Häufig gestellte Fragen

SINuS steht für „Sicherheit für Informationstechnik und Netzwerke als universelles System“ und ist ein Self-Assessment-Tool, um IT-Sicherheitsrisiken im Unternehmen zu erkennen und Maßnahmen zu initiieren. Als Managementsystem unterstützt das Tool bei der kontinuierlichen Verbesserung der IT-Sicherheit.

SINuS ermöglicht eine präzise Selbsteinschätzung von Cyberrisiken, basierend auf den BSI-Standards. Das System kann Ihnen nicht die Arbeit abnehmen, aber es hilft, die NIS2-Anforderungen schnell und effizient umzusetzen. Im Selbstaudit werden zunächst die Fragen von Ihnen selbst beantwortet. Dabei wird durch Sie zu jeder Frage der Umsetzungsgrad festgelegt. Externe Beratung kann zu einem späteren Zeitpunkt hinzugenommen werden, wenn es in die Umsetzungsphase geht oder wenn eine ISMS bzw. ISO 27001 Zertifizierung geplant ist. Das reduziert Beratungskosten.

SINuS ist ein Self-Assessment Tool, insofern sollten immer die Bereiche / Abteilungen die Fragen beantworten, deren Themen adressiert werden. Der überwiegende Teil der Fragen betrifft inhaltlich bedingt natürlich die IT-Abteilung sowie sofern vorhanden den ISB (Informationssicherheitsbeauftragten). Fragen zu Organisation und Personal hingegen werden wahrscheinlich von der Verwaltung oder Personalabteilung beantwortet werden müssen. Insbesondere der Status und die Inhalte von Richtlinien sind wahrscheinlich dort verankert.

Sofern Sie externe Dienstleister einsetzen, gibt es Fragen, die in deren Kompetenz- bzw. Erfüllungsbereich gehören. Dabei ist zu beachten, dass die NIS2-Richtlinie (bzw. das NIS2UmsuCG) vorsieht, dass der Auftraggeber auch für die Compliance innerhalb der Lieferkette verantwortlich ist.

Gem. den gesetzlichen Auflagen ist die Geschäftsführung für die Umsetzung der Anforderungen verantwortlich, hat diese zu überwachen und nachzuweisen (§ 38 NIS2UmsuCG). Insofern ist es durchaus sinnvoll, dass auch die Leitung sich mit dem Tool auskennt.

Nein. SINuS stellt als Self-Assessment-System einen Fragenkatalog auf Grundlage von BSI-Grundschutzkriterien bereit. Auf dieser Grundlage wird eine Risikobewertung zu den BSI-Gefährdungen durchgeführt. Empfehlungen für Maßnahmen zur Risikoreduzierung werden zu jeder Frage angeboten und zudem den ISO Controls (Statement of Applicability, SoA) nach der ISO 27001:2022 Anhang A zugeordnet. SINuS kann allerdings als Vorbereitung für eine Zertifizierung durch eine externe Zertifizierungsstelle dienen.

SINuS basiert auf dem vom BSI initiierten Projekt „Weg in die Basis-Absicherung“ (WiBA). Das BSI betrachtet in WiBA 19 Kategorien, welche durch zahlreiche Fragen unterlegt sind. Zusätzlich wurden durch das BSI die Kategorien mit den BSI-Grundschutz Bausteinen verknüpft (Mappingtabelle: WiBA auf IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“). Auf dieser Grundlage werden die Fragenkataloge vertieft und den BSI-Gefährdungen über eine vom BSI zur Verfügung gestellte Kreuztabelle zugeordnet.

WiBA wurde vom BSI entwickelt, um den Einstieg in den IT-Grundschutz für Behörden, Unternehmen und Einrichtungen zu vereinfachen. Unternehmen in kritischen Sektoren wie Energie, Transport, Gesundheitswesen, Bankenwesen, Wasser- und Abfallwirtschaft sowie digitale Infrastruktur können SINuS genauso nutzen wie alle öffentlichen Verwaltungen und Unternehmen der KMU mit mehr als 50 Beschäftigten, die unter NIS2 fallen.

Es gibt eigentlich keine Einschränkungen. Um die NIS2-Richtlinien umzusetzen, eignet sich SINuS für Landesverwaltungen, Kreisverwaltungen und Stadtverwaltungen genauso wie für Stadtwerke, ÖPNV und Abfallbetriebe.

Ja. SINuS basiert auf einem Datenmodell des BSI, welches für jedes Unternehmen, insbesondere mit einer Größe von mehr als 50 Beschäftigten oder einem Jahresumsatz größer als 10 Mio. € interessant ist. Da SINuS ein Cybersicherheits-Managementsystem ist, welches das Ziel verfolgt, Risiken zu identifizieren, zu bewerten und Maßnahmen abzuleiten, ist es für jede Organisation und jedes Unternehmen interessant, welche sich gegen Cyberkriminalität gut aufstellen möchte.

Ja. SINuS eignet sich selbstverständlich auch für eine Risikobewertung im Rahmen des Abschlusses einer Cyberversicherung. Oft verlangen Cyberversicherungen nur eine kleine Auskunft zu den IT-Sicherheitsmaßnahmen. Diese reichen allerdings in der Regel nicht aus, um die Risiken zu identifizieren. Mit SINuS als Managementsystem können die Risiken und somit der Versicherungsbeitrag reduziert werden. Die Wahrscheinlichkeit, dass die Cyberversicherung in Anspruch genommen werden muss, wird durch Umsetzung der empfohlenen Maßnahmen gesenkt. Zudem kann das Risiko reduziert werden, dass der Versicherer im Zweifel nicht zahlt, weil Vertragsbedingungen nicht erfüllt wurden. Sprechen Sie mit Ihrem Versicherer.

Zu jeder Frage haben wir Maßnahmen hergeleitet, es werden etwa 10 separate Empfehlungen gegeben. Dabei handelt es sich um technische und organisatorische Maßnahmen.

Nein. Die angebotenen Maßnahmen sind eher umfassende Empfehlungen, nicht jede Maßnahme wird auf die jeweilige Organisation passen. Es ist möglich, Empfehlungen zu löschen und Neue selbst hinzuzufügen. SINuS ist ein individuelles, skalierbares Managementsystem, welches auf jede Einrichtung und jedes Unternehmen angepasst werden kann.

Die Idee von SINuS ist, ein Managementsystem zur Verfügung zu stellen, welches bereits Antworten auf Fragen gibt. Aus diesem Grund sind Empfehlungen für Maßnahmen bereits vorgegeben. Im Selbstaudit muss nun zu jeder Frage festgelegt werden, wie der Umsetzungsstand bereits ist. Hier gibt es eine Unterteilung in 5 Feststellungen. Die Empfehlungen in den Maßnahmen können dabei helfen, den Grad der Umsetzung selbst festzulegen. Bereits umgesetzte Maßnahmen können im Tool zu jeder Frage dokumentiert werden, z. B. durch Dokumente oder Bemerkungen.

Zu jeden Fragenkomplex (NIS-Baustein) und jeder Frage (NIS-Frage) wird jederzeit der Bearbeitungsstand angezeigt. Warum bei NIS-Fragen? Eine NIS-Frage kann sich in viele Unterfragen (Prüffragen) unterteilen, welche das BSI aus den Grundschutz Bausteinen hergeleitet hat. Jeder Prüffrage ist zudem der Status der Bearbeitung zugeordnet, also „offen“, „in Arbeit“ oder „erledigt“ Hiernach kann später gefiltert werden.

Ja. Sobald das BSI seinen Fragenkatalog aktualisiert, werden wir diese Aktualisierungen selbstverständlich übernehmen. Durch unseren Support und die Pflege der Prüffragen, haben Sie jederzeit ein aktuelles System, das den Stand der Technik und die Anforderungen von BSI und ISO widerspiegelt.

Ja. Es gibt jederzeit die Möglichkeit, eigene Fragen hinzuzufügen. Das wird insbesondere dann der Fall sein, wenn im Rahmen des Selbstaudits der Fragenkatalog des BSI zur Cyberabsicherung nicht ausreicht. Insofern wir zusätzliche Fragen einfügen, kennzeichnen wir diese mit einem Stern (*).

Das Risiko berechnet sich aus dem möglichen Schaden und der Eintrittswahrscheinlichkeit. Zu jeden Fragenkomplex (NIS-Baustein) und zu jeder Frage (NIS-Frage) wird das Risiko ermittelt. SINuS orientiert sich an der Risikoklassifikation des BSI in einer Ausprägung von 5 x 5. Jeder NIS-Frage ist eine Risikomatrix zugeordnet, in welcher die Ausprägung automatisch berechnet und hinzugefügt wird.

Der mögliche Schaden wird in 8 Kategorien erfasst und als Durchschnittswert ermittelt. Es wird eine Schadensermittlung in den Kategorien „Verletzung Persönlichkeitsrechte“, Offenbarung Geschäftsgeheimisse“, „Offenbarung Know-how“, „Datenverlust“, „Ausfallzeit“, „Erpressung“, „Schadensersatzforderungen“ und „Bußgeld“ durchgeführt. In SINuS ist zu jeder Frage eine potenzielle Schadenshöhe vorgegeben, welche im Rahmen des Selbstaudits entsprechend der Branche selbst angepasst werden kann.

Die Eintrittswahrscheinlichkeit leitet sich aus dem Grad der Umsetzung her, welche als Antwort im Selbstaudit zu jeder Frage gegeben wird.

Ja. SINuS ist zwar als papierloses Managementtool konzipiert, allerdings wird es immer wieder im Rahmen einer bereichsübergreifenden Zusammenarbeit erforderlich sein, Ausdrucke nach bestimmten Filterkriterien zu erstellen.

Ja. Jeder Frage kann ein „Verantwortlicher“ zugewiesen und ein Wiedervorlagetermin erstellt werden. Im Dashboard und in der Maßnahmenübersicht lässt sich dann nach unterschiedlichen Auswahlkriterien filtern und eine Aufgabenübersicht erstellen.

Sollte es doch einmal zu einem meldepflichtigen Vorfall kommen, befindet sich in  SINuS der Zugang zum Meldeportal des BSI. Es gibt zudem die Möglichkeit, die gesamte Dokumentation direkt im Tool zum Abruf verfügbar zu halten.

SINuS wurde auf der Ninox Plattform programmiert. Ein Template ist die Programmoberfläche, welches auf der Low-Code-Plattform von Ninox entwickelt wurde. Die Software wird als sichere Cloudlösung angeboten. Natürlich ist der Anbieter zertifiziert (ISO 27001) und datenschutzkonform (Standort in Deutschland, Auftragsverarbeitung vertraglich abgesichert).

Ninox ist ein deutsches Unternehmen mit Sitz in Berlin. Das Unternehmen hat sich zu einer erfolgreichen SaaS-Plattform entwickelt, die es Unternehmen jeder Größe ermöglicht, schnell individuelle Anwendungen für spezifische Anforderungen zu erstellen.

Die Privat Cloud enthält einen dezidierten Server mit eigener Benutzerverwaltung. Hoster / Standort / Sub-domain können frei ausgewählt werden. Für die eigene Privat Cloud benötigen Sie mindestens 10 Lizenzen.

Beim Kauf der „SINuS Lizenz“ bleibt die Anwendung in der Privat Cloud von uns als Systemanbieter. Als Ninox-Partner können wir Lizenzgebühren günstig weitergeben. Es lohnt sich erst ab 10 Lizenzen, eine eigene Privat Cloud bei Ninox einzurichten. Da SINuS multimandantenfähig ist, erfolgt die Trennung der Daten logisch nach Benutzerrechten.

Beim Kauf des Templates richtet Ninox eine Privat Cloud für den Kunden ein. In dieser Privat Cloud befinden sich nur die eigenen Daten, es gibt eine physische Trennung. Das Template wird von uns hochgeladen. Ninox wird Vertragspartner, alle Nutzerlizenzen sind über Ninox zu kaufen. Insofern ein Support erwünscht ist, müssen wir als Systemanbieter eingeladen werden. So behalten Sie die vollständige Kontrolle.

Insofern eine SINuS Lizenz über unsere Privat Cloud gekauft wird, befinden sich die Daten bei Hetzner, also in Deutschland. Das Hosting der eigenen Privat Cloud ist mit Ninox abzustimmen.

Zunächst haben wir als Anbieter von SINuS mit Ninox eine sogenannten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Wir schließen zusätzlich mit unseren Endkunden neben dem Lizenzvertrag eine Vertraulichkeitsvereinbarung (NDA) und eine EU-Standardvertragsklausel (SCC v21) auf Basis Art. 28 DSGVO ab.

Kontaktieren Sie uns für eine unverbindliche Beratung

SINuS – Ihr Weg zu mehr IT-Sicherheit.