-
CyberSeal -
das GütesiegelDas CyberSeal bestätigt, dass ein IT-Dienstleister geeignete technische und organisatorische Massnahmen umsetzt, um seinen Kunden einen angemessenen Schutz vor Cyberrisiken zu gewährleisten. Das CyberSeal leistet einen Beitrag zur Erhöhung der Cyber-Resilienz der Schweizer KMU.
Jetzt von bis zu CHF 150.– Rabatt auf das CyberSeal Audit profitieren
Für wen ist das Schweizer Gütesiegel CyberSeal geeignet?
IT-Dienstleister mit Sitz und Kundenbasis in der Schweiz können das CyberSeal erhalten, wenn sie im Auftrag von KMU Kunden die Gesamt- oder Teilverantwortung für den Setup und Betrieb der IT übernehmen und/oder Cloudlösungen (Bsp. Microsoft 365) konfigurieren und zur Verfügung stellen.
CyberSeal
Mehrwert für den IT-Dienstleister

Reduktion der Implementierungs-, Betriebs- und Sicherheitsrisiken

Cyberkriminalität Sensibilisierung und Etablierung einer gemeinsamen Sprache

Erfüllung der minimalen IT-Sicherheits-Anforderungen schafft Vertrauen

Bessere Marktposition und Vorteile bei Versicherungsabschlüssen
Mehrwert für den Endkunden

Reduktion der Risiken bezüglich Cyberattacken

Weniger Vorfälle, schnellere Behebung, tiefere Kosten im Ereignisfall

Unabhängiges Gütesiegel vereinfacht die Wahl des IT-Dienstleisters

Stärkere Fokussierung auf das Kerngeschäft
Der CyberSeal Audit-Prozess
Der Prozess durchläuft einen dreijährigen Zyklus. Im Jahr eins erfolgt ein umfassendes CyberSeal Audit. In den Jahren zwei und drei dient je ein Aufrechterhaltungsaudit der Qualitätskontrolle. Im Jahr vier erfolgt mit einem umfassenden Audit der Prozess wieder von Neuem.
(1) Interesse
Bei Interesse meldet sich der IT-Dienstleister mittels Formulars an. Er erhält die aktuelle CyberSeal Prüfliste zugestellt. Ein Termin für das Audit wird vereinbart.
(2) Selbstdeklaration
Er ist aufgefordert, in einer Selbstdeklaration alle Punkte der Prüfliste, den Gegebenheiten entsprechend, auszufüllen und einzureichen.
(3) Audit
Der Auditor prüft im Interview und an der Konsole (vertiefte Prüfung vor Ort) die Kontrollpunkte. Auf die mit Selbstdeklaration gekennzeichneten Fragen geht er nur bei Klärungsbedarf ein.
(4) Feedback
Sind keine Hauptabweichungen aufgetreten, wird das Gütesiegel zusammen mit dem Auditbericht ausgehändigt.
(5) Umsetzung
Massnahmen zur Behebung von Abweichungen und zur Bearbeitung von Hinweisen sind innerhalb Jahresfrist umzusetzen. Dies wird im Aufrechterhaltungsaudit überprüft.
(6) Aufrechterhaltung
In den Jahren zwei und drei nach dem Audit erfolgt ein Aufrechterhaltungsaudit durch Selbstdeklaration. Die Prüfliste ist aktualisiert einzureichen. Der Auditor prüft die Angaben und diskutiert telefonisch allfällige Neuerungen am Standard.
CyberSeal - Inhalte des Standards
Die IT-Dienstleister haben einen unmittelbaren Einfluss auf die Cyberresilienz der KMU. Es ist darum zwingend erforderlich, dass die IT-Dienstleister grundlegende Kompetenzen in folgenden Bereichen nachweisen können:
-
Organisation: z.B. Dokumentation, Aufgabenteilung, Ausbildung
-
Technik: z.B. Schutz der Daten, Berechtigungen, Backup
-
Prozesse: z.B. Change und Incident Management, Monitoring
Die detaillierten Audit Kontrollpunkte und Prozesse richten sich nach dem gültigen CyberSeal Audit Handbuch der Allianz Digitale Sicherheit Schweiz.

Wichtige Dokumente im Überblick
Die CyberSeal Audit Anforderungen werden jährlich überprüft und mit neuen Bedrohungslage abgeglichen. Die folgenden Dokumente sind Bestandteil des CyberSeal Standards und werden bei der Anmeldung zum Audit abgegeben.

CyberSeal Audit Bericht
Der Bericht beschreibt die Ergebnisse des bestandenen oder nicht bestandenen Audits. Der Bericht zeigt Haupt- und Nebenabweichungen sowie Hinweise und Empfehlungen zur Verbesserung der Cybersecurity auf.

CyberSeal Audit Handbuch
Das Handbuch beschreibt die Anwendung der CyberSeal Prüfliste, die verwendeten Begriffe und den Ablauf des Audits. Zudem werden die Anforderungen und der Umgang mit möglichen Abweichungen erklärt.

CyberSeal Prüfliste
Dies ist die umfassende Checkliste mit den konkreten Fragen für die Durchführung des CyberSeal Audits. Nach dem Audit wird der Auditbericht zusammen mit der ausgefüllten Prüfliste ausgestellt.
Umgang mit Abweichungen, Hinweisen
und Empfehlungen
Hauptabweichung, CyberSeal verhindernd
Wenn bei einem mit Priorität Eins bezeichneter Punkt der Prüfliste eine Anforderung gemäss Audit Handbuch nicht erfüllt, führt dies zu einer Hauptabweichung.
Umgang mit Hauptabweichungen
Der IT-Dienstleister hat 3 Monate Zeit die Hauptabweichung zu beheben. Nach Ablauf der Frist beurteilt der Auditor die Behebung. Für diese Überprüfung fallen zusätzliche Kosten von CHF 600 an. Ist die Hauptabweichung ungenügend behoben, wird kein CyberSeal ausgestellt und der Prozess muss erneut angestossen werden.
Nebenabweichung
Wenn bei einem mit Priorität Eins bezeichneter Punkt der Prüfliste eine Anforderung nur teilweise erfüllt wird, führt dies zu einer Nebenabweichung.
Umgang mit Nebenabweichungen
Die Nebenabweichung muss vom IT-Dienstleister bis zum nächsten Aufrechterhaltungsaudit behandelt werden. Dann wird die Abweichung geprüft. Es muss eine deutlich erkennbare Verbesserung implementiert worden sein. Eine nicht komplette Erfüllung der Anforderung kann für das nächste Audit/Aufrechterhaltungsaudit wieder als Nebenabweichung deklariert werden.
Hinweise und Empfehlungen
Hinweise sind Feststellungen des Auditors, die zu einer Verbesserung der Cybersecurity des IT-Dienstleisters und seiner Kunden beitragen können.
Der IT-Dienstleister entscheidet selbst, ob und wie die Hinweise umgesetzt werden. Der Auditor wird im nächsten Aufrechterhaltungsaudit eine Umsetzung besprechen.
Was wird geprüft
Die CyberSeal Prüfliste definiert die Anforderungen an den IT-Dienstleister und ist der definierte Standard für das Gütesiegel. Die präzisen Vorgaben sollen die Einheitlichkeit des Audits fördern. Für die Selbstdeklaration wird dem IT-Dienstleistern die aktuelle Prüfliste zur Verfügung gestellt, welche in folgende Kapitel aufgeteilt ist (die Fragen sind nicht abschliessend):
01 Aufgabenteilung zwischen Kunde und IT-Dienstleister
Ist genau definiert, welche Aufgaben in den Verantwortungsbereich des Dienstleisters fallen und welche Aufgaben das KMU intern übernimmt?
02 Verwaltung des Zugriffs auf die Kundeninfrastruktur
Wer hat wann Zugriff auf die Kundensysteme? Wird gegenüber dem Kunden transparent kommuniziert, wie die Zugriffe verwalten werden? Wie gut sind die Kundensysteme vor externen Zugriffen geschützt?
03 Dokumentation
Wird eine Übersichtsdokumentation der verwalteten Komponenten gepflegt und kann diese dem Kunden auf Antrag zugestellt werden?
04 Login-Daten und Berechtigungen
Sind Prozesse und Hilfsmittel etabliert, um Mutationen an Login-Daten nachvollziehbar aufzuzeichnen, zu verwalten und im Notfall zugänglich zu machen?
05 Netzwerkdesign
Sind die Netzwerke für verschiedene Arbeitsbereiche bei den Kunden und dem IT-Dienstleister sinnvoll getrennt (Bsp. Büronetzwerk, Produktion, Bereich für die Gäste)?
06 Firewalls
Sind die Firewall-Regeln verständlich und nachvollziehbar? Sind die Firewall-Regeln ausreichend restriktiv?
07 WLAN
Ist das WLAN des Kunden und des IT-Dienstleisters mit sicheren Passwörtern geschützt? Existieren separate WLAN-Zugänge für Mitarbeitende und Gäste?
08 Active Directory Design
Werden alle Berechtigungen sicher und transparent verwaltet? Sind die administrativen Berechtigungen eingeschränkt?
09 Hardening der IT-Komponenten
Existiert ein sichererer Prozess für die Härtung der Systeme?
10 E-Mail-System
Besteht ein angemessener Schutz der Mail-Infrastruktur des Kunden und des IT-Dienstleisters gegen Malware und Spam?
11 Patch-Management
Existiert ein sicherer Prozess für das zeitgerechte Einspielen von Patches auf allen verwalteten Systemen?
12 Mobile Devices
Bestehen Vorgaben zum Umgang mit mobilen Geräten, ist der Zugriff auf Firmendaten ausreichend eingeschränkt und werden die Daten genügend geschützt?
13 Homeoffice
Wie wird der sichere Zugriff auf Firmendaten und Systeme aus dem Homeoffice gewährleistet?
14 Schutz vor Malware
Sind alle sicherheitsrelevanten IT-Systeme mit einem aktuellen Malwareschutz versehen oder, falls dies nicht möglich ist, netzwerkmässig abgeschottet?
15 Backup
Existiert ein sicherer Prozess für die Erstellung von Backups? Wird dieser Prozess regelmässig durchgeführt? Werden die Backups sicher aufbewahrt und regelmässig geprüft?
16 Change Management / Incident Management
Werden Änderungen und Störungen an Systemen nachvollziehbar protokolliert?
17 Protokollierung
Werden System-Protokolle der Kundensysteme mit Aufzeichnungen der Zugriffe des IT-Dienstleisters und Hardwarefehler erstellt und angemessen aufbewahrt?
18 Monitoring
Werden die relevanten Kundensysteme durch den IT-Dienstleister überwacht?
19 Entsorgung von Datenträgern
Gibt es einen sicheren Prozess für das Entsorgen von Datenträgern und wird der befolgt?
20 Service von Drittanbietern
Kann der IT-Dienstleister bei Services von Drittanbietern die Sicherheit gewährleisten?
21 Schwachstellen beim Kunden
Werden Schwachstellen in der IT-Infrastruktur des Kunden transparent kommuniziert?
22 Aus- und Weiterbildung
Bietet der IT-Dienstleister seinen Mitarbeitenden und denjenigen seiner Kunden regelmässige Schulungen zum Thema Sicherheit an?
23 Notfallkonzept
Existiert ein aktuelles Notfallkonzept und wird dieses getestet? Bietet der IT-Dienstleister seinen Kunden Hilfestellung bei der Erstellung eines Notfallkonzeptes an?
24 Ablaufende Termine
Werden die Ablaufdaten von Informatik-Komponenten (Lizenzen, Zertifikate, Hardware-Komponenten usw.) überwacht und der Kunde darauf aufmerksam gemacht?
25 Physische Sicherheit
Ist der Zutritt zu den Räumlichkeiten des IT-Dienstleisters und zu den Rechnerräumen sinnvoll geschützt und überwacht? Sind die Geräte genügend gegen äussere Einflüsse (z.B. Stromausfall) geschützt?
26 IT Risikomanagement
Sind die Risiken identifiziert, mit den Kunden abgestimmt und durch geeignete Massnahmen (Vermeidung, Minderung, Transfer) gemindert, soweit sie nicht akzeptierbar sind?
Die Kosten
Das CyberSeal Gütesiegel ist für 3 Jahre gültig. Es beinhaltet ein umfassendes Audit im 1. Jahr im Wert von CHF 3'700.-, gefolgt von einem jährlichen Wartungsaudit im Jahr zwei und drei im Wert von je CHF 600.-
CyberSeal Audit
Geprüfter IT-Dienstleister
- Umfassendes Audit im ersten Jahr am Standort des Kunden
- Kompakte CyberSeal Prüfliste
- Ausführliche Dokumentation der Ergebnisse
- Liste der Schwachstellen und Empfehlungen
- Aufrechterhaltungsaudits in den ersten zwei Jahren inklusive
Ausstellung des CyberSeal Gütesiegels durch die Allianz Digitale Sicherheit Schweiz
Aufrechterhaltungsaudit
- Aufgebot in den Jahren zwei und drei zum Aufrechterhaltungsaudit
- Einstündige Besprechung (online oder am Telefon) des Fortschritts anhand der Selbstdeklaration und aktueller Bedrohungen
- Update betreffend aktueller Cyber-Risken
- Überprüfung der Selbstdeklaration
Aufrechterhaltung des CyberSeal Gütesiegels