IT-Sicherheit 16.11.2020

Die IT-Security GAP-Analyse – Fluch oder Segen?

Der digitale Wandel bietet Ihrem Unternehmen große Chancen, gleichzeitig steigt die Komplexität und Verwundbarkeit Ihrer IT-Landschaft. Das Ziel der GAP-Security-Analyse ist eine systematische und ganzheitliche Überprüfung der Netzwerk- und Sicherheitsinfrastruktur. Strukturierte IT-Sicherheitsanalysen zeigen mittels Risikoanalyse und Handlungsempfehlungen einen technisch und betriebswirtschaftlich optimalen Weg auf.

Artikel teilen

Hans-Jürgen Martini
Teamleitung Network & Security Engineers – CC-BISS

Sinn und Zweck einer IT-Security GAP-Analyse.

Bei der  Analyse soll eine bestehende IT-Sicherheitsinfrastruktur gegen einen Standard geprüft werden. Die GAP-Analyse ist ein sehr nützliches Werkzeug, wenn es darum geht, Schwachstellen und Sicherheitslücken in einer IT-Infrastruktur zu erkennen. Das Ziel ist es, verbesserungswürdige Bereiche herauszufiltern und sogenannte „Highlights“ in Netzwerkbereichen zu markieren, die mehr Aufmerksamkeit benötigen.

Eine GAP-Analyse soll den notwendigen Bedarf und Handlungsfelder ermitteln, die benötigt werden, um Ihre IT-Landschaft auf den aktuellen Stand der Technik zu bringen. Hierbei wird die Ausgangslage beleuchtet und unter Berücksichtigung Ihrer Anforderungen ermitteln wir eine passende Ziel-Architektur.

Benchmarking.

Die gelebten Standards können oftmals mit den Richtlinien des BSI oder anderer wichtiger Institutionen gleichgesetzt werden, die auf Basis gesetzlicher oder industrieller Vorgaben, wie z. B. der DSGVO oder Tisax, eigene Richtlinien entwickeln. Ein Unternehmen benötigt für die Durchführung der GAP-Analyse ein sogenanntes „Benchmarking“.

Anhand des Bezugswertes kann die Firmenumgebung mit einer oder mehreren Normen und Vorschriften für das Unternehmen oder die Branche verglichen werden. Es gibt momentan viele derartige Richtlinien. Einige davon sind obligatorisch, wie z. B. der Payment Card Industry Data Security Standard (PCI DSS) und stellen anschauliche Beispiele dar, wie man Standards und Best Practices implementiert. Dazu zählt auch das US-amerikanische National Institute of Standards and Technology (NIST) oder der deutsche IT-Grundschutz nach BSI.

Der Ablauf einer GAP-Analyse.

Grundsätzlich wird eine GAP-Analyse immer nach dem maßgeblichen Bedarf eines Unternehmens durchgeführt. Der erste Schritt ist ein 1- oder 2-tägiger Workshop, der als eine Art Interview gestaltet wird. In diesem Interview erfassen wir alle wichtigen Informationen rund um die Kundensituation und die vorhandene IT-Security-Architektur sowie deren Anforderungen. Dokumente, Zeichnungen, Listen, Betriebshandbücher und Prozessbeschreibungen erweisen sich im Workshop meistens als wichtige Diskussionsgrundlage und sollten für die Datenerhebung als grundlegende Unterlagen bereitgestellt werden.

Das Ergebnis.

Nach der Analyse der Datenerhebung und der Berücksichtigung Ihrer Anforderungen erhalten Sie ein fertiges GAP-Analyse-Dokument. Hierbei werden die Ergebnisse in einer Art Ampelsystem dargestellt, wobei die Farben Rot, Gelb und Grün die entsprechenden Dringlichkeiten symbolisieren. Rot dient z. B. als Zeichen einer hohen Dringlichkeit, das einen Bereich mit erheblichen Schwachstellen beschreibt. Eine Art Blueprint und ein entsprechender Maßnahmenplan, versehen mit Prioritäten und der Beschreibung der notwendigen Aufgaben, schließen das Dokument ab.

Fazit.

Die GAP-Analyse kann Ihnen helfen, Schwachstellen und Design-Mängel zu ermitteln und ermöglicht Ihnen, anhand einer systematischen Vorgehensweise, eine effiziente IT-Sicherheit zu erreichen. Sie liefert einen groben Überblick, der als Basis für ein Re-Design oder einer Erweiterung herangezogen werden kann. Als Management-Instrument dient sie den IT-Entscheidern zur frühzeitigen Erkennung von Schwachstellen und Sicherheitslücken und beschreibt ein definiertes Zielbild. Mit dem ermittelten Maßnahmenkatalog liefert die GAP-Analyse den Entscheidern die Grundlage zur Erreichung der geplanten Ziele.

Bei Fragen stehen Ihnen unsere Experten aus dem Competence Center BISS (Bechtle Internet Security und Services) zur Verfügung, die Sie gerne bei einer möglichen Vorgehensweise unterstützen.