IT-Sicherheitscluster: Was der IT-Sicherheitscluster plant

Im unübersichtlichen Markt für Datenschutz- und ISMS-Zerti­fizierungen punktet der Bayerische IT-Sicher­heits­cluster in Regens­burg mit den klaren Ab­läufen von ISIS12. Das System wird kon­tinuierlich weiter­entwickelt, es richtet sich an Kom­munen und KMU. Seit Früh­jahr 2020 seht die Version 2.0 bereit.

Regensburg bündelt IT-Sicherheit

Von David Schahinian

Datenschutz und IT-Sicherheit zählen zu den wichtigsten Themen unserer Zeit. Häufig werden sie jedoch nur aus der Perspektive großer Konzerne gesehen. Klar, hier ist die Skandalträchtigkeit bei einem Datenleck oder einem gelungenen Cyberangriff höher. In Deutschland gehören aber 99,3 % der Unternehmen zu den KMU, den kleinen und mittleren Unternehmen. Für sie ist Datensicherheit nicht minder wichtig, im Gegenteil: Meist sind sie weniger diversifiziert als „die Großen“. Ein Schlag ins Kontor kann da schnell zur existenzbedrohenden Gefahr werden. Fehlende Ressourcen oder mangelndes Know-how führen häufig dazu, dass das Thema vernachlässigt wird – obwohl mittlerweile den meisten bewusst ist, wie wichtig es ist, und obwohl Standardmaßnahmen wie Mitarbeiterschulungen vielerorts umgesetzt werden.

Klares Vorgehen mit ISIS12

An dieser Stelle setzt das „Informationssicherheitsmanagementsystem in zwölf Schritten“ (ISIS12) des IT-Sicherheitsclusters an. In diesem haben sich Unternehmen der IT-Wirtschaft, Anwender, Forschungs- und Weiterbildungseinrichtungen sowie Juristen zusammengeschlossen. ISIS12 wurde speziell für den Einsatz in kleinen und mittleren Organisationen sowie in Kommunen entwickelt. Sie erhalten damit konkrete Handlungsanweisungen, die Einführung soll innerhalb weniger Tage und mit geringer externer Unterstützung gelingen.

„Der Vorteil von ISIS12 ist nicht nur das stufenweise Vorgehen unter besonderer Berücksichtigung der Menschen, die in den Prozessen beteiligt sind, sondern dass es sehr gut für Unternehmen und Organisationen verschiedener Größen skaliert“, sagt Sandra Wiesbeck, Leiterin des IT-Sicherheitsclusters. Insbesondere das Zusammenspiel aus zwölf klaren Schritten im Vorgehensmodell, nachgelagerten Kontrollfragen und einem auf die Zielgruppe angepassten Maßnahmenkatalog seien Aspekte, die ISIS12 auszeichnen. Die Zahl der zertifizierten Organisationen wächst: Dazu zählen unter anderem Firmen wie Enterbrain oder Staffadvance, vor allem aber Kommunen und öffentliche Einrichtungen wie die Universität Bamberg, der Landkreis Landshut und die Städte Dingolfing, Königsbrunn und Wolfratshausen.

MW-Flyer ISIS12 092020 12-Schritte.jpg
ISIS12: Klare Handlungsanweisungen in zwölf Schritten. (Bild: IT-Sicherheitscluster)

Förderung für Kommunen

Auch die Stadtverwaltung Aichach vertraut auf ISIS12. „Viele Dinge, die bisher alltäglich waren, wurden nun schriftlich und für alle nachvollziehbar dokumentiert. Gerade auf die – in der Hektik des Alltags – oft vernachlässigte Dokumentation wird nun ein verstärktes Augenmerk gelegt“, berichtet Gerhard Wintermayr aus der Stadtverwaltung von dem Mehrwert, den die ISIS12-Zertifizierung aus seiner Sicht bringt. Warum die Wahl auf dieses System fiel? Weil ein System auf Grundlage des IT-Grundschutzes der Verwaltung zu mächtig erschien. Zudem eröffnet es die Möglichkeit, einen externen Berater bei der Einführung des Prozesses hinzuzuziehen.

Das Landratsamt Dillingen verweist auf das Bayerische E-Government-Gesetz, das alle Behörden im Freistaat verpflichtet, ein Information Security Management System (ISMS) einzuführen. „ISIS12 wurde für kleine und mittlere Unternehmen geschaffen und eignet sich ideal für unsere Behördenstruktur und -größe“, sagt Pressesprecher Peter Hurler. Hier wie dort spielte die Informationssicherheit zwar schon vorher eine wichtige Rolle. „Allerdings werden die erforderlichen Maßnahmen durch das Managementsystem nun zusammengefasst und strukturiert abgearbeitet“, so Hurler weiter.

Allerdings ist das ISMS keineswegs auf Bayern beschränkt. So hat etwa das Unabhängige Datenschutzzentrum Saarland die ISIS12-Zertifizierung durchlaufen, auch werden die dortigen Kommunen bei der Einführung durch die Landesregierung unterstützt. Der zunehmend überregionalen Einsatz spiegelt sich in der Menge von spezialisierten ISIS12-Beratern zwischen Niederösterreich und Saarbrücken, von Kempten bis Schwerin. Diese Entwicklung hat sich außerdem in einer Umbenennung niedergeschlagen: Im Frühjahr 2020 änderte der Verein seinen Namen von „Bayerischer It-Sicherheitscluster“ zu „IT-Sicherheitscluster“.

Kommunaleo55q5xke66.jpg
Auf der Kommunale 2019 in Nürnberg wurde der gemeinsame Informations­sicherheits­beauftragte des Landkreises Traunstein Claus Hofmann für seine ISMS-Umsetzung per ISIS12 mit dem IT-Willy in der Kategorie „Landkreis bis 500.000 Einwohner“ als herausragender kommunaler IT-Profi ausgezeichnet. (Bild: Thomas Geiger – NuernbergMesse)

Version 2.0 Richtung ISO-Norm

Seit Frühling 2020 seht ISIS12 in der Version 2.0 bereit. Dafür gab es mehrere Gründe. Zunächst waren die Maßnahmenbeschreibungen bis zur Katalogversion 1.5 an den BSI-Grundschutz 100 angelehnt, den das Bundesamt mittlerweile überarbeitet hat. „Ein weiterer Grund ist die angestrebte Modularisierung unseres ISMS, denn ISIS12 soll durch ein DSGVO– und ein ISO-27001-Modul erweitert werden“, erklärt Sandra Wiesbeck. Gerade KMU seien daran interessiert, bestimmte Bereiche ihrer Arbeit kompatibel zur ISO-Norm zu halten. Teilweise sähen das die Anforderungen von Auftraggebern dieser Firmen sogar vor.

So stellt die Kompatibilität zur ISO-Norm einen Schwerpunkt der aktuellen Entwicklungsarbeit des IT-Sicherheitsclusters dar. Dazu soll es eine weitergehende Publikation geben, die die bisherigen ergänzt. „Derzeit ist im Maßnahmenkatalog unter jedem Baustein neben den dazugehörigen Maßnahmen eine kleine Referenz zu finden, die einerseits auf die ISO/IEC 27001, 27002 verweist, andererseits auf den letzten ISIS12-Katalog in Version 1.5“, so Wiesbeck. Ziel sei, mit Blick auf zertifizierte Projekte eine Durchlässigkeit durch die Versionen und größtmögliche Nutzerfreundlichkeit zu erreichen.

ITK-Regional 2020-02.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT-Unternehmen aus der Region stellen sich vor“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen bereits verfügbaren Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Der Übergang zur Version 2.0 vollzieht sich fließend. Laufende Projekte sind bis Mai 2022 geschützt, während sich Organisationen mit Projektabschlüssen in Version 2.0 bereits zertifizieren lassen können. Neue Projekte starten ohnehin mit der neuen Version. Das Zertifikat besitzt eine Gültigkeit von drei Jahren. Die Einführung von ISIS12 wird im Übrigen unabhängig zertifiziert – von entsprechend lizensierten, qualifizierten und zugelassenen Auditoren der Datenschutz cert GmbH oder der DQS GmbH.

Operational Technology und ISA+

Angestrebt wird darüber hinaus zudem die Entwicklung von Schnittstellen zu verschiedenen anderen Katalogen und eine entsprechende Dynamisierung des gesamten Projekts. „Wir sehen hier beispielsweise KMU vor enormen Herausforderungen mit Blick auf die Operational Technology. Oder was ist etwa mit kritischen Einrichtungen, die nicht zwingend unter die Regularien von KRITIS fallen, die aber ein kleiner skaliertes ISMS dringend benötigen?“, macht Wiesbeck den Bedarf deutlich. Darüber hinaus soll die Basisaufgabe nicht vernachlässigt werden – die Arbeit an der weiteren Verbreitung des Systems: „Es wäre wünschenswert, ISIS12 über die schon existierenden Verbindungen nach Österreich und in die Schweiz zu europäisieren.“

Der IT-Sicherheitscluster hat bereits ein Team von Entwicklern darauf angesetzt, notwendige Schritte für die Zukunftssicherheit des Systems zu erforschen, die langfristig in einer dritten Version münden sollen. Stillstand ist Rückschritt, das weiß man auch in Regensburg: „Die Dynamik in der IT ist derzeit nicht zuletzt wegen der immer weiter reichenden Digitalisierung ungeheuer groß – um nur Industrie 4.0 und KI als Beispiele zu nennen.“ Das stelle gerade kleinere Organisationen vor immer neue Herausforderungen. Selbst das strukturierteste Management von Prozessen der Informationssicherheit wird nicht völlig verhindern können, dass Cyberkriminelle mit Phishing-Mails oder Social Engineering durchdringen können. „Aber das Risiko wird minimiert, wenn nachhaltige Awareness-Maßnahmen wie regelmäßige Schulungen vorausgehen“, ist sich Wiesbeck sicher.

Mit ISA+ führt der Verein zudem ein weiteres Sicherheitsregelwerk im Portfolio. ISA steht als Abkürzung für Informations-Sicherheits-Analyse und setzt noch vor der Einführung eines ISMS an. Mit dem fragenbasierten Tool lässt sich die Sicherheitssituation in einem Unternehmen analysiert.

Serie: ISIS12

Vorgehensmodell-Sicherheitsmanagement-mit-ISIS12.jpg

Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)

Nächste Etappe: angewandte KI

Zukunftsweisend erscheint außerdem AIR (Applied Artificial Intelligence Regensburg). Die Initiative formiert sich gerade überregional, auch der Cluster ist beteiligt. AIR fördert die Kooperation und Vernetzung unterschiedlich großer Firmen, die sich mit maschinellem Lernen in der Anwendung beschäftigen. Ins Leben gerufen wurde die Initiative von der Stadt Regensburg sowie den Hochschulen aus der Stadt und Region. Der Verein will hier mit Blick auf Cybersecurity und KI aktiv werden.

„Zudem bieten wir im Bereich Awareness Veranstaltungen und Weiterbildungen an, etwa unterschiedliche Workshops aus dem Bereich Datenschutz, IT- und Informationssicherheit“, heißt es beim Cluster weiter. Auch die Förderung und Beratung von Start-ups spielt eine wichtige Rolle. „Wir versuchen, uns mit unseren Aktivitäten den Herausforderungen der Digitalisierung zu stellen“, fasst Wiesbeck zusammen.

David Schahinian neu.JPG

David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.

Nützliche Links