgeräten Ihrer dokumentierten Richtlinie.
- Die Termine für die Auditphase sind so weit im Voraus festgelegt, dass Sie auf etwaige Vorab-Gap-Analysen reagieren können.
- Sie haben eine Person als technischen Ansprechpartner während des Audits benannt, die über Administratorzugriff verfügt.
- Sie haben alle Testgeräte vor deren Prüfung gesichert, falls während des Audits Änderungen vorgenommen werden.
Den technischen Umfang finden Sie in Anforderungen von Cyber Essentials Plus für die genauen Tests, die die Gutachter durchführen, und unsere Cyber Essentials Kosten Seite für die typische Preisspanne des Plus-Pakets.
Was sind die häufigsten Lücken vor der Einreichung?
Selbst Bewerber mit ausgereiften Sicherheitsvorkehrungen stoßen auf dieselben wenigen Sicherheitslücken. Führen Sie daher vor der Einreichung diese kurze Überprüfung durch:
- Der vom Internetanbieter bereitgestellte Router im Haus eines Heimarbeiters hat immer noch sein Standard-Administratorpasswort.
- Ein langjähriger Mitarbeiter hat sich durch frühere Positionen administrative Rechte angeeignet.
- Ein gemeinsam genutztes E-Mail-Postfach im Finanzbereich oder ein Social-Media-Login verfügt über keine Zwei-Faktor-Authentifizierung und keinen dokumentierten Eigentümer.
- Auf mindestens einem Gerät im Geltungsbereich befindet sich noch eine nicht unterstützte Version von Windows oder ein veralteter Browser.
- Durch einen monatlichen Wartungsplan für den Server wurde ein wichtiger Patch nicht innerhalb der 14-tägigen Frist eingespielt.
- Ein privates BYOD-Telefon liest Firmen-E-Mails außerhalb eines MDM-Systems.
- Eine SaaS-Anwendung, die Kundendaten speichert, wurde mit einer persönlichen Karte angemeldet und nie inventarisiert.
- Ein Gast-WLAN-Netzwerk teilt sich die gleiche Broadcast-Domäne wie das Unternehmens-LAN.
Erfassen Sie jeden Befund als Aufgabe mit Verantwortlichem und Fälligkeitsdatum. Sobald die Liste vollständig ist, können Sie sie einreichen. Wenn Sie den Arbeitsumfang zum ersten Mal ermitteln, hilft Ihnen unser Leitfaden dabei. wie lange Cyber Essentials dauert setzt realistische Erwartungen.
Zusammenfassungstabelle der Checkliste „Cyber Essentials“
| Abschnitt | Optik | Typische Beweise |
|---|---|---|
| Scoping | Entscheidung zwischen Gesamtorganisation und Teilmenge; Inventarisierung von Standorten, Benutzern, Geräten, Netzwerken, Cloud-Diensten und BYOD. | Schriftliche Projektbeschreibung, Anlagenverzeichnis, Beschreibung der Teilmengenabgrenzung. |
| Firewalls und Router | Standardpasswörter geändert; eingehende Regeln dokumentiert; Host-Firewalls aktiviert; Remote-Administration geschützt. | Firewall-Version, Bestätigung der Passwortänderung, Regelliste, Firewall-Abdeckung des Hosts. |
| Sichere Konfiguration | Bloatware entfernt; Standardpasswörter geändert; MFA für Cloud-Administration; Passwortlänge 12 oder 8+MFA. | Erstellung von Standardeinstellungen, Richtlinien zur Durchsetzung der Multi-Faktor-Authentifizierung, Passwortrichtlinien, Screenshots von Beispielgeräten. |
| Benutzerzugriffssteuerung | Eintritts-/Austrittsprozess; Trennung der Verwaltung; jährliche Überprüfung der Verwaltung; Multi-Faktor-Authentifizierung für alle Cloud-Nutzer. | JML-Prozedur, Administratoren-Benutzerliste, Nachweis der MFA-Konfiguration, Beispiel für die Deaktivierung eines ausscheidenden Mitarbeiters. |
| Malware Schutz | Anti-Malware, Zulassung von Listing oder Sandboxing auf jedem Gerät; mobile Apps aus offiziellen Stores. | Endpunktabdeckungsbericht, Quellrichtlinie für mobile Apps, MDM-Registrierungsdatensatz. |
| Verwaltung von Sicherheitsupdates | Sämtliche Software wird unterstützt und lizenziert; wichtige/kritische Patches werden innerhalb von 14 Tagen bereitgestellt; Firmware ist abgedeckt. | Softwareinventar mit Angaben zum Supportstatus des Herstellers, Patch-Bereitstellungsbericht und EOL-Ersatzplan. |
| Cloud-Services | SaaS, PaaS und IaaS inventarisiert; MFA für Administratoren; Mandantenvorgaben überprüft; Schatten-IT entfernt. | Cloud-Asset-Register, MFA-Nachweis, Bestätigung der Sicherheitsstandards, Überprüfung von Schatten-IT. |
| Plus Bereitschaft | Live-Statusprüfung; Patch-Status des Testgeräts; MFA durch Anmeldung verifiziert; Audit-Logistik gebucht. | Vorab-Gap-Analyse, Beispiel-Patch-Bericht, MFA-Verifizierungsprotokoll, Audit-Buchungsbestätigung. |
Wenn Sie Cyber Essentials gegen umfassenderen Rahmenbedingungen, ist unsere Cyber Essentials vs ISO 27001 Der Leitfaden erklärt, wo die einzelnen Bereiche passen, und viele britische Organisationen, die sich nach Cyber Essentials zertifizieren lassen, gehen dann zu ISO 27001 or SOC 2 mit steigenden Kundenanforderungen.
Warum sollten Sie sich für ISMS.online für Cyber Essentials entscheiden?
- Vorgefertigte Checkliste — Jede Zeile dieser Checkliste existiert bereits als nachverfolgbare Kontrollvariable in ISMS.onlineSie bewerten also das Gesamtkonzept, ohne es von Grund auf neu aufbauen zu müssen.
- Beweise an einem Ort — Fügen Sie Screenshots, Konfigurationsexporte und Zutritts-/Abtrittsdatensätze einmalig jedem Steuerelement hinzu und verwenden Sie diese dann für Verlängerungen, Plus-Audits und andere Frameworks wieder.
- Umfang und Anlagenverzeichnis — Erfassen Sie die relevanten Benutzer, Geräte, Netzwerke und Cloud-Dienste in einem strukturierten Register, damit die Grenzen des Geltungsbereichs dokumentiert und nachvollziehbar sind.
- Gap-to-Action-Tracking — Jeder Punkt auf der Checkliste wird zu einer zugewiesenen Aktion mit Verantwortlichem und Fälligkeitsdatum, damit nichts zwischen der Identifizierung und der Behebung des Problems verloren geht.
- Erneuerungsbereit — Die Plattform hält Ihre Nachweise zwischen den jährlichen Zyklen auf dem neuesten Stand, sodass das nächste Zertifikat eine Aktualisierung und kein Neustart ist.
- Multi-Framework-Nutzung — Cyber Essentials-Nachweise in ISMS.online füttert auch ISO 27001 , SOC 2 als auch NIS 2 Deshalb bleiben auch Kunden, die über Cyber Essentials hinausgehen, auf der Plattform.
- Tausende von Organisationen vertrauen uns. - ISMS.online unterstützt Unternehmen jeder Größe auf ihrem Weg zur Einhaltung der Vorschriften, von erstmaligen Antragstellern für Cyber Essentials bis hin zu globalen Gruppen mit mehreren Zertifizierungen.
Häufig gestellte Fragen
Gibt es eine offizielle Checkliste für Cyber Essentials?
IASME veröffentlicht den offiziellen Selbstbewertungsfragebogen (SAQ), der im Wesentlichen als Checkliste für den Gutachter dient. Die Vorbereitungscheckliste auf dieser Seite deckt dieselben fünf Kontrollbereiche ab und ergänzt diese um die Prüfungen zu Umfang, Cloud und Plus, die die meisten Antragsteller vor dem SAQ benötigen. Durch das vorherige Durcharbeiten der Vorbereitungscheckliste wird der SAQ zu einer Bestätigungsübung und nicht zu einer Erkundungsübung.
Wie lange dauert es, die Checkliste „Cyber Essentials“ durchzuarbeiten?
Für kleinere Organisationen mit ausgereifter IT dauert das Durcharbeiten der Checkliste und die dazugehörige Datenerfassung einige Tage. Die dabei aufgedeckten Lücken sind hingegen zeitaufwendig: Die Einführung von Multi-Faktor-Authentifizierung (MFA), das Nachholen von Sicherheitslücken und Entscheidungen zu BYOD können jeweils mehrere Wochen in Anspruch nehmen. Die meisten Antragsteller planen vier bis zwölf Wochen vom Beginn der Checkliste bis zur Einreichung des SAQ ein.
Benötige ich eine andere Checkliste für Cyber Essentials Plus?
Die fünf Kontrollbereiche sind identisch, Plus bietet jedoch zusätzlich technische Prüfungen: Schwachstellenscans, Tests an Stichprobengeräten, MFA-Verifizierung per Live-Login sowie E-Mail- und Webfiltertests. Der Abschnitt „Plus-Vorbereitung“ dieser Checkliste beschreibt die zusätzlichen Prüfungen. Der schnellste Weg zu Plus führt über die Zertifizierung nach Cyber Essentials, die Behebung aller festgestellten Schwachstellen und die anschließende Buchung von Plus innerhalb von drei Monaten.
Was ist der häufigste Grund dafür, dass Organisationen die Checkliste nicht bestehen?
Zwei Probleme stehen im Vordergrund: veraltete Software, die noch auf mindestens einem Gerät im Geltungsbereich verwendet wird, und verpasste Patches außerhalb des 14-Tage-Zeitraums. Beide lassen sich leicht beheben, sobald sie entdeckt werden. Werden sie jedoch erst während des Audits und nicht anhand der Checkliste zur Bereitschaftsprüfung festgestellt, können sie eine Bewertung abrupt stoppen.
Gilt die Checkliste auch für Heimarbeiter und BYOD-Nutzer?
Ja. Alle Geräte, die für den Zugriff auf Unternehmensdaten oder -dienste verwendet werden, fallen darunter, einschließlich privater Laptops und Mobiltelefone, die für dienstliche E-Mails genutzt werden. Geräte, die ausschließlich für Telefonate, SMS oder Zwei-Faktor-Authentifizierung verwendet werden, sind ausgenommen. Firmenlaptops, die zu Hause genutzt werden, müssen über eine eigene, hostbasierte Firewall verfügen und das Heimnetzwerk als potenziell gefährlich einstufen.
Wie entwickelt sich die Checkliste von Jahr zu Jahr?
IASME aktualisiert den Fragenkatalog etwa jährlich. Die jüngsten Aktualisierungen haben die Anforderungen an die Multi-Faktor-Authentifizierung für Cloud-Dienste präzisiert, die Verantwortlichkeiten von SaaS, PaaS und IaaS klar definiert, passwortlose und biometrische Authentifizierung anerkannt und das 14-tägige Patch-Fenster für Firmware explizit verlängert. Die Struktur der fünf Kontrollbereiche bleibt stabil; die Details werden mit jeder Aktualisierung präzisiert.
