Werbung

20.02.2021

TTS trax von Trusted Technologies and Solutions GmbH ist eines der etablierten ISMS-Tools im deutschsprachigen Raum. Das Unternehmen mit Sitz in Essen und Niederlassungen in Berlin und Hannover startete im Jahr 2002 mit Beratungsleistungen im Umfeld der Informationssicherheit, ein Schwerpunkt sind Energieversorger und Kritis-Betreiber, aber auch Unternehmen anderer Branchen zählen zu den Kunden. Aus den dabei gesammelten Erfahrungen entstand die Software TTS trax, die als Software-as-a-Service (SaaS) oder zur Installation im eigenen Rechenzentrum (on-premises) angeboten wird. Neben der Funktionalität zum Management eines Informationssicherheits-Systems gibt es optional auch Module für den Datenschutz und für das Business Continuity Management. KonBriefing Research konnte das ISMS drei Wochen lang auf Herz und Nieren testen, lesen Sie unsere Eindrücke ...

Der erste Eindruck

Nach der Anmeldung landet man auf einem übersichtlichen Dashboard, neben den zahlreichen KPIs stechen hier vor allem die Risikomatrix und das animierte SOA-Radar hervor. Die Inhalte lassen sich nach Anwendungsbereichen oder Stichworten filtern. Von jedem KPI kommt man bequem mit einem Mausklick direkt in die dahinter liegende Liste.

Bereits hier kann man eines der vielen praktischen Details bemerken, die die Anwendung ausmachen: Die Risikomatrix ist nicht nur aus den bekannten roten, gelben und grünen Quadraten aufgebaut. Bei einem Klick auf ein Feld öffnet sich nochmal eine 5x5-Detailmatrix, die die exakte Lage innerhalb des Quadrats anzeigt.

Besonders erwähnenswert ist auch die Timeshift-Funktion, die eine Reise in die Vergangenheit des ISMS ermöglicht. Mit ihr lassen sich minutengenau beliebige Zeitpunkte in der Vergangenheit definieren. Wird ein solcher aufgerufen, so zeigt das Dashboard den Zustand zu diesem Zeitpunkt an. Das erhöht die Nachvollziehbarkeit und macht den Fortschritt sichtbar.

ISMS TTS trax: SoA-Radar und Risikomatrix
Dashboard mit SoA-Radar und Risikomatrix

Die Oberfläche

Übersicht

Die Oberfläche wirkt gut strukturiert und aufgeräumt. Die Navigation in die einzelnen Anwendungsteile erfolgt über die Menüleiste am oberen Rand.

Das zweite wichtige Element ist die Tab-Leiste, gleich unterhalb des Menüs. Hier werden die aktuell bearbeiteten Objekte des aktuellen Moduls (z.B. Geschäftsprozesse) dargestellt. Wenn man zu einem referenzierten Objekt in einem anderen Modul springt (z.B. von einem Geschäftsprozess zur verantwortlichen Person), werden nur noch die Tabs des neu angesprungenen Moduls angezeigt. Jedoch wird immer ein Zurück-Link angeboten, so dass man problemlos zum vorherigen Modul kommt. Etwas gewöhnungsbedürftig war für mich anfänglich, dass man ein Modul auch mit ungesicherten Änderungen verlassen kann, die dann in den Tabs nicht mehr unmittelbar sichtbar sind. Die Änderungen gehen jedoch nicht verloren, sondern werden in Orange in der Modulauswahl links der Tabs ausgewiesen. Sobald man dieses Prinzip verstanden hat, ist die Navigation ein Kinderspiel.

Die Module bestehen vor allem aus Listen und Eingabemasken, die nach einheitlichen Prinzipien aufgebaut sind. Änderungen an Daten werden nicht sofort festgeschrieben, sondern müssen mit dem Speichern-Button bestätigt werden. Was wie "Standard" klingt, gilt in TTS trax auch für Referenzen zu anderen Objekten, die in Listen sogar getrennt ausgewiesen werden. Das sorgt für ein Höchstmaß an Sicherheit bei der Bedienung.

Spezielle Anwendungsfälle wie die Risikobeurteilung werden durch genau auf die Aufgabe zugeschnittene Masken unterstützt, die eine hohe Informationsdichte liefern, so dass Sprünge in andere Masken vermieden werden. Über farbliche Markierungen und Einrückungen ist trotz der Datenfülle auch auf solchen Masken eine gute Struktur gegeben. Auch hilfreiche Plausibilitätswarnungen finden da noch ihren Platz, wenn beispielsweise Risikominderung als Strategie angegeben wurde, aber noch keine Maßnahmen definiert sind.

Sehr angenehm: Die Anwendung lässt sich mehrfach im Browser öffnen, so dass man jederzeit Dinge nachschlagen kann, ohne die aktuelle Bearbeitung verlassen zu müssen. Als Oberflächen-Sprachen sind Deutsch und Englisch auswählbar.

Listen

Der Einstieg in praktisch jedes Modul beginnt über eine Liste, z.B. über die Liste der Geschäftsprozesse. Die Einträge werden in der Regel in einer Tabelle dargestellt, bei Hierarchien gibt es auch eine Baumansicht.

Die Listen bieten umfangreiche Darstellungs- und Bearbeitungsmöglichkeiten. So können die Spalten aus- und eingeblendet und in ihrer Breite verändert werden. Es kann praktisch nach allen Spalten sortiert werden, Ausnahme sind lediglich die Stichwörter, da hier mehrere Stichwörter enthalten sein können. Einträge lassen sich nach CSV oder Excel exportieren, um sie auch außerhalb der Anwendung nutzen zu können.

Im oberen Bereich finden sich oft Möglichkeiten für praktische Massenänderungen. Damit kann beispielsweise allen selektierten Einträgen ein Stichwort zugewiesen werden.

Wichtig ist natürlich die Möglichkeit zur Suche bzw. zum Filtern. Dafür hat TTS trax ein smartes Suchfeld, in dem man einerseits einfach lostippen kann, um ganz simpel nach einem bestimmten Namen zu suchen. Andererseits kann man hier auch ganz leicht in anderen Spalten suchen, was von der Anwendung durch Spalten-Vorschläge und durch Auswahllisten für referenzierte Objekte unterstützt wird. Zusätzlich lassen sich vorkonfigurierte Schnellfilter anwenden, um spezielle Suchkriterien zu nutzen.

Eine weitere Filtermöglichkeit sind die Stichwörter. Assets lassen sich damit nach zusätzlichen Kriterien klassifizieren und wieder auffinden, beispielsweise nach Ländern oder Niederlassungen. In Listen werden die - gemanagten - Stichwörter als Suchfilter angeboten, die sich durch einfaches Anklicken aktivieren lassen und als zusätzliche Bedingung einbezogen werden.

Ein weiteres Highlight in Listen ist die Darstellung referenzierter Objekte, z.B. die verantwortliche Person zu einem Asset. Sie sind als Link in der Liste aufgeführt, mit einem Klick wird eine Vorschau mit den wichtigsten Daten angezeigt. Aus dieser Vorschau kann direkt ein Filter gesetzt, um die Liste auf dieses Objekt zu filtern. Außerdem kann die Bearbeitung aufgerufen werden.

Informations-Asset im ISMS-Tool
Eine der zahlreichen Listen in der Anwendung: Informationswerte

Eingabemasken

Die Eingabemasken bestehen in der Regel aus mehreren Unterbereichen, so dass auch umfangreiche Inhalte in übersichtlichen Einheiten dargeboten werden. Immer vorhanden ist der Bereich "Meta", auf dem sich Stichwörter aus der Taxonomie zuweisen lassen und auf der Änderungsverlauf des Datensatzes angezeigt wird.

Auswahllisten zur Zuordnung eines bestehenden Objekt haben eine Live-Suche, beispielsweise zur Zuordnung einer verantwortlichen Person zu einem Asset. Hier kann auch immer direkt ein neues Objekt angelegt werden, so dass ein durchgängiger Bearbeitungsfluss gewährleistet ist.

Das Inventar

Als Basis wird zunächst die Organisationsstruktur definiert. Sie lässt sich zweistufig abbilden über Organisationen und Geschäftsbereiche. Weiterhin können Orte und Personen erfasst werden. Das sollte für die meisten Anwendungsfälle ausreichend sein.

Im Inventar werden die Assets geführt, die in Geschäftsprozesse, Informationswerte und unterstützende Werte unterteilt sind. Die unterstützenden Werte lassen sich weiter typisieren, vordefiniert sind Dokument, Hardware, Software, Rolle, Lokation, Netzwerk und Teilprozess, die Liste lässt sich jedoch beliebig erweitern und zweistufig gliedern.

Bei jedem ISMS ist die Verknüpfung der Assets wichtig, um Schutzbedarfe und andere Merkmale zu vererben. Bei TTS trax erfolgt sie vom Geschäftsprozess zu den Informationswerten und von den Informationswerten zu den unterstützenden Assets.

Abhängig vom Typ kann jedes Asset umfangreich dokumentiert und kategorisiert werden, beispielsweise durch Zuordnung zu einem Geschäftsbereich und durch Attribute wie die mittlere Reparaturzeit bei Hardware-Komponenten. Hilfreich ist die Möglichkeit, Assets innerhalb ihres jeweiligen Typs hierarchisch zu gliedern, so lässt sich beispielsweise ein Geschäftsprozess einem übergeordneten Geschäftsprozess zuweisen. Eine solche Zuordnung wird in der Asset-Liste durch eine Einrückung dargestellt.

Auf Ebene der Geschäftsprozesse können zusätzlich Parameter zum Notfallmanagement wie die maximal tolerierbare Ausfallzeit erfasst werden. Hier können auch datenschutzrechtliche Aspekte wie Auftragsverarbeitungen oder Löschkonzepte dokumentiert werden, die in das Verzeichnis der Verarbeitungstätigkeiten einfließen.

Auf Ebene der Informationswerte werden neben weiteren Datenschutz-relevanten Angaben vor allem die Schadensauswirkungen auf Sicherheitsziele und Verfügbarkeit erhoben, die auf die verknüpften Geschäftsprozesse und unterstützenden Objekte vererbt werden.

Eine Menge von gleichartigen unterstützende Werte kann sehr effizient als Wertegruppe abgebildet werden, hier muss nur zusätzlich die Anzahl eingegeben werden, und schon sind 100 Vertriebs-Notebooks im System.

trax ISMS: IT System
Bearbeitung eines unterstützenden Werts

Schadensauswirkungen

Die Auswirkungen bei Verletzung eines der Sicherheitsziele werden in TTS trax immer auf Basis eines Informationswerts festgestellt, der Anwender kann dafür eine Reihe von Kategorien wie "Informationelle Selbstbestimmung" oder "Verstoß gegen Gesetze, Verträge" einzeln bewerten, aus denen dann nach dem Maximumprinzip jeweils ein Gesamtwert gebildet wird. Ähnliches gilt für die Einschätzung zur Verfügbarkeit, die nach verschiedenen Zeiträumen bewertet wird. Die so ermittelten Werte werden auf die verknüpften unterstützenden Assets und auf die Geschäftsprozesse nach dem Maximumprinzip weitervererbt. Nutzen mehrere Geschäftsprozesse einen Informationswert, so kann der Schaden in den Geschäftsprozessen unterschiedlich sein, deshalb kann die Bewertung auch im Kontext des jeweiligen Geschäftsprozesses erfolgen.

Die Darstellung der geerbten Schutzbedarfe erfolgt in einer übersichtlichen Matrix, die den Bewertungsfluss auch bei komplexen Strukturen gut nachvollziehbar macht. Zusätzlich können die Werte in den unterstützenden Assets manuell nach oben oder unten korrigiert werden, um speziellen Vorgaben und Anforderungen gerecht zu werden, die sich nicht unmittelbar von den Informationswerten ableiten lassen.

Das System ist vorkonfiguriert mit den gängigen Sicherheitszielen Vertraulichkeit, Integrität, Verfügbarkeit (C, I, A), diese können in allen Dimensionen auf die konkreten Bedürfnisse der Organisation angepasst werden.

Schadensauswirkungen an einem Informations-Asset
Schadensauswirkungen an einem Informationswert

Anwendungsbereiche

Der Kontext der Organisation wird komfortabel über sog. Anwendungsbereiche definiert. Ein Anwendungsbereich fasst eine Gruppe von Geschäftsprozessen zusammen und damit auch die mit den Prozessen verknüpften Informationswerte und unterstützenden Assets. Dem Anwendungsbereich wird außerdem die zu erfüllende Norm in Form eines Control-Katalogs zugeordnet, zum Beispiel der Control-Katalog DIN ISO/IEC 27001:2017. Außerdem können bereits an dieser Stelle übergreifende Maßnahmen zugeordnet werden, die für alle Assets relevant sind. Das sind meistens organisatorische Controls wie eine Richtlinie zur Zugangssteuerung. Deshalb besteht die Möglichkeit, auf Knopfdruck alle organisatorischen Controls zuzuordnen, was eine ziemliche Arbeitserleichterung bedeuten kann, weil diese Maßnahmen nicht mehr einzeln bei jedem Wert behandelt werden müssen.

Risikomanagement

Der Einstieg in eine Risikobeurteilung erfolgt über einen Anwendungsbereich. In ihm sind bereits alle notwendigen Elemente zusammengefasst, so dass Beurteilungen ganz einfach zu weiteren Zeitpunkten wiederholt werden können.

Über den Anwendungsbereich werden die nun zu beurteilenden unterstützenden Werte gezogen. Ein Wert wird dazu in einer strukturierten Maske geöffnet, in der Bedrohungen und Controls bequem per Drag & Drop zugewiesen werden können. Trax kommt mit einem Bedrohungskatalog, der allseits bekannte Fälle abdeckt, der Katalog kann aber auch um beliebige branchen- oder unternehmensspezifische Bedrohungen erweitert werden. Für das aus einer Bedrohung entstandene Risiko werden Risikostrategie und Ziele für Häufigkeit und Schadensausmaß festgelegt, letzteres wird in einer kompakten Matrix-Darstellung einzeln für jedes Sicherheitsziel gemacht, auf diese Weise entsteht eine sehr präzise Dokumentation der gewählten Strategie.

Die Controls werden aus den Control-Katalogen gezogen, die bereits bei der Erstellung des Anwendungsbereichs zugeordnet wurden, z.B. der Anhang A aus der ISO 27001. Die Zuordnung der Controls zu einem Risiko erfolgt mit Drag & Drop, das System gliedert dabei die Controls automatisch in der logischen Struktur des Anhangs A und erstellt daraus entsprechende Maßnahmen, deren Umsetzung sich nun weiter verfolgen lässt.

Alternativ zur manuellen Zuweisung kann die automatische Risikobeurteilung genutzt werden. Dabei werden sog. Risikotemplates verwendet, die abhängig vom Typ des betrachteten Werts die typischen Bedrohungen und die dazu passenden Controls zuweisen. Bei einem physischen Server (Wertetyp) besteht beispielsweise eine Bedrohung durch Zerstörung, die durch Controls wie "physischer Sicherheitsperimeter" adressiert werden. TTS trax bringt eine ganze Reihe dieser Templates mit, die sich mit einem Klick anwenden lassen, was viel Arbeit sparen kann.

Eine weitere Besonderheit von TTS trax ist die Möglichkeit, sich entweder für eine Brutto- oder für eine Netto-Risikoanalyse zu entscheiden. Bei einer Netto-Risikoanalyse werden bereits umgesetzte Maßnahmen zur Risikobehandlung bei der Bewertung des Ausgangsrisikos berücksichtigt - das Ausgangsrisiko ist also geringer, wenn schon Maßnahmen wirksam sind.

Risiko-Beurteilung Fileserver
Bei der Risikobeurteilung eines Fileservers

Beachtenswert im Risikomanagement in TTS trax ist die Darstellung der aktuellen Risikoexposition (Ist-Risiko). Das Ist-Risiko ist das aktuelle Risiko, in dem Ist-Maßnahmen und der Umsetzungsstand von aktuell laufenden Maßnahmen zur Risikoreduzierung mit einberechnet werden. In der Matrix wird das Ist-Risiko durch einen schwarzen Punkt dargestellt.

Risiko-Exposition in der ISMS-Software
Ausgangsrisiko, Zielrisiko und aktuelle Risikoexposition

Die Daten aus der Risikoanalyse bilden die Grundlage für die Erklärung der Anwendbarkeit (SoA, Statement of Applicability). Für jedes Control kann manuell der Grund für die Anwendbarkeit oder für die Nichtanwendbarkeit dokumentiert werden. Aus der zugeordneten Maßnahme wird der Fortschritt übernommen.

Wie bei anderen Berichten in TTS trax kann auch bei der SoA ein umfangreicher Kopf zur Dokumentenlenkung hinzugefügt werden. Über ein einfach zu bedienendes System lassen sich Versionshistorie, Qualitätskontrollen, Klassifikation, Angaben zur Veröffentlichung und Adressaten pflegen, die auf der zweiten Seite des Dokuments ausgegeben werden.

ISMS Statement of Applicability SoA
Erklärung zur Anwendbarkeit als PDF-Dokument

Maßnahmen und Aufgaben

Maßnahmen

Die aus der Risikobeurteilung oder dem Kontinuierlichen Verbesserungsprozess (KVP, siehe weiter unten) stammenden Maßnahmen werden in einem eigenen Modul verwaltet. Hier kann der Status und der Umsetzungsstand verfolgt werden. Mehrere ähnliche Maßnahmen lassen sich in einer Aufgabe bündeln. Außerdem können jeder Maßnahme sog. Nachweise zugewiesen werden - das sind Verlinkungen auf Dokumente, die typischerweise im Intranet liegen und die Maßnahme verkörpern, wie zum Beispiel eine Richtlinie.

Aufgaben

Aufgaben definieren die konkreten Aktivitäten zur Umsetzung von Maßnahmen, dabei kann sich eine Aufgabe auf mehrere gleichartige Maßnahmen beziehen. Eine Aufgabe hat eine verantwortliche Person, es kann ein Fälligkeitsdatum gesetzt werden und es können jährliche Kosten (CAPEX, OPEX) und Aufwände geplant werden.

Liste der Aufgaben
Liste der Aufgaben

Kontinuierlicher Verbesserungsprozess

Ansätze zur Verbesserung der Informationssicherheit können bei unterschiedlichsten Gelegenheiten entstehen, beispielsweise bei Audits, Besprechungen oder auch aus einem konkreten Sicherheitsvorfall. Solche Verbesserungsvorschläge können im Bereich "Kontinuierlicher Verbesserungsprozess" eingestellt und gepflegt werden. Die Vorschläge lassen sich auf Anwendungsbereiche, unterstützende Werte und auf Maßnahmen mappen, so dass sie nahtlos in die Gesamtbetrachtung einfließen.

ISMS Kontinuierlicher Verbesserungsprozess KVP in TTS trax
Ein Verbesserungsvorschlag, der aus einem Sicherheitsvorfall entstand

Kennzahlen

Um den Umsetzungsstand des ISMS zu dokumentieren, kann in TTS trax ein System von Kennzahlen angelegt und geführt werden. Dafür existiert eine Excel-artige Oberfläche, über die Zeitreihen komfortabel erfasst und grafisch dargestellt werden können. Neben Zielwerten sind auch einfache Berechnungen möglich, um beispielsweise den Prozentsatz der durch eine Awareness-Schulung gelaufenen Mitarbeiter zu bestimmen.

ISMS-Kennzahlen
Führen von ISMS-Kennzahlen

Formulare

Damit der Information Security Officer nicht alle Daten selbst erfassen muss, kann er sog. Formulare nutzen, um die jeweiligen Prozessverantwortlichen strukturiert anzuschreiben und sie um die Erfassung der Angaben aus ihrem Verantwortungsbereich innerhalb einer definierbaren Frist zu bitten. Formulare können einmalig oder periodisch versendet werden, um die Daten beispielsweise jährlich zu aktualisieren. Der Prozessverantwortliche bekommt eine entsprechende Mail mit einem Link, mit dem er das Formular für sein Asset öffnen kann, ohne dass er als Benutzer in TTS trax hinterlegt sein muss. Hier präzisiert er die Daten seines Assets und bewertet die Schadensauswirkungen, dann sendet er das Formular wieder zurück. Der Information Security Officer bekommt die so gemachten Angaben zum Review und er muss sie akzeptieren, bevor sie in den Datenbestand übernommen werden. Ergänzt wird das System durch Funktionen zur Erinnerung und zur Fristverlängerung.

Formular in der ISMS-Software
Dokumentation der Formularbearbeitung

Datenschutz

Neben der ISMS-Funktion kann TTS trax mit einem optionalen Modul auch genutzt werden, um alle Aspekte zum Datenschutz nach der EU DSGVO zu dokumentieren und daraus das Verzeichnis der Verarbeitungstätigkeiten zu generieren. Basis sind die schon im Rahmen des ISMS erfassten Informationswerte und Geschäftsprozesse, die um weitere Informationen wie Auftragsverarbeitungen, Empfänger, Löschkonzepte und Berechtigungskonzepte angereichert werden können.

DSGVO Verzeichnis der Verarbeitungstätigkeiten
Verzeichnis der Verarbeitungstätigkeiten - generiert mit dem optionalen Datenschutz-Modul

Weitere Aspekte

Performance

Ich habe die Testumgebung alleine genutzt und es waren nur mäßig viele Daten im System. Daher sind meine Performance-Messungen nicht unbedingt repräsentativ, sollten jedoch einen ersten Eindruck vermitteln. Dieser erste Eindruck war hervorragend: Die Masken öffneten sich in der Regel unter einer Sekunde, manchmal bis zu 1,5 Sekunden. Das erlaubt ein sehr flüssiges Arbeiten und trägt wesentlich zur Benutzerfreundlichkeit bei.

Hilfe

Es gäbe noch einiges über TTS trax zu berichten. Erwähnen möchte ich aber vor allem noch die gut strukturierte Online-Hilfe, die sich auch als 128-seitiges PDF ausgeben lässt.

Mein Fazit

TTS trax hat gleich in mehreren Aspekten beeindruckt. Da ist zunächst die Bedienung. Nach einer 1,5-stündigen Einführung in das System ging der Einstieg schnell, ich fand mich sofort zurecht. Wie umfangreich das System aber tatsächlich ist, erfuhr ich erst im Laufe des Tests, als ich immer wieder neue Funktionen und Detaillösungen entdecken konnte. Genau so soll Usability sein: Die unvermeidbare Komplexität hinter durchdachten Bedienkonzepten verbergen und den Nutzer Schritt für Schritt entsprechend seines Bedarfes heranführen. Das ist hier absolut gelungen.

Ein weiteres Highlight ist die sehr klare konzeptionelle Umsetzung der ISMS-Strukturen. Daten müssen durch eine sinnvolle Verlinkung nur einmal gepflegt werden und es wird eine hohe Nachvollziehbarkeit erreicht. Über die automatische Risikoanalyse lässt sich sehr viel Fleißarbeit einsparen. Insgesamt kann man an vielen Stellen einen hohen Reifegrad des Tools feststellen.

Keine Software ist perfekt, auf meiner Wunschliste steht aber vor allem ein Thema für die Online-Hilfe: Zum tieferen Verständnis wäre hier ein logisches Datenmodell hilfreich, das alle Elemente einschließlich Maßnahmen, Aufgaben usw. und ihrer Verknüpfungen darstellt.

Meine Empfehlung: TTS trax auf jeden Fall auf die Longlist nehmen. Ich schätze, dass es dann in vielen Fällen einer der Favoriten wird, gerade in anspruchsvollen Umfeldern.

Weitere Informationen zum Produkt finden Sie unter www.tts-trax.com

Hinweise

Der Bericht stellt die Meinung des Autors dar. Sie sollten diese nicht als alleinige Basis für Ihre Beschaffungsentscheidung nutzen. Wir empfehlen Ihnen stattdessen, die Tools mehrerer Anbieter systematisch miteinander zu vergleichen und zu ermitteln, welches der Angebote am besten auf die spezifischen Bedingungen und Anforderungen in Ihrer Organisation passt. Auf KonBriefing.com finden Sie dazu weitere Unterstützung: ISMS-Tools im Vergleich, Anforderungskatalog für ein ISMS nach ISO 27001

Transparenzhinweis: Die TTS GmbH hat den Testaccount kostenlos zur Verfügung gestellt. Es gab weder Vorgaben noch Einschränkungen im Hinblick auf die Inhalte des Tests und des Textes. Vor der Veröffentlichung wurde der Text der TTS GmbH zum Review zur Verfügung gestellt, um mögliche grobe Missverständnisse auszuräumen - was jedoch nicht der Fall war. Für den Test und den Text wurde kein Honorar gezahlt.

Autor: Bert Kondruss

Lesen Sie weiter ...