Login
  • CyberSeal -
    das Gütesiegel

    Das CyberSeal bestätigt, dass ein IT-Dienstleister geeignete technische und organisatorische Massnahmen umsetzt, um seinen Kunden einen angemessenen Schutz vor Cyberrisiken zu gewährleisten. Das CyberSeal leistet einen Beitrag zur Erhöhung der Cyber-Resilienz der Schweizer KMU.

    Logo_CyberSeal_DE_PUR

Für wen ist das Schweizer Güte­siegel CyberSeal geeignet?

IT-Dienstleister mit Sitz und Kundenbasis in der Schweiz können das CyberSeal erhalten, wenn sie im Auftrag von KMU Kunden die Gesamt- oder Teilverantwortung für den Setup und Betrieb der IT übernehmen und/oder Cloudlösungen (Bsp. Microsoft 365) konfigurieren und zur Verfügung stellen.

Audit beantragen

CyberSeal

Mehrwert für den IT-Dienstleister

Grafik zur Reduktion von Risiken

Reduktion der Implementierungs-, Betriebs- und Sicherheitsrisiken

Grafik zur IT-Diensleister-Sensibilisierung

Cyberkriminalität Sensibilisierung und Etablierung einer gemeinsamen Sprache

Grafik zur IT-Dienstleister Vertrauen

Erfüllung der minimalen IT-Sicherheits-Anforderungen schafft Vertrauen

Grafik zur IT-Diensleister Markposition

Bessere Marktposition und Vorteile bei Versicherungsabschlüssen

Orientierungsworkshop_DE_Logo_PUR

 

Mehrwert für den Endkunden

Grafik Endkunden Cyberattacken

Reduktion der Risiken bezüglich Cyberattacken

Grafik Endkunden Vorteile

Weniger Vorfälle, schnellere Behebung, tiefere Kosten im Ereignisfall

Grafik zur Wahl des Dienstleisters

Unabhängiges Gütesiegel vereinfacht die Wahl des IT-Dienstleisters

Grafik zum Endkunden Fokus

Stärkere Fokussierung auf das Kerngeschäft 

Der CyberSeal Audit-Prozess

Der Prozess durchläuft einen dreijährigen Zyklus. Im Jahr eins erfolgt ein umfassendes CyberSeal Audit. In den Jahren zwei und drei dient je ein Aufrechterhaltungsaudit der Qualitätskontrolle. Im Jahr vier erfolgt mit einem umfassenden Audit der Prozess wieder von Neuem.

(1) Interesse

Bei Interesse meldet sich der IT-Dienstleister mittels Formulars an. Er erhält die aktuelle CyberSeal Prüfliste zugestellt. Ein Termin für das Audit wird vereinbart.

(2) Selbstdeklaration

Er ist aufgefordert, in einer Selbstdeklaration alle Punkte der Prüfliste, den Gegebenheiten entsprechend, auszufüllen und einzureichen.

(3) Audit

Der Auditor prüft im Interview und an der Konsole (vertiefte Prüfung vor Ort) die Kontrollpunkte. Auf die mit Selbstdeklaration gekennzeichneten Fragen geht er nur bei Klärungsbedarf ein.

(4) Feedback

Sind keine Hauptabweichungen aufgetreten, wird das Gütesiegel zusammen mit dem Auditbericht ausgehändigt.

(5) Umsetzung

Massnahmen zur Behebung von Abweichungen und zur Bearbeitung von Hinweisen sind innerhalb Jahresfrist umzusetzen. Dies wird im Aufrechterhaltungsaudit überprüft.

(6) Aufrechterhaltung

In den Jahren zwei und drei nach dem Audit erfolgt ein Aufrechterhaltungsaudit durch Selbstdeklaration. Die Prüfliste ist aktualisiert einzureichen. Der Auditor prüft die Angaben und diskutiert telefonisch allfällige Neuerungen am Standard.

Audit beantragen

CyberSeal - Inhalte des Standards

Die IT-Dienstleister haben einen unmittelbaren Einfluss auf die Cyberresilienz der KMU. Es ist darum zwingend erforderlich, dass die IT-Dienstleister grundlegende Kompetenzen in folgenden Bereichen nachweisen können: 

  • Organisation: z.B. Dokumentation, Aufgabenteilung, Ausbildung

  • Technik: z.B. Schutz der Daten, Berechtigungen, Backup

  • Prozesse: z.B. Change und Incident Management, Monitoring

Die detaillierten Audit Kontrollpunkte und Prozesse richten sich nach dem gültigen CyberSeal Audit Handbuch der Allianz Digitale Sicherheit Schweiz. 

Was wird geprüft?
Inhalte des CyberSeal Standards

Wichtige Dokumente im Überblick

Die CyberSeal Audit Anforderungen werden jährlich überprüft und mit neuen Bedrohungslage abgeglichen. Die folgenden Dokumente sind Bestandteil des CyberSeal Standards und werden bei der Anmeldung zum Audit abgegeben.

CyberSeal Audit Bericht

CyberSeal Audit Bericht

Der Bericht beschreibt die Ergebnisse des bestandenen oder nicht bestandenen Audits. Der Bericht zeigt Haupt- und Nebenabweichungen sowie Hinweise und Empfehlungen zur Verbesserung der Cybersecurity auf.

CyberSeal Audit Handbuch

CyberSeal Audit Handbuch
Das Handbuch beschreibt die Anwendung der CyberSeal Prüfliste, die verwendeten Begriffe und den Ablauf des Audits. Zudem werden die Anforderungen und der Umgang mit möglichen Abweichungen erklärt.

CyberSeal Audit Handbuch

CyberSeal Prüfliste

CyberSeal Prüfliste

Dies ist die umfassende Checkliste mit den konkreten Fragen für die Durchführung des CyberSeal Audits. Nach dem Audit wird der Auditbericht zusammen mit der ausgefüllten Prüfliste ausgestellt.                                                    

CyberSeal Prüfliste

Umgang mit Abweichungen, Hinweisen
und Empfehlungen

Hauptabweichung, CyberSeal verhindernd

Wenn bei einem mit Priorität Eins bezeichneter Punkt der Prüfliste eine Anforderung gemäss Audit Handbuch nicht erfüllt, führt dies zu einer Hauptabweichung.

Umgang mit Hauptabweichungen
Der IT-Dienstleister hat 3 Monate Zeit die Hauptabweichung zu beheben. Nach Ablauf der Frist beurteilt der Auditor die Behebung. Für diese Überprüfung fallen zusätzliche Kosten von CHF 500 an. Ist die Hauptabweichung ungenügend behoben, wird kein CyberSeal ausgestellt und der Prozess muss erneut angestossen werden.

Nebenabweichung

Wenn bei einem mit Priorität Eins bezeichneter Punkt der Prüfliste eine Anforderung nur teilweise erfüllt wird, führt dies zu einer Nebenabweichung.

Umgang mit Nebenabweichungen
Die Nebenabweichung muss vom IT-Dienstleister bis zum nächsten Aufrechterhaltungsaudit behandelt werden. Dann wird die Abweichung geprüft. Es muss eine deutlich erkennbare Verbesserung implementiert worden sein. Eine nicht komplette Erfüllung der Anforderung kann für das nächste Audit/Aufrechterhaltungsaudit wieder als Nebenabweichung deklariert werden.

Hinweise und Empfehlungen

Hinweise sind Feststellungen des Auditors, die zu einer Verbesserung der Cybersecurity des IT-Dienstleisters und seiner Kunden beitragen können.

Der IT-Dienstleister entscheidet selbst, ob und wie die Hinweise umgesetzt werden. Der Auditor wird im nächsten Aufrechterhaltungsaudit eine Umsetzung besprechen.

Alltron_Vorbereitungskurs_DE_Logo_PUR

 

Was wird geprüft

Die CyberSeal Prüfliste definiert die Anforderungen an den IT-Dienstleister und ist der definierte Standard für das Gütesiegel. Die präzisen Vorgaben sollen die Einheitlichkeit des Audits fördern. Für die Selbstdeklaration wird dem IT-Dienstleistern die aktuelle Prüfliste zur Verfügung gestellt, welche in folgende Kapitel aufgeteilt ist (die Fragen sind nicht abschliessend):

01 Aufgabenteilung zwischen Kunde und IT-Dienstleister

Ist genau definiert, welche Aufgaben in den Verantwortungsbereich des Dienstleisters fallen und welche Aufgaben das KMU intern übernimmt?

02 Verwaltung des Zugriffs auf die Kundeninfrastruktur

Wer hat wann Zugriff auf die Kundensysteme? Wird gegenüber dem Kunden transparent kommuniziert, wie die Zugriffe verwalten werden? Wie gut sind die Kundensysteme vor externen Zugriffen geschützt?

03 Dokumentation

Wird eine Übersichtsdokumentation der verwalteten Komponenten gepflegt und kann diese dem Kunden auf Antrag zugestellt werden?

04 Login-Daten und Berechtigungen

Sind Prozesse und Hilfsmittel etabliert, um Mutationen an Login-Daten nachvollziehbar aufzuzeichnen, zu verwalten und im Notfall zugänglich zu machen?

05 Netzwerkdesign

Sind die Netzwerke für verschiedene Arbeitsbereiche bei den Kunden und dem IT-Dienstleister sinnvoll getrennt (Bsp. Büronetzwerk, Produktion, Bereich für die Gäste)?

06 Firewalls

Sind die Firewall-Regeln verständlich und nachvollziehbar? Sind die Firewall-Regeln ausreichend restriktiv?

07 WLAN

Ist das WLAN des Kunden und des IT-Dienstleisters mit sicheren Passwörtern geschützt? Existieren separate WLAN-Zugänge für Mitarbeitende und Gäste?

08 Active Directory Design

Werden alle Berechtigungen sicher und transparent verwaltet? Sind die administrativen Berechtigungen eingeschränkt?

09 Hardening der IT-Komponenten

Existiert ein sichererer Prozess für die Härtung der Systeme?

10 E-Mail-System

Besteht ein angemessener Schutz der Mail-Infrastruktur des Kunden und des IT-Dienstleisters gegen Malware und Spam?

11 Patch-Management

Existiert ein sicherer Prozess für das zeitgerechte Einspielen von Patches auf allen verwalteten Systemen?

12 Mobile Devices

Bestehen Vorgaben zum Umgang mit mobilen Geräten, ist der Zugriff auf Firmendaten ausreichend eingeschränkt und werden die Daten genügend geschützt?

13 Homeoffice

Wie wird der sichere Zugriff auf Firmendaten und Systeme aus dem Homeoffice gewährleistet?

14 Schutz vor Malware

Sind alle sicherheitsrelevanten IT-Systeme mit einem aktuellen Malwareschutz versehen oder, falls dies nicht möglich ist, netzwerkmässig abgeschottet?

15 Backup

Existiert ein sicherer Prozess für die Erstellung von Backups? Wird dieser Prozess regelmässig durchgeführt? Werden die Backups sicher aufbewahrt und regelmässig geprüft?

16 Change Management / Incident Management

Werden Änderungen und Störungen an Systemen nachvollziehbar protokolliert?

17 Protokollierung

Werden System-Protokolle der Kundensysteme mit Aufzeichnungen der Zugriffe des IT-Dienstleisters und Hardwarefehler erstellt und angemessen aufbewahrt?

18 Monitoring

Werden die relevanten Kundensysteme durch den IT-Dienstleister überwacht?

19 Entsorgung von Datenträgern

Gibt es einen sicheren Prozess für das Entsorgen von Datenträgern und wird der befolgt?

20 Service von Drittanbietern

Kann der IT-Dienstleister bei Services von Drittanbietern die Sicherheit gewährleisten?

21 Schwachstellen beim Kunden

Werden Schwachstellen in der IT-Infrastruktur des Kunden transparent kommuniziert?

22 Aus- und Weiterbildung

Bietet der IT-Dienstleister seinen Mitarbeitenden und denjenigen seiner Kunden regelmässige Schulungen zum Thema Sicherheit an?

23 Notfallkonzept

Existiert ein aktuelles Notfallkonzept und wird dieses getestet? Bietet der IT-Dienstleister seinen Kunden Hilfestellung bei der Erstellung eines Notfallkonzeptes an?

24 Ablaufende Termine

Werden die Ablaufdaten von Informatik-Komponenten (Lizenzen, Zertifikate, Hardware-Komponenten usw.) überwacht und der Kunde darauf aufmerksam gemacht?

25 Physische Sicherheit

Ist der Zutritt zu den Räumlichkeiten des IT-Dienstleisters und zu den Rechnerräumen sinnvoll geschützt und überwacht? Sind die Geräte genügend gegen äussere Einflüsse (z.B. Stromausfall) geschützt?

26 IT Risikomanagement

Sind die Risiken identifiziert, mit den Kunden abgestimmt und durch geeignete Massnahmen (Vermeidung, Minderung, Transfer) gemindert, soweit sie nicht akzeptierbar sind?

Prüfungs- und Nutzungsbestimmungen

Die Kosten

Das CyberSeal Gütesiegel ist für 3 Jahre gültig. Es beinhaltet ein umfassendes Audit im 1. Jahr im Wert von CHF 3'000.-, gefolgt von einem jährlichen Wartungsaudit im Jahr zwei und drei im Wert von je CHF 500.-

CyberSeal Audit
Geprüfter IT-Dienstleister

  • Umfassendes Audit im ersten Jahr am Standort des Kunden
  • Kompakte CyberSeal Prüfliste
  • Ausführliche Dokumentation der Ergebnisse
  • Liste der Schwachstellen und Empfehlungen
  • Aufrechterhaltungsaudits in den ersten zwei Jahren inklusive
 

Ausstellung des CyberSeal Gütesiegels durch die Allianz Digitale Sicherheit Schweiz

CHF 4'000 zzgl. MwSt
Audit beantragen

Aufrechterhaltungsaudit

  • Aufgebot in den Jahren zwei und drei zum Aufrechterhaltungsaudit
  • Einstündige Besprechung (online oder am Telefon) des Fortschritts anhand der Selbstdeklaration und aktueller Bedrohungen
  • Update betreffend aktueller Cyber-Risken
  • Überprüfung der Selbstdeklaration

Aufrechterhaltung des CyberSeal Gütesiegels