ISIS12-Zertifizierung

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Dingolfing ist in IT-Sicherheit 12 Schritte voraus

Stadt Dingolfing

Von David Schahinian

Öffentliche Verwaltungen müssen zahlreiche IT-Sicherheits­vorgaben erfüllen und diese ziel­gerichtet umsetzen. Knappe Kassen und eine erhöhte Sensibilität in Sachen Daten­sicherheit und Daten­schutz machen die Aufgabe nicht einfacher. Mit ISIS12 steht ein Informations­sicherheits­management­system zur Verfügung, das die wichtigsten Vorgaben in zwölf kompakte Schritte zusammenfasst. Damit wird es für Kommunen einfacher umsetzbar und leichter finanzierbar. Die nieder­bayerische Stadt Dingolfing wurde nun als erste deutsche Kommune nach diesem Vorgehens­modell zertifiziert.

Anzeige

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitsclusters entwickelt. Ein großer Vorteil des Systems ist, dass es zahlreiche Anforderungen sowohl der IT-Grundschutzkataloge als auch der ISO/IEC 27001 umfasst und diese auf ein praktikables und verständliches Maß herunterbricht. Bisherige Systeme waren vor allem für große Unternehmen konzipiert worden, aber nicht für kleinere öffentliche Verwaltungen wie jene in Dingolfing – der Ort hat knapp 19.000 Einwohner. Ein späterer Ausbau der Schutzmaßnahmen ist nicht ausgeschlossen: „Das Verfahren kann als mögliche Vorstufe zur ISO/IEC 27001- beziehungsweise BSI IT-Grundschutz-Zertifizierung verwendet werden“, schreibt das Bundesministerium für Wirtschaft und Energie.

Bürger sehen genauer hin

Wie das in der Praxis aussehen kann, hat die bayerische Kleinstadt nun erstmals gezeigt. „Während des Audits zeigten sich die transparenten und nachvollziehbaren Strukturen und Abläufe“, lobte Sabine Roeb-Vollmer, Auditorin bei der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) GmbH. Das Unternehmen ist Exklusivpartner für die ISIS12-Zertifizierung. Die ISIS12-Dokumentation Dingolfings sei „pragmatisch und gleichzeitig aussagekräftig“, so Roeb-Vollmer weiter.

In den Gesprächen vor Ort sei deutlich erkennbar gewesen, dass „die Leitungsebene des Rathauses der Informationssicherheit einen hohen Stellenwert beimisst“ – zu Recht: Nach einer Vielzahl an öffentlichkeitswirksamen Skandalen in puncto Datensicherheit ist davon auszugehen, dass nach den Kunden privatwirtschaftlicher Unternehmen auch die Bürger ihrer Kommune künftig noch genauer auf die Finger schauen werden.

Geprüft und für gut befunden

Die Städte und Gemeinden bekommen den Druck ohnehin auch von anderer Seite zu spüren: Die gesetzlichen Vorgaben werden zunehmend strenger, die Komplexität technischer Systeme ebenfalls. Die Zertifizierung bedeutet im Übrigen nicht, dass die Stadt nicht schon vorher Maßnahmen zur IT-Sicherheit umgesetzt hätte. Man habe sich trotzdem für die Implementierung von ISIS12 entschieden, sagt Alexander Schmidlkofer, IT-Leiter der Dingolfinger Stadtverwaltung.

Die Prozesse wurden umfangreich dokumentiert, und können nun auch vertrauensbildend nach außen wirken: Mit der erfolgreichen Zertifizierung habe die Stadt gegenüber ihren Bürgern einen Nachweis, dass sie sorgfältig mit den ihr anvertrauten Daten umgeht. Das Zertifikat hat eine Gültigkeit von drei Jahren. Auch von staatlicher Stelle hat das System seinen Segen erhalten: ISIS12 wird sowohl vom IT-Planungsrat als auch von der Initiative Cybersicherheit des Bayerischen Staatsministeriums des Innern offiziell für den Einsatz in Kommunen empfohlen.

Nachfolger erhalten Hilfestellung

Als Vorteile von ISIS12 für Kommunen, insbesondere im Vergleich zum BSI-Grundschutz auf Basis von ISO/IEC 27001, stellt der Cluster unter anderem das stark geführte Konzept mit konkreten Handlungsempfehlungen heraus: Das Erstzertifizierungsaudit dauert in der Regel lediglich zwei Personentage, zudem steht ein ISIS12-Softwaretool zur Verfügung. Die Einführung erfolgt anhand eines ISIS12-Handbuchs und eines ISIS12–Katalogs, die für kommunale Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen kostenlos erhältlich sind.

Ehre also, wem Ehre gebührt: Auf der CeBIT in Hannover wurde der Dingolfinger Stadtverwaltung als erster deutscher Kommune das ISIS12-Zertifikat überreicht. Sie hatte übrigens noch eine weitere Pilotfunktion inne: als wichtiger Tippgeber und Sparringspartner für eine „Handreichung ISIS12 für Kommunen – Städte“, die kontinuierlich weiterentwickelt werden soll. Das Kompendium dient als Hilfestellung für öffentliche Einrichtungen, die ISIS12 ebenfalls implementieren wollen, und ist beim Bayerischen IT-Sicherheitscluster erhältlich.

Nützliche Links