Einführung | Introduction
English version down below
Inhaltsverzeichnis
- Rating anfordern
- Kein vorhandenes Rating
- WebRisk-Indikator
- Vorhandenes Rating
- Daten exportieren
Rating anfordern
Als Erstes finden Sie die Option "Rating anfordern", unter der Sie ein neues Rating von einem Ihrer Lieferanten anfordern können.
1. Schritt - Rating wählen
Es stehen Ihnen drei verschiedene Ratings zur Auswahl:
- B-Rating (Basissicherheit): Das B-Rating legt die Anforderungen fest, um ein grundlegendes Schutzniveau gegen Cyber-Risiken zu gewährleisten, das für jede Organisation erreichbar sein sollte. Dieses Rating basiert auf einer Selbstdeklaration der Organisation.
- A-Rating (Erhöhte Sicherheit): Das A-Rating definiert die Anforderungen für ein erhöhtes Schutzniveau gegen Cyber-Risiken. Es richtet sich an Organisationen, bei denen aufgrund ihres Tätigkeitsfeldes erhöhte Sicherheitsstandards erforderlich sind. Dieses Rating basiert ebenfalls auf einer Selbstdeklaration der Organisation.
- A+-Rating (Erhöhte Sicherheit - Mit Audit): Das A+-Rating basiert auf der Selbstdeklaration der bewerteten Organisation gemäß dem A-Rating und erfordert zusätzlich eine Überprüfung der Angaben durch ein unabhängiges Audit.
2. Schritt - Lieferanten wählen
Nachdem Sie Ihr gewünschtes Rating ausgewählt haben, können Sie im nächsten Schritt die Lieferanten auswählen, für die Sie das Rating erhalten möchten.
3. Schritt - Bestellung abschließen
Anschließend können Sie die Bestellung aufgeben. Das entsprechende Kontingent wird Ihnen nach Abschluss der Bestellung von Ihrem Konto abgezogen.
Kein vorhandenes Rating
Nachdem Sie uns die Liste Ihrer Lieferanten zur Verfügung gestellt haben, wird Ihre Seite entsprechend leer und ohne Ratings angezeigt. Es ist möglich, dass ein Lieferant, der bereits in der Liste eingetragen ist, ein gültiges Rating abgeschlossen hat und dieses zur Veröffentlichung freigegeben hat. In diesem Fall wird der Lieferant ohne die Notwendigkeit einer erneuten Bewertungsanfrage angezeigt.
Dies wird dann wie folgt aussehen:
Man hat auch hier direkt die Möglichkeit über den Button "Rating anfordern", ein Rating dieses Lieferanten anzufordern.
Dabei stehen zwei Auswahlmöglichkeiten zur Verfügung:
- Cyber Trust Austria Label - Hier erhalten Sie direkt in der Plattform eine E-Mail-Vorlage, mit der Sie den Lieferanten auffordern können, sich ein Cyber Trust Label (Blau, Silber, Gold) zu besorgen. Weitere Informationen zum Cyber Trust Austria Label finden sie hier.
- CyberRisk Rating by KSV1870 - Bei dieser Option kümmern wir uns um den gesamten Prozess des Ratings und der anschließenden Kommunikation. Anders als beim Cyber Trust Austria Label müssen Sie hier nichts weiter unternehmen. Allerdings tragen Sie die Kosten für das Rating.
Beide Auswahlmöglichkeiten basieren auf dem KSÖ Cyber Risk Schema und besitzen die Wertigkeit eines vollwertigen Ratings mit einer Gültigkeit von einem Jahr.
WebRisk-Indikator
Die 3-stellige Zahl neben dem Lieferantennamen ist der WebRisk-Indikator. Sobald Ihre Lieferanten im CyberRisk-Portal aufgeführt sind, steht der WebRisk-Indikator (C-Score) für alle von ihnen zur Verfügung. Dieser Indikator dient als erste Bewertung von Cyberrisiken und bewertet automatisch öffentlich zugängliche IT-Informationen.
Der WebRisk-Indikator ist ein vollautomatischer externer Sicherheitscheck, der auf nicht-invasive Weise die über das Internet zugänglichen Anwendungen einer Organisation überprüft und auf dieser Grundlage Rückschlüsse auf die zugrunde liegende technische und organisatorische Cybersicherheit zieht.
Die Domains und IP-Adressbereiche der Organisation, die Teil dieser Überprüfung sind, müssen zum Zeitpunkt der Antragstellung offengelegt werden und werden durch technisch zuordenbare, über das Internet zugängliche Anwendungen ergänzt. Der WebRisk-Score wird als Indikator bei der Validierung der B- und A-Bewertungen berücksichtigt und separat angezeigt.
Wenn Sie den WebRisk-Indikator auswählen, öffnet sich ein Fenster mit einem detaillierten Einblick in den WebRisk-Score. Sie können die Entwicklung des Risikos über die letzten 12 Monate hinweg sehen.
In der rechten unteren Ecke können Sie die Schaltfläche "WebRisk-Bericht anzeigen" auswählen. Anschließend können Sie die Risikoeinschätzung zwischen 100 und 700 sehen.
Eine Bewertung von 700 deutet auf ein sehr hohes Cyberrisiko hin, während 100 ein minimales Risiko anzeigt.
Die folgenden Sicherheitsmängel werden untersucht: Malware, Defacement, Reputation und TLS-Probleme. Die genaue Domain, auf der das Problem auftritt, wird angezeigt. Das jeweilige Problem wird ebenfalls detailliert erläutert.
Vorhandenes Rating
Hier ist ein Beispiel eines vollständig fertigen und hinterlegten Ratings:
Unter dem Namen des Lieferanten finden Sie die vom Lieferanten hinterlegten Zertifikate. Hier sehen Sie zum Beispiel das Cyber Trust Gold Label. Ein weiteres Zertifikat, das angezeigt werden könnte, sofern vorhanden, ist das ISO/IEC 27001 Zertifikat. Wenn beide vorhanden sind, wird das Cyber Trust Gold Label neben dem ISO/IEC 27001 Zertifikat angezeigt.
Sie haben auch die Möglichkeit, auf das Label oder Zertifikat zu klicken, um weitere Informationen zu erhalten.
Auf der ganz linken Seite ist ein graues Warnungsfeld zu erkennen. Anfangs ist es noch ausgegraut. Wenn Sie darauf klicken, können Sie das interne Risiko dieser Firma anhand einer Matrix festlegen. Sollten Sie ein entsprechendes Risiko auswählen, wird dieses wie im ersten Bild farblich auf der Plattform hinterlegt. Weitere Informationen dazu finden Sie hier.
Das Kernstück des gesamten Ratings sind die beiden Anzeigen in Form von Tachometern, die neben dem WebRisk-Indikator angezeigt werden. Je nachdem, welches Rating Sie bestellt haben, wird entweder das entsprechende A- oder B-Rating angezeigt.
In diesem Beispiel zeigen wir euch ein A+ Rating mit Audit:
Das A+ Rating weist einen Score von 115 auf und ist mit dem Cyber Trust Label Gold versehen. Darunter befindet sich eine Skala, welche ähnlich dem WebRisk-Indikator, einen Bewertung zwischen 100 (sehr gut) und 700 (sehr schlecht) aufweist. Auf der rechten Seite des Ratings sind die Gültigkeitsdauer des Ratings sowie die Scores des WebRisk-Indikators, des B-Ratings und des A-Ratings angegeben.
In der unteren rechten Ecke besteht die Möglichkeit, sowohl auf die vergangenen Ratings dieses Lieferanten zuzugreifen als auch den zeitlichen Ablauf des Ratings einzusehen.
Gehen wir nun wieder zurück zur CyberRisk Manager Seite. Dort sehen wir rechts neben den Tachometern die Gültigkeitsdauer des Ratings.
Direkt darunter befindet sich ein Sprechblasen-Symbol, über das Anmerkungen zu dem jeweiligen Lieferanten hinzugefügt werden können.
Direkt neben dem Sprechblasen-Symbol befinden sich drei Punkte.
Beim Öffnen erscheinen folgende Optionen:
- Vergangene Ratings: Hier werden die vergangenen Ratings des Lieferanten angezeigt.
- Rating-Ergebnis: Hier haben Sie die Möglichkeit, das Rating-Ergebnis als PDF-Datei (mit Signatur) herunterzuladen.
- Lieferantenüberwachung aktivieren: Normalerweise ist diese Funktion deaktiviert. Wenn Sie die Lieferantenüberwachung aktivieren, wird das bestehende Rating automatisch erneuert, bevor es abläuft. Die Kosten für die Erneuerung werden von Ihrem Bestellungskontingent abgezogen.
- Details anfragen: Hier werden Sie an die Hauptansprechperson des Lieferanten weitergeleitet. Sollten Unklarheiten bezüglich des Rating-Ergebnisses bestehen, können Sie hier auf die Antworten des Verantwortlichen des Lieferanten eingehen, um Klarheit zu schaffen.
Daten exportieren
Wenn Sie auf "Daten exportieren" klicken, erhalten Sie eine CSV-Datei, in der alle Daten der Lieferanten nochmals einsehbar sind.
Außerdem haben Sie die Möglichkeit, unsere API mit Ihrer Schnittstelle zu verbinden, um diese Funktion in Ihrem Unternehmen zu integrieren. Unsere API finden Sie hier.
English version:
Table of contents
- Order Ratings
- No Existing Rating
- WebRisk Indicator
- Existing Rating
- Export Data
Order Ratings
First, you will find the option "ORDER RATINGS", where you can request a new rating from one of your suppliers.
Step 1 - Choose Rating
You have three different ratings to choose from:
- B-Rating (Basic Security): The B-Rating establishes the requirements to ensure a basic level of protection against cyber risks, which should be attainable by any organization. This rating is based on the organization's self-declaration.
- A-Rating (Enhanced Security): The A-Rating defines the requirements for an elevated level of protection against cyber risks. It is aimed at organizations that require higher security standards due to their field of activity. This rating is also based on the organization's self-declaration.
- A+-Rating (Enhanced Security - With Audit): The A+-Rating is based on the organization's self-declaration according to the A-Rating and additionally requires an independent audit to verify the information provided.
Step 2 - Choose Suppliers
After selecting your desired rating, you can choose the suppliers for whom you want to obtain the rating in the next step.
Step 3 - Confirm choice
You can then place the order. The corresponding quota will be deducted from your account upon completion of the order.
No Existing Rating
After you provide us with your list of suppliers, your page will appear empty and without ratings. It is possible that a supplier already listed has completed a valid rating and has approved it for publication. In this case, the supplier will be displayed without the need for a new rating request.
This will then look as follows:
You also have the option to request a rating for this supplier directly via the "ORDER RATING" button.
There are two options available:
- Cyber Trust Austria Label - Here you will receive an email template directly on the platform, which you can use to ask the supplier to obtain a Cyber Trust Label (Blue, Silver, Gold). More information about the Cyber Trust Austria Label can be found here
- CyberRisk Rating by KSV1870 - With this option, we handle the entire rating process and subsequent communication. Unlike the Cyber Trust Austria Label, you don't need to take any further action. However, you will bear the costs of the rating.
Both options are based on the KSÖ Cyber Risk Scheme and have the value of a full-fledged rating with a validity of one year.
WebRisk Indicator
The three-digit number next to the supplier's name is the WebRisk Indicator. Once your suppliers are listed in the CyberRisk Portal, the WebRisk Indicator (C-Score) is available for each of them. This indicator serves as an initial assessment of cyber risks and automatically evaluates publicly accessible IT information.
The WebRisk Indicator is a fully automated external security check that non-invasively examines an organization's internet-accessible applications and draws conclusions about the underlying technical and organizational cybersecurity based on this examination.
The domains and IP address ranges of the organization that are part of this assessment must be disclosed at the time of application and are supplemented by technically identifiable, internet-accessible applications. The WebRisk Score is considered as an indicator in the validation of B and A ratings and is displayed separately.
When selecting the WebRisk Indicator, a window opens with a detailed insight into the WebRisk Score. You can see the risk's development over the past 12 months.
In the bottom right corner, you can select the "DISPLAY WEBRISK REPORT" button. Subsequently, you can view the risk assessment ranging from 100 to 700.
A rating of 700 indicates a very high cyber risk, while 100 indicates minimal risk.
The following security vulnerabilities are examined: Malware, Defacement, Reputation, and TLS issues. The exact domain where the problem occurs is displayed. Additionally, each specific problem is detailed.
Existing Rating
Here is an example of a fully completed and deposited B-Rating:
Under the supplier's name, you will find the certificates deposited by the supplier. Here you may see, for example, the Cyber Trust Blue Label. Another certificate that could be displayed, if available, is the ISO/IEC 27001 certificate. If both are present, the Cyber Trust Blue Label will be displayed next to the ISO/IEC 27001 certificate.
You also have the option to click on the label or certificate to obtain further information.
On the far left side, you'll notice a gray warning field. Initially, it appears grayed out. When you click on it, you can assess the internal risk of this company using a matrix. If you choose an appropriate risk, it will be highlighted in color on the platform, similar to the first image. You can find further information on this process hier.
The centerpiece of the entire rating system is the two displays in the form of speedometers, which are displayed next to the WebRisk Indicator. Depending on the rating you have ordered, either the corresponding A or B rating will be displayed.
In this example, a B-Rating is shown:
The B rating has a score of 128 and is adorned with the Cyber Trust Blue Label. Below it, there is another score similar to the WebRisk Indicator, indicating a value between 100 (very good) and 700 (very poor). On the right side of the rating, the validity period of the rating as well as the scores of the WebRisk Indicator, the B rating, and the A rating are specified.
In the bottom right corner, there is the option to access both the past ratings of this supplier and to view the timeline of the rating.
Let's now return to the CyberRisk Manager page. There, on the right side next to the speedometers, we see the validity period of the rating.
Directly below that is a speech bubble icon, through which comments can be added regarding the respective supplier.
Directly next to the speech bubble icon, there are three dots.
Upon opening, the following options appear:
- Past Ratings: This displays the past ratings of the supplier.
- Rating Results: Here, you have the option to download the rating results as a PDF file (with signature).
- Activate Supplier Monitoring: Typically, this function is deactivated. When you activate supplier monitoring, the existing rating is automatically renewed before it expires. The cost for renewal will be deducted from your order quota.
- Request Details: This will redirect you to the main contact person of the supplier. If there are any uncertainties regarding the rating results, you can address them here and seek clarification from the responsible party of the supplier.
Export data
When you click on "Export Data," you will receive a CSV file containing all the data of the suppliers for further review.
Additionally, you have the option to connect our API with your interface to integrate this function into your company. You can find our API here.