ISMS in zwölf Schritten – die dritte Generation
Von Eduard Heilmayr
CISIS12 ist die neueste Version des Informationssicherheitsmanagementsystems (ISMS) des IT-Sicherheitsclusters e.V. aus Regensburg. Das ISMS ist die Weiterentwicklung von ISIS12. Die bisherigen Versionen gibt es seit ca. zehn Jahren. Sie kommen überwiegend in der öffentlichen Verwaltung sowie in kleineren und mittelständischen Unternehmen zum Einsatz. Über 400 ISIS12-Beratungsprojekte, über 300 genehmigte Förderanträge und 180 Zertifizierungen und Begutachtungen verzeichnet der IT-Sicherheitscluster e.V. in seiner bisherigen Erfolgsbilanz.
Bei der Weiterentwicklung zu CISIS12 habe man besonders den Umgang einer Organisation mit gesetzlichen und unternehmerischen Vorgaben berücksichtigt, die sogenannten Compliance-Vorgaben. ISIS12 wurde deshalb in CISIS12 umbenannt, da das Thema Compliance stärker in den Vordergrund gerückt werden soll.
Aus ISIS12 wird CISIS12
Die auf gesetzliche Vorgaben, Verordnungen und Regelungen sowie strategischen Zielen bezogenen Fachverfahren bzw. Organisationsprozesse werden aus Sicht der Informationssicherheit einer Risikobewertung unterzogen. Danach wird untersucht, welche IT-Systeme und -Anwendungen für die Umsetzung notwendig sind und wie sie gegen Informationssicherheitsvorfälle geschützt sind. Dies schließt auch Outsourcing mit ein. Verbesserungsmaßnahmen, einschließlich Schulung und Sensibilisierung von Mitarbeiterinnen und Mitarbeitern, sind ebenso in den zwölf Schritten zum Aufbau und zur Weiterentwicklung von CISIS12 enthalten wie die Berichtspflichten an die Organisationsleitung. Entsprechende Review-Schritte, Audits genannt, sind vorgegeben.
Dieser theoretische Ansatz wird im kommunalen Betrieb an einem Beispiel schnell verständlich. Rudolf Ehrensberger, Informationssicherheitsbeauftragter und IT-Administrator der Verwaltungsgemeinschaft Neumarkt in der Oberpfalz ist einer der ersten Pilotanwender von CISIS12. Ehrensberger hat dazu seine Erfahrungen in einem Interview mit dem IT-Sicherheitscluster besprochen. Besonders positiv sieht er die Vorgaben zur strukturierten Kommunikation mit Bürgermeistern sowie Fachbereichsleiterinnen und Fachbereichsleitern in seiner Verwaltungsgemeinschaft. Die jeweiligen Verantwortlichen verstünden sofort, wenn er über die Bedeutung von Fachverfahren mit ihnen spreche, z.B. über Beurkundungsprozesse im Einwohnermeldeamt und welche Auswirkungen ein etwaiger Ausfall auf die Arbeit des Amtes hätte. Damit werde die Risikobetrachtung im ersten Schritt wesentlich erleichtert.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Normenaufbau und Maßnahmenkatalog
Die zwölf Schritte von CISIS12 sind jetzt eingebettet in einer neuen Dokumentation – der CISIS12-Norm. Darin werden die Vorgaben und normativen Mindestanforderungen zum Aufbau und zur Aufrechterhaltung des ISMS in strukturierter Weise definiert und beschrieben. Mit anderen Worten: Die CISIS12-Norm beschreibt, was gemacht werden muss, aber nicht, wie es umgesetzt werden muss. In der CISIS12-Norm sind umfangreiche Verweise auf andere Regelwerke enthalten, genannt werden BSI-IT-Grundschutz und ISO/IEC 27001 sowie die Vorgängerversionen von ISIS12.
Der ebenfalls neu erstellte Baustein-Maßnahmenkatalog ist das zentrale Element des CISIS12-Vorgehensmodells. Er enthält derzeit 87 Bausteine mit Maßnahmen zur CISIS12-Norm. Der Baustein-Maßnahmenkatalog wird regelmäßig aktualisiert. Jeder Baustein ist detailliert beschrieben, alle Maßnahmen sind mit „Muss“, „Soll“ und „Kann“ klassifiziert.
Der strukturierte und abstrakte Normenaufbau bietet ein hohes Maß an Offenheit für die Einbeziehung von weiteren branchenspezifischen Katalogen, das Hinzufügen von neuen gesetzlichen Anforderungen bzw. Verordnungen oder spezifischen Sicherheitsbedürfnissen, beispielsweise durch neue Angriffsszenarien. Neue Anforderungen aus dem IT-Sicherheitsgesetz 2.0, B3S-KRITIS oder neu einzuführende digitale Verwaltungsdienstleistungen aus dem Onlinezugangsgesetz sind konkrete Beispiele dafür.
Bild: IT-Sicherheitscluster e.V.
Handbuch, Dokumentation und Zertifizierung
Ebenfalls neu ist das CISIS12-Handbuch. Es gibt einen grundlegenden Überblick über den kompletten Aufbau und die Weiterentwicklung eines ISMS auf Basis von CISIS12. Anwender, die bereits ISIS12 in den Vorgängerversionen einsetzen, werden ihre Verfahren im Handbuch schnell wiedererkennen: zwölf Schritte, ergänzt um die Informationen zur vorgeschalteten, notwendigen Projektplanung und zur nachgeschalteten Möglichkeit einer unabhängigen Zertifizierung von CISIS12.
Kommunale Gebietskörperschaften, deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen erhalten die Dokumente kostenlos auf Anfrage beim IT-Sicherheitscluster e.V.
Die komplette Dokumentation von CISIS12 für Unternehmen kostet 150 Euro zuzüglich MwSt. Die Dokumente können unter https://www.digistore24.com/product/392352 per Download bezogen werden.
Die Zertifizierung von CISIS12 ist optional. Die von der DAkkS akkreditierten Zertifizierungsstellen DQS GmbH und datenschutz cert GmbH auditieren Organisationen nach dem CISIS12-Standard.
Fördermittel für Kommunen und Unternehmen
Für Kommunen in Bayern und im Saarland gibt es für die Einführung von CISIS12 Förderprogramme. Auch für kleine und mittlere Unternehmen gibt es Möglichkeiten der Förderung, entweder über die Programme go-digital oder über den Digitalbonus.
Neben den Dokumentationen bietet der IT-Sicherheitscluster e.V. ein umfangreiches Schulungsprogramm für CISIS12 neu an. Offizielle Trainingsorganisationen dafür sind neben dem IT-Sicherheitscluster e.V. selbst im norddeutschen Raum das Netzwerk der networker NRW; geschult werden künftige CISIS12-Anwender und -Berater. Die Kurse werden – eine bestandene Prüfung vorausgesetzt – mit einem ICO-CERT-Zertifikat bestätigt. Zusätzlich angebotene Workshops sollen spezifisches Anforderungswissen vertiefen. Ausgewählte Themenbeispiele hierfür sind Cloud Security, Kryptografie, Projektmanagement, Risikomanagement und Datenschutzrecht.
Im Auftrag des IT-Sicherheitsclusters ist außerdem eine Software zur Unterstützung von CISIS12-Projekten entwickelt worden. Unter dem geschützten Namen M24S ist das Tool sofort verfügbar. Unterschiedliche Kataloge lassen sich integrieren, neben CISIS12 auch ISIS12 v1.9 und v2.0 oder beispielsweise auch i-Kfz. Weitere Softwareanbieter für CISIS12-Projekte sind auf der Webseite des IT-Sicherheitsclusters veröffentlicht.
In der Praxis ist die Verwendung einer entsprechenden Software dringend zu empfehlen. Das ergibt sich allein schon aus der Abarbeitung der sehr voluminösen CISIS12-Maßnahmenkatalogs. Er umfasst in seiner aktuellen Ausgabe immerhin nahezu tausend Seiten. Was darüber hinaus für die Verwendung einer entsprechenden Managementsoftware spricht, sind schnelle Aktualisierungen und Ergänzungen von Katalogen und Regelwerken wie Datenschutzvorgaben oder die zentrale Dokumentationsverwaltung.
Fazit: Informationssicherheit ausgebaut
Mit CISIS12 ist dem IT-Sicherheitscluster e.V. mit seinem Entwicklerteam ein großer Schritt gelungen. Das Konzept überzeugt, die Umsetzungshilfen sind vollständig zum Start verfügbar, die Migration von vorherigen Versionen bzw. bereits bestehenden ISIS12-Projekten ist sinnvoll möglich, und neue, spezifische Anforderungen können in kurzer Zeit mit eingebaut werden. CISIS12 ist dafür geeignet, öffentliche Verwaltungen und Wirtschaftsunternehmen bei der Vorbeugung und bei der Bewältigung interner und externer Informationssicherheitsvorfälle wirkungsvoll und nachhaltig zu unterstützen.
