Werden Maßnahmen und Projekte mit Cybercharakter "blind" in der Organisation verteilt, bleibt der Schutz vor Cyberbedrohungen Stückwerk und die Informationssicherheit lückenhaft. Stattdessen sollte der gegenwärtige Reifegrad anhand eines vergleichbaren Vorgehens ermittelt werden, um zielgenau da anzusetzen, wo das Unternehmen im Moment am verwundbarsten ist.

Unsere weltweit eingesetzte KPMG-CMA-Methode nutzt ein eigenes Reifegradmodell mit neun Domains. Zusätzlich wird durch eine hundertprozentige Abdeckung der Anforderungen der Branchenstandards ISO 27001 und NIST CSF 2.0 sichergestellt, dass alle Facetten der Cybersecurity beleuchtet werden und somit keine blinden Flecken für die Organisation entstehen.

Dreiklang aus Findings, Risiken und Handlungsempfehlungen

Die einzelnen Kontrollfragen aus dem KPMG-CMA können entweder im selbsterklärenden Self Assessment oder im geführten Interview beantwortet werden. Zusätzlich wird im Rahmen von CMA-Projekten auch die bestehende Cybersecurity-Dokumentation ausgewertet. Alle Ergebnisse werden im genutzten Tool auf einer zentralen Plattform gespeichert.

Auf Basis aller gewonnen Informationen erhalten unsere Kunden anschließend einen formalen Abschlussbericht mit dem Dreiklang aus identifizierten Findings, zugrundeliegenden Risiken und passenden Handlungsempfehlungen. Diese bilden den Ausgangspunkt für Cybersecurity-Projekte oder – falls gewünscht – weitere Projektphasen, wie die Entwicklung einer spezifischen Cybersecurity Roadmap oder einem Benchmark mit Peers aus dem gleichen Marktumfeld.

Durch unser Reifegradmodell wird Ihnen ermöglicht, alle Bereiche Ihrer Cybersecurity zu erfassen und den Blick über den Tellerrand zu heben: Cybersecurity ist kein (alleiniges) Thema der IT mit technischen Security-Kontrollen, sondern bezieht alle Stakeholder in der Organisation mit ein.

Die in den neun Domains adressierten Themen werden ständig aktualisiert: So ist garantiert, dass auch neue Entwicklungen, wie beispielsweise AI Security, adäquat behandelt werden.

Bereit für ein Gespräch? Kontaktieren Sie uns

KPMG-Ansatz

Projektvorbereitung

In der ersten Phase unserer Cyberreifegradbewertung wird der Grundstein für den Erfolg Ihres Projekts festgelegt. Gemeinsam mit Ihrem designierten Ansprechpartner werden die wichtigsten Projektschwerpunkte priorisiert und der finale Scope (inkl. notwendige Ansprechpartner und Dokumentation) festgelegt. So wird sichergestellt, dass alle relevanten Aspekte berücksichtigt werden und die bestmöglichen Ergebnisse für Ihr Unternehmen erzielt werden.

Durchführung der Cybersecurity-Reifegradanalyse

In der zweiten Phase unserer Reifegradanalyse werden die Fragen aus unserem CMA mit Hilfe des Cyber-GRC-Tools Alyne webbasiert im Self Assessment beantwortet. Optional werden die Ansprechpartner durch die Fragen im Rahmen von Interviews und Workshop von unseren KPMG-Experten geführt. Durch den toolgestützten Ansatz lassen sich die Beantwortung der Fragen parallelisieren. Hierdurch können Sie mehrere Unternehmensbereiche gleichzeitig auswerten und frühzeitig potenzielle Risiken identifizieren.

Erstellung eines zielgruppen-orientierten Abschlussberichts

Alle gewonnenen Erkenntnisse werden in einem Abschlussbericht zusammengefasst und die Ergebnisse im Kontext von Risiken und Bedrohungsszenarien für Ihr Unternehmen eingeordnet. Für die betroffenen Fachbereiche erhalten Sie konkrete Verbesserungsmöglichkeiten, die optional verknüpft werden können mit den Vorgaben einschlägiger Industriestandards (z.B. ISO 27001:2022, NIST CSF 2.0, etc.). Zudem erhalten Sie durch die Verknüpfung mit Industriestandards eine erste Einschätzung, ob Ihr Unternehmen zum Beispiel eine ISO-27001-Zertifizierung erlangen könnte (Verlinkung zu ISO 27001 Zertifizierung). Abschließend erlangen Sie durch diesen Bericht einen Überblick über alle relevanten Cybersecurity-Bereiche Ihres Unternehmens und können proaktive Maßnahmen ableiten, um Ihre Sicherheit zielgerichtet zu stärken.

Ihre Vorteile

Systematische und vergleichbare Bewertung des derzeitigen Cybersecurity-Status-quo.
Aufzeigen von für das Unternehmen passenden Handlungsempfehlungen, um den Cybersecurity-Reifegrad auf ein höheres Niveau zu heben.
Startpunkt für eine Vielzahl weiterer Verbesserungsmöglichkeiten.

Interessiert an unseren Services? Kontaktieren Sie uns

Häufig gestellte Fragen

Das von der KPMG-CMA-Methode genutzte Tool lässt sich browsergestützt steuern und die Datenhaltung erfolgt in AWS. Es ist vertraglich vereinbart, dass die gewonnenen Daten physisch immer innerhalb der EU gespeichert bleiben.

Nein, das Tool läuft browsergestützt. Eine Lizensierung ist nicht notwendig, da KPMG ausreichend Lizenzen vorhält. Dies gilt auch, falls die Fragen von den Mitarbeitern des Auftraggebers im Self Assessment beantwortet werden.

Die typische Dauer eines CMA-Projekts beträgt in der Regel 6-12 Wochen.

Direkten Zugriff können wird Ihnen selbstverständlich nicht gewährt. Allerdings können die gewonnenen Erkenntnisse und Daten in Form von Benchmarks ausgewertet und dem Abschlussbericht hinzugefügt werden.