ISIS12-2.0-Zertifizierung: Wie die erste ISIS12-2.0-Zertifizierung verlaufen ist

Anfang 2020 hat der Regens­burger IT-Sicherheits­cluster die Version 2.0 von ISIS12 heraus­gebracht. Das ISMS in zwölf Schritten hat sich damit vom BSI-Grund­schutz gelöst und geht Richtung ISO-27001-Kompatibilität. Jetzt ist das erste Unter­nehmen ISIS12-2.0-zertifiziert: a.s.k. Datenschutz.

Dieser Beitrag ist mehr als 3 Jahre alt.
© Jukan Tateisi – Unsplash
Bild: © Jukan TateisiUnsplash

In den Schuhen der Kunden

Von Judith Strußenberg, IT-Sicherheitscluster e.V.

Während im Frühjahr 2020 vielerorts überlegt wurde, ob und wie die technischen Voraussetzungen geschaffen werden könnten, um den Mitarbeiterinnen und Mitarbeitern das Arbeiten von zu Hause zu ermöglichen, nahm man sich bei der a.s.k. Datenschutz e.K. ein ganz anderes, aber ebenfalls ambitioniertes Projekt vor: Das Team um Geschäftsführer Sascha Kuhrau setzte sich als Ziel, das Informations­management­system (ISMS) ISIS12 2.0 im eigenen Unternehmen einzuführen. Eine Win-win-Situation, denn neben der ersten Zertifizierung nach der Version 2.0 stand vor allem die intensive Auseinandersetzung mit den neuen Inhalten im Mittelpunkt.

ISIS12 in einer durchdigitalisierten Firma

„Nicht nur schlaue Sprüche klopfen, sondern wissen, wovon man redet“, sagt Sascha Kuhrau mit Blick auf die Idee, die im April 2020 in einer Videokonferenz mit den Kollegen aufkam. Ganz bewusst wollte das Team in den Schuhen derjenigen gehen, die sie sonst beraten. Das hat den Unternehmer von Beginn an von der Idee überzeugt. „Also haben wir Fördermittel über den Digitalbonus Bayern beantragt und direkt losgelegt“, fasst er den Entscheidungsprozess zusammen.

2019-04-17 DigitalBonusFlyer.jpg

Der Digitalbonus Bayern ist ein Programm der bayerischen Landesregierung, das kleine und mittelständische Unternehmen in Bayern bei der digitalen Transformation unterstützt. Im Mittelpunkt der Förderung stehen digitale Produkte, Prozesse und Dienstleistungen sowie die IT-Sicherheit. Hier werden KMU mit bis zu 10.000 Euro unterstützt. In diesen Bereich fällt auch die Beantragung von Fördergeldern zur Einführung ISIS12: „Es sind auch Maßnahmen zum Aufbau eines Informations­sicherheits­management­systems im Unternehmen zuwendungsfähig, soweit am Ende ein Zertifikat erreicht wird (z.B. nach ISO 27001)“, heißt es auf der Website des Förderprogramms. (Bild: StMWi)

So zügig, wie es begann, ging es auch weiter, doch schon bald tauchte die eine oder andere Frage auf, die sich in bisherigen Beratungen so nicht gestellt hatte. Das hing vor allem mit der Organisationsstruktur von a.s.k. Datenschutz zusammen, die komplett dezentral organisiert und durchdigitalisiert ist. Ein klassisches Bürogebäude sucht man hier vergebens. „Alle arbeiten mit dem Laptop auf dem Schoß da, wo sie gerade sind“, so Sascha Kuhrau.

Damit ist das Unternehmen schon viel weiter und digitaler als die große Mehrheit der Firmen und Behörden, bei denen ISIS12 sonst im Einsatz ist. Schritt 7 des ISIS12-Prozesses, in dem nach kritischen Infrastrukturen gefragt wird, war plötzlich gar nicht mehr so einfach aus den Erfahrungen mit bisherigen ISMS-Projekten zu beantworten. Jedoch hat auch hier ISIS12 mit passenden Bausteinen für Cloud und Outsourcing eine Lösung parat.

Flyer ISIS12 092020.jpg

ISIS12 ist ein Informations­sicherheits­management­system in zwölf Schritten, das im IT-Sicherheitscluster e.V. speziell für kleine und mittlere Unternehmen und Organisationen entwickelt wurde. Durch die konkreten Maßnahmen der zwölf Schritte wird kontinuierlich und systematisch die Informationssicherheit überprüft und verbessert. Die Einführung von ISIS12 wird unabhängig zertifiziert. Kommunen, Landratsämter etc. erhalten vom Freistaat Bayern sowie vom Saarland finanzielle Unterstützung bei der Einführung. Mehr zu ISIS12 gibt es unter https://isis12.it-sicherheitscluster.de/.

Für die a.s.k. Datenschutz stand am Ende die Erkenntnis, dass vor allem die Vertraulichkeit der Knackpunkt für das reibungslose Funktionieren des Unternehmens ist. So gibt es zwar ausschließlich Cloud-Lösungen statt interner Netzwerkstrukturen, aber deren Verfügbarkeit ist für die Organisation weniger das Problem. Aufgrund durchgängiger Verschlüsselung für Daten in Bewegung und gespeicherte Daten ist auch die Vermeidung von unberechtigter Modifikation der Informationen (Integrität) kein großes Thema. Sollten jedoch Interna zu Datenschutzabläufen oder vorhandenen Sicherheitslücken von Kunden bekannt werden, kann das existenzgefährdend werden, für a.s.k. ebenso wie für die Kunden.

„Wir haben das auch im bereinigten Netzwerkplan so abgebildet. Das war für uns eine große Hilfe bei der Identifikation notwendiger Schutzmaßnahmen und deren Priorisierung im Hinblick auf die Kritikalität“, beschreibt Sascha Kuhrau sein Vorgehen. Daher finden sich dort verstärkt die Bausteine Cloud-Services und Outsourcing wieder statt der klassischen Bausteine zu Gebäuden und Räumen. Maßnahmen rund um die Themen Verschlüsselung und Vertraulichkeit haben hier natürlich einen noch höheren Stellenwert in der Bearbeitung als bei zentralen Organisationsstrukturen mit rein interner Datenhaltung. Schließlich vertraut man sich bei der a.s.k. Datenschutz vollumfänglich externen Dienstleistern an.

Vorsprung durch interne Audits

In anderen Punkten ging die Umsetzung bei a.s.k. deutlich leichter von der Hand. Weil sich das Unternehmen aus dem Themenbereich Datenschutz sowieso ein bis zwei interne Audits pro Jahr auferlegt hat, war bereits viel von der geforderten Dokumentation vorhanden. Solche internen Audits empfiehlt das Sascha Kuhrau auch seinen Kunden, und das ganz unabhängig davon, ob Schritt 11 des ISIS12-Prozesses das im Rahmen einer Zertifizierung nun vorsieht oder nicht.

12 Schritte Grafik ohne Sternchen.jpg
Klare Handlungsanweisungen: ISIS12 gliedert die ISMS-Einführung in konkrete zwölf Schritten, sodass man es mit vergleichsweise geringer externer Unterstützung einführen kann. Zertifiziert wird durch die Auditoren der datenschutz cert GmbH bzw. der DQS GmbH. (Bild: IT-Sicherheitscluster)

Auch wenn am Ende ein Umsetzungsgrad von über 90 % erreicht werden konnte, hielt das Audit noch die eine oder andere Überraschung bereit. Das Unternehmen nutzte zum Beispiel zur Teildokumentation interner Arbeitsabläufe das beliebte Microsoft-Tool OneNote. Aufgrund der Beschränkungen dieses Services lag das dazugehörige Notizbuch im Cloud-Speicher von Microsoft. Dadurch war das Vertraulichkeitsniveau hier deutlich niedriger als bei allen anderen genutzten Lösungen mit Vollverschlüsselung. Nach einiger Recherche fand sich für die Mac-Umgebung ein zu OneNote kompatibles Tool, welches das Notizbuch nun in der ebenfalls vollverschlüsselten Dateiablage der Organisation abspeichern und im Team synchronisieren kann.

„Wichtig war uns, eine Lösung zu finden, bei der wir die Datenhaltung komplett in unsere verschlüsselte Arbeitsumgebung integrieren können, für die nur wir den Masterkey haben, und dennoch die volle Funktionsfähigkeit für das Teamwork zu erhalten.“ Die Mühen wurden belohnt, sodass am Ende der ersten ISIS12-2.0-Zertifizierung mit einer Projektlaufzeit von nur sechs Monaten das stolze Ergebnis von 1,05 stand.

Version 2.0: „Ein guter Sprung nach vorne“

„Im Vergleich zu Version 1.x ist das ein guter Sprung nach vorne“, sagt Sascha Kuhrau rückblickend und erzählt von der neuen Informationssicherheitsbeauftragten in seinem Team; sie konnte die gegenüber den Katalogen 1.x komplett neu formulierten Maßnahmen auch ohne tiefere Vorkenntnisse einfach nachvollziehen. Gut gefällt ihm am neuen Katalog nicht nur die deutlich bessere Anwendbarkeit, sondern auch der Dreiklang aus Strategie, Konzept und Richtlinie, den er hier gelungener findet.

Serie: ISIS12

Vorgehensmodell-Sicherheitsmanagement-mit-ISIS12.jpg

Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)

Natürlich ist immer Luft nach oben, ISIS12 weiter zu verbessern, und so sind die Verbesserungsvorschläge von Sascha Kuhrau auf offene Ohren gestoßen, zum Beispiel die, eine Maßnahmenredundanz in den Cloud- und Outsourcing-Bausteinen in kommenden Versionen zu entfernen, oder seine Idee, Maßnahmen in eigenen Richtlinien zu bündeln.

„Ich werde bei meinen Kunden auf jeden Fall anregen, zum nächstmöglichen Zeitpunkt auf den Katalog 2.0 zu wechseln“, fasst Sascha Kuhrau zusammen. In ersten Webinaren wurde das neu erworbene Wissen zur Vorbereitung auf die Umstellung auch gleich an die Kunden weitergegeben. Aber auch a.s.k. Datenschutz konnte sich aufgrund der Fragestellungen aus dem Katalog 2.0 heraus weiterentwickeln und das Sicherheitsniveau weiter ausbauen. Doch „vor dem Audit, ist nach dem Audit“. Daher wird das Team der a.s.k. Datenschutz bis zum ersten Überwachungsaudit weitere Verbesserungspotenziale aus ISIS12 heraus umsetzen und einführen.

JudithStrußenberg.jpg

Judith Strußenberg arbeitet beim IT-Sicherheitscluster e.V. in Regensburg. Dort ist sie für die Bereich Marketing, Öffentlichkeitsarbeit und Veranstaltungen zuständig.

IT-Sicherheitscluster e.V., Franz-Mayer-Str. 1, 93053 Regensburg, Tel.: 0941-604889-33, hello@it-sicherheitscluster.de, www.it-sicherheitscluster.de

Nützliche Links