ISIS12 für Kommunen und Mittelstand

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Informationssicherheit ist der erste Schritt zum Grundschutz

Bayerischer IT-Sicherheitscluster e.V

Von Dirk Bongardt

Das Vertrauen in Online-Dienste steht und fällt mit der Datensicherheit. Das gilt für die Bürger in den Kommunen ebenso für die Kunden von Unternehmen. Ein ordentliches Information Security Management System (ISMS) ist daher entweder praktische Notwendigkeit oder bereits vorgeschriebene Pflicht – oder beides. Eine solches Set von klaren Regeln und Verfahren aufzustellen, ist allerdings gar nicht leicht. Praktische Hilfestellung gibt es darum für Städte, Gemeinden und kleine bis mittlere Unternehmen.

Anzeige

Vereinfachtes Vorgehen mit ISIS12

Während die Datenmengen exponentiell wachsen, wird es immer schwieriger, in einer häufig heterogenen IT-Umgebung für deren Sicherheit zu sorgen, Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu wahren. Diese Herausforderungen fallen Firmen und Kommunen nicht einzeln, sondern als komplexe Gesamtaufgabe auf den Tisch. Gleichzeitig müssen Unternehmen wie Verwaltungen dabei innerhalb ihrer wirtschaftlichen und personellen Grenzen arbeiten – knappe Haushalte und dünne Personaldecken sind unbequeme, aber unumgängliche Tatsachen.

Vor diesem Hintergrund bietet der Bayerische IT-Sicherheitscluster e.V. Unterstützung an: Das Information Security Management System (ISMS) mit Namen ISIS12 zerlegt das erforderliche Vorgehen in zwölf überschaubare Schritte mit klaren Handlungs­empfehlungen. Das Informations­sicherheits­management­system entspricht den Anforderungen der „Leitlinie für die Informations­sicherheit in der öffentlichen Verwaltung“ des IT-Planungsrats. Entstanden ist es 2010 aus dem Netzwerk für Informations­sicherheit im Mittelstand (NIM) mit der Hochschule und der Universität Regensburg sowie sieben Partner­unternehmen. Ziel der gemeinsamen Bemühungen war es, ein ISMS zu entwickeln, das vor allem kleine und mittlere Unternehmen vergleichsweise einfach und kostengünstig umsetzen können.

Informationssicherheits­management in zwölf Schritten
ISIS12 (Bild: IT-Sicherheitscluster e.V. – R-Tech GmbH)

Das Informations­sicherheits­system ISIS12 besteht aus zwölf Schritten, aufgeteilt auf drei Phasen:

Initialisierungsphase
  • Schritt 1: Leitlinie erstellen
  • Schritt 2: Mitarbeiter sensibilisieren
Festlegung der Aufbau- und Ablauf­organisation
  • Schritt 3: Informations­sicherheits­team aufbauen
  • Schritt 4: IT-Dokumentations­struktur festlegen
  • Schritt 5: IT-Service­management­prozess einführen
Entwicklung und Umsetzung des ISIS12-Konzepts
  • Schritt 6: Kritische Applikationen identifizieren
  • Schritt 7: IT-Struktur analysieren
  • Schritt 8: Sicherheits­maßnahmen modellieren
  • Schritt 9: Ist-Soll vergleichen
  • Schritt 10: Umsetzung planen
  • Schritt 11: Umsetzen
  • Schritt 12: Revision
Der letzte Schritt macht deutlich, dass die Arbeit an ISIS12 niemals ganz abgeschlossen ist; ein kontinuierlicher Verbesserungsprozess ist Teil des Systems. Der Einführungsprozess sowie die Revisionszyklen werden durch ein an der Universität Regensburg eigens angepasstes Softwaretool unterstützt.

Geprüft, empfohlen und gefördert

Seit März 2015 empfiehlt der IT-Planungsrat ISIS12 als ein ISMS auf der Grundlage von IT-Grundschutz, wie ihn das BSI vorsieht, und gemäß ISO 27001 auf der Basis von IT-Grundschutz. ISIS12 ist derzeit das einzige vom IT-Planungsrat akzeptierte Verfahren, das zum BSI-IT-Grundschutz weiterentwickelt werden kann. Grundlage der Empfehlung ist ein Gutachten des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC.

Nach dem IT-Planungsrat von Bund und Ländern spricht sich inzwischen auch das Bayerische Staatsministerium des Innern, für Bau und Verkehr für das Vorgehensmodell aus und stellt kleinen bis mittelgroßen staatlichen Behörden und Kommunen finanzielle Förderungen in Aussicht. Förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen mit bis zu 500 Arbeitsplätzen.

Auch das sächsische Staatsministerium für Wirtschaft, Arbeit und Verkehr bietet eine Förderung an, hat dabei aber vor allem kleine und mittlere Unternehmen aus den Bereichen verarbeitendes Gewerbe, Handwerk, Handel und Dienstleistungen im Blick. Solche Unternehmen können einen nicht rückzahlbaren Zuschuss von bis zu 40 % der zuwendungsfähigen Ausgaben erhalten.

Fazit: Erste Erfahrungsberichte auf der Kommunale 2015

Interessierte, die mehr über ISIS2012 erfahren wollen, sollten die Fachmesse Kommunale im Blick behalten, die 2015 am 14. und 15. Oktober im Messezentrum Nürnberg stattfindet. Im Rahmen der Veranstaltung „IT-Talk der Kommunen“ wird ISIS12 ein Vortrags- und Diskussionsthema sein. Dort wird auch Josef Pellkofer, Erster Bürgermeister der Stadt Dingolfing, über die Erfahrungen berichten, die die Kommune mit der Einführung und Umsetzung von ISIS12 gemacht hat, und im Anschluss daran für Fragen zur Verfügung stehen.

Nützliche Links