Testbericht: Intervalid ISMS

Werbung

13.02.2021

Intervalid ISMS erschien Ende 2020 und ist damit ein Newcomer in diesem Sektor. Jedoch ging das Intervalid-Team aus Wien bereits im Jahr 2017 mit einem Tool zum Datenschutz-Management an den Start und konnte eine beachtliche Zahl von Kunden in Österreich und Deutschland gewinnen. Das nun auf den Markt gebrachte ISMS-System stellt eine sinnvolle und natürliche Weiterentwicklung dar, weil sich einmal erfasste Daten gemeinsam nutzen lassen. Im Januar 2021 bekam ich Gelegenheit, das ISMS drei Wochen lang ausgiebig zu testen - der folgende Bericht schildert meine Eindrücke.

Management-Systeme für Informationssicherheit sind hochgradig standardisiert und dennoch verfolgen die Tool-Anbieter unterschiedliche Ansätze und setzen unterschiedliche Akzente. Deshalb war ich sehr gespannt auf die Umsetzung in Intervalid. In einer einstündigen Einführung bekam ich die wesentlichen Konzepte und Bedienschritte erläutert, es gab die Zugangsdaten für ein mit der ISO 27001 vorbelegtes System - und schon ging es los!

Um es gleich vorweg zu nehmen: Nach der Einweisung habe ich mich sofort in der Anwendung zurechtgefunden, denn die Software glänzt mit einer klaren Benutzerführung. Natürlich musste ich mir im Laufe des Tests noch ein paar Funktionsweisen im Detail erarbeiten, aber das ist bei einer solchen Anwendung ganz normal.

Die ISMS-Lösung richtet sich laut Intervalid an mittelständische bis große nationale und internationale Unternehmen sowie an Berater. Unser Test führt durch alle Funktionen, die für Aufbau und Betrieb eines Management-Systems für Informationssicherheit benötigt werden, insbesondere das Asset-Register, die Risiko-Analyse und das ISMS an sich. Diese Kernfunktionen sind mit zahlreichen nützlichen Features ausgestattet, um beispielsweise Dokumente zu speichern, Daten dezentral abzufragen oder Aufgaben zuzuweisen. Ergänzt werden sie durch ein Audit-Management und die Möglichkeit, Sicherheitsvorfälle zu dokumentieren. Das Datenschutzmodul war nicht Gegenstand dieses Tests.

Nach der Anmeldung befindet man sich im Dashboard, das wichtige Eckdaten und KPIs übersichtlich darstellt. Jedes KPI ist anklickbar, so dass die dahinter liegenden Listen direkt aufgerufen werden können. Das Dashboard ist per Drag & Drop individuell konfigurierbar. So können Zähler und Diagramme auf die vom System gelieferten Kennzahlen definiert und farblich angepasst werden, außerdem lassen sich Bereiche für Nachrichten und Aufgaben positionieren.

Hauptnavigationselement der Intervalid-Oberfläche ist die Toolbar am oberen Rand des Bildschirms. Hier findet sich für jeden Funktionsbereich wie "ISMS", "ASSET REGISTER" usw. ein Menüeintrag, der ggf. weitere Untereinträge besitzt. Die Oberfläche ist insgesamt nach einheitlichen Prinzipien aufgebaut, jedoch ohne zu generisch zu werden, so dass der Kontext der jeweiligen Aufgabe immer klar ist. An vielen Stellen werden unaufdringlich erläuternde Texte angeboten, die komfortabel auf die eigene Organisation zugeschnitten werden können. Das alles trägt dazu bei, sich auf der GUI schnell zurechtzufinden und immer sehr genau zu wissen, wo man steht und was man machen kann.

Der Einstieg in einen Funktionsbereich ist in der Regel eine Liste, in der beispielsweise alle Assets aufgeführt werden. In jeder Liste gibt es eine Such- und eine Filtermöglichkeit und die Einträge können nach den meisten Spalten sortiert werden. Bestimmte Aktionen lassen sich direkt in der Liste erledigen, ohne dass der Eintrag geöffnet werden muss, z.B. die Zuweisung einer Kategorie oder eines verantwortlichen Bearbeiters. Das erleichtert und beschleunigt die Bedienung.

Bearbeitungsmasken sind durch Zwischenüberschriften klar gegliedert, umfangreichere Inhalte sind übersichtlich auf mehrere Tabs verteilt. Die Texte sind durch ausreichend Kontrast gut lesbar, was nicht selbstverständlich ist in einer Zeit, in der manch andere Softwareanbieter rein aus Designgründen zu hellgrauer Schrift auf weißem Hintergrund tendieren.

Ein absolutes Highlight sind die anpassbaren Fragebögen, die für eine Vielzahl von Aufgaben genutzt werden können. Sie fungieren einerseits als Assistenten, um Anwender durch komplexere Strukturen zu führen, andererseits können mit ihnen auch Umfragen gestaltet oder Lesebestätigungen für Richtlinien eingeholt werden. Mit einem komfortablen Editor lassen sich weitere Fragebögen erstellen oder bestehende modifizieren.

Die Organisation wird über eine zweistufige Hierarchie aus Unternehmen und Abteilung abgebildet, wobei die Abteilungen zusätzlich nach Niederlassungen gruppiert werden können. Zu einer Organisationseinheit können die verantwortlichen Personen und Ansprechpartner hinterlegt werden. Für jedes Unternehmen lässt sich ein eigenes Logo hochladen, das auf den Berichten ausgegeben wird.

Basis für den Aufbau eines ISMS sind die Assets wie Geschäftsprozesse und IT-Komponenten, die sich mit Intervalid elegant erfassen und verwalten lassen. Bereits die vordefinierten Objektarten dürften für die meisten Fälle ausreichend sein, die Liste kann jedoch beliebig angepasst und erweitert werden. Dazu gehört die Möglichkeit, ein Nummerierungsschema vorzugeben sowie eigene Felder zu definieren und sie abhängig von der Objektart an der Oberfläche zur Verfügung zu stellen.

Mit den gegebenen Datenstrukturen können die Assets umfangreich kategorisiert werden, beispielsweise durch eine weitere Kategorieebene innerhalb der Objektart, durch Zuordnung zu Unternehmen und Abteilungen und durch ein weiteres frei vergebbares Merkmal, hier für die Kennzeichnung der Vertraulichkeit genutzt.

Zur Dokumentation der Assets können Ansprechpartner, verantwortliche Benutzer, Gültigkeitszeitraum und Wiedervorlagedatum gespeichert werden. Je nach Objektart lassen sich weitere Angaben wie der Hersteller hinterlegen, sowie der Verarbeitungszweck aus datenschutzrechtlicher Perspektive, der komfortabel aus einer Vorlage ausgewählt werden kann. Schließlich gibt es noch einen Freitext für Anmerkungen sowie die Möglichkeit, Dokumente hochzuladen oder zu verlinken. Mit diesen umfassenden Möglichkeiten sollte das Tool vielen Ansprüchen gerecht werden.

Auf einem eigenen Reiter kann jedes Asset mit anderen Assets grafisch verknüpft werden. Das erfolgt entlang vorkonfigurierbarer Pfade, so dass nur logisch sinnvolle Kombinationen entstehen können. Über die Verknüpfungen werden die Schutzbedarfe weitervererbt, z.B. vom Geschäftsprozess zu den IT-Anwendungen zu den IT-Systemen bis zu den Räumen und Gebäuden.

Modellierung der Beziehungen zwischen Assets - Der Geschäftsprozess "Finanz- und Rechnungswesen" nutzt die Informationen "Buchhaltungsunterlagen" und "Verträge, Geschäftsunterlagen" (unterer Pfad). Geführt wird der Prozess in der Anwendung "Navision Finance", die auf dem IT-System "Virtueller Server Linux" läuft, das im Serverraum steht (oberer Pfad).

Auf einem weiteren Reiter werden die technischen und organisatorischen Maßnahmen (TOM) erfasst, wobei hier der Anwender von den umfangreichen Vorlagen profitiert, die im Intervalid-System bereits enthalten sind und übernommen werden können.

Risikoanalysen können für alle Assets gestartet werden oder auch nur für Teilbereiche, die z.B. nach Abteilungszugehörigkeit selektiert werden. Für jedes Asset können dann die Risiken erfasst werden, indem relevante Bedrohungen und Schwachstellen kombiniert werden, die sich aus mitgelieferten Katalogen auswählen lassen. Dazu werden Schadensklasse und Eintrittswahrscheinlichkeit eingegeben, deren Stufen und Kriterien (z.B. Finanzieller Schaden) sich pro Unternehmen frei konfigurieren lassen. Die Risikobehandlung mit dem Restrisiko wird erfasst und schließlich wird die Implementierung definiert, bei der neben Zieldatum und Verantwortlichkeit auch die Kosten hinterlegt werden können.

Um die Arbeit mit vielen gleichartigen Assets zu vereinfachen, können Bedrohungen auch für einen ganzen Asset-Typ oder für eine Kategorie von Assets erfasst werden. Zentrales Bedienelement der Risikoanalyse ist eine hierarchisch strukturierte Liste, in der zu jedem Asset die Daten aller Risiken übersichtlich und farblich unterschieden dargestellt werden.

Alle so erfassten Informationen fließen in den Bericht "Risikoanalyse" ein, der die aktuelle Situation in einer Risikomatrix zusammenfasst und dazu alle Einzelheiten einschließlich der Maßnahmen zur Risikobehandlung auflistet.

Intervalid ist Multi-Norm-fähig, vorbereitet sind ISO 27001, VDA TISAX und VdS 10000. Für jede Norm kann pro Unternehmen ein ISMS gleichzeitig aktiv sein. Ein bestehendes ISMS kann jedoch abgeschlossen werden, um ein neues für dieselbe Norm zu beginnen, beispielsweise wenn es grundlegende Veränderungen gab. Nach Initialisierung einer neuer ISMS-Instanz stehen die entsprechenden Anforderungen der Norm in übersichtlich gruppierter Form zur Verfügung, zu jeder Anforderung kann wieder ein umfangreicher Erklärungstext aufgerufen werden.

Zunächst wird festgehalten, ob eine Anforderung anwendbar ist bzw. warum sie nicht anwendbar ist - und mit Schiebereglern kann der Erfüllungsgrad bewertet werden. Hier werden auch die Maßnahmen beschrieben, mit denen die Anforderung erfüllt werden und es lassen sich Dokumente wie z.B. Richtlinien hinzufügen oder verlinken. Zusätzlich können auch in diesem Kontext neue Aufgaben definiert werden.

Controls der Norm - Hier werden Anwendbarkeit und Fortschritt erfasst.

Alle Angaben fließen in die Erklärung der Anwendbarkeit (Statement of Applicability, SoA) ein, die im Report-Bereich aufgerufen und als PDF-Datei ausgegeben werden kann.

Mit dem Intervalid ISMS lassen sich interne Audits strukturiert durchführen. Dafür werden frei anpassbare Checklisten genutzt, die auch an andere Bearbeiter weitergeleitet werden können. Ein Dashboard stellt den aktuellen Status der Ergebnisse übersichtlich dar.

Als passende Abrundung zum ISMS bietet das System die Möglichkeit, Sicherheitsvorfälle und Datenschutzverletzungen zu erfassen. Neben der Eingabe der Basisdaten kann der Sachverhalt systematisch dokumentiert werden, was wieder über Fragebögen erfolgt, die flexibel an eigene Bedürfnisse angepasst werden können.

Auf Basis der Fragebögen können auch Umfragen gestaltet werden, z.B. um die Bestätigung einzuholen, dass eine bestimmte Richtlinie zur Kenntnis genommen wurde. Die Teilnehmer müssen dazu nicht als Benutzer in Intervalid angelegt sein, sondern können über einen personalisierten Link auch ohne Login teilnehmen.

Es gibt 10 vordefinierte Berichte, die über Auswahllisten parametrisiert werden können, dazu gehört auch die Erklärung der Anwendbarkeit (Statement of Applicability, SoA) nach ISO 27001. Die Ausgabe der Berichte erfolgt entweder als PDF oder als CSV, so dass die Daten in einer Tabellenkalkulation wie Excel weiterverarbeitet werden können. Bemerkenswert ist auch das Vorhandensein einer Batch-Funktion, die bei länger dauernden Verarbeitungen genutzt wird, um die interaktive Arbeit nicht zu blockieren. Der fertige Bericht wird dann per Mail zugestellt.

Das System verfügt nach Auskunft von Intervalid über eine API, über die es von anderen Anwendungen angesprochen werden kann. Das ist gerade bei großen IT-Landschaften hilfreich, wenn Informationen zum Status der Compliance von anderen Systemen automatisiert eingespielt werden können.

Ich habe die Testumgebung alleine genutzt und hatte nur mäßig viele Daten im System. Daher sind meine Performance-Messungen nicht unbedingt repräsentativ, sollten jedoch einen ersten Eindruck vermitteln. Und dieser Eindruck ist sehr gut: Die meisten Masken öffneten sich innerhalb von 1,5 Sekunden, nur einige etwas komplexere Masken brauchten länger. Damit lässt sich durchgängig angenehm arbeiten.

Der Test hat viel Freude bereitet, der Einstieg in die Anwendung ging schnell und die Highlights haben bei mir für anhaltende Begeisterung gesorgt. Es gäbe noch einiges zu berichten, aber das System besticht vor allem durch die zahlreichen vorkonfigurierten Texte und Inhalte, die einen schnellen Aufbau der ISMS-Dokumentation erlauben. Die rundum gelungene Oberfläche zeigt immer einen klaren Weg durch die teilweise komplexen Strukturen der Standards. Unterstützt wird der Information Security Officer durch das flexible Fragebogensystem und die damit verbundenen Möglichkeiten zur dezentralen Erfassung von Daten. Sehr praktisch ist auch die an vielen Stellen gegebene Möglichkeit, sofort neue Aufgaben anzulegen.

Kein Tool ist perfekt, deshalb habe ich auch zwei Punkte auf meiner Wunschliste: Das Vererben der Schutzbedarfe von verknüpften Assets könnte transparenter dargestellt sein. Nützlich wäre es auch, wenn sich im System hochgeladene Dokumente zentral von mehreren Normen aus verknüpfen ließen, was nach Auskunft von Intervalid jedoch in Planung ist.

Von mir eine klare Empfehlung, Intervalid ISMS auf die Longlist zu nehmen. Vor allem wenn man gut geführt und mit klaren Strukturen starten möchte, um dann mit vielen vorkonfigurierten Inhalten schnell Fahrt bei Aufbau und Dokumentation eines ISMS aufzunehmen.

Weitere Informationen zum Produkt finden Sie auf der Website der Intervalid GmbH: intervalid.com

Der Bericht stellt die Meinung des Autors dar. Sie sollten diese nicht als alleinige Basis für Ihre Beschaffungsentscheidung nutzen. Wir empfehlen Ihnen stattdessen, die Tools mehrerer Anbieter systematisch miteinander zu vergleichen und zu ermitteln, welches der Angebote am besten auf die spezifischen Bedingungen und Anforderungen in Ihrer Organisation passt. Auf KonBriefing.com finden Sie dazu weitere Unterstützung: ISMS-Tools im Vergleich, Anforderungskatalog für ein ISMS nach ISO 27001

Transparenzhinweis: Die Intervalid GmbH hat den Testaccount kostenlos zur Verfügung gestellt. Es gab weder Vorgaben noch Einschränkungen im Hinblick auf die Inhalte des Tests und des Textes. Vor der Veröffentlichung wurde der Text Intervalid zum Review zur Verfügung gestellt, um mögliche grobe Missverständnisse auszuräumen - was jedoch nicht der Fall war. Intervalid hat kein Honorar für den Test oder den Text gezahlt.

Neben den Testergebnissen enthält der Bericht auch Angaben, die nur auf Informationen des Anbieters beruhen - diese sind entsprechend gekennzeichnet (z.B. "nach Angaben von ...")

Autor: Bert Kondruss