Kommunale Informationssicherheit

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

ISIS12 – der perfekte Wegbereiter

© Bayerischer IT-Sicherheitscluster e.V.

Von Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster

Malware, Botnetze und Ransomware – die Gefährdung von Computern und IT-Systemen durch Cyberangriffe 2017 noch einmal stark zugenommen. Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) tauchen täglich etwa 380.000 neue Varianten von Schadsoftware auf. Gleichzeitig verlieren klassische Abwehrmaßnahmen an Wirksamkeit. Mehr als die Hälfte aller Unternehmen war 2015 und 2016 von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Technische Neuerungen und die voranschreitende Digitalisierung eröffnen Cyberangreifern weitere Einfallstore, über die sie Informationen ausspähen, Prozesse sabotieren oder sich anderweitig kriminell bereichern.

Anzeige

Nötig ist ein ganzheitlicher Ansatz

Verwaltungen, kritische Infrastrukturen und Unternehmen – nahezu jede Organisation benötigt eine angemessene IT-Sicherheit. Sie lässt sich aber nur erreichen, wenn sie ganzheitlich umgesetzt wird, also die strategische, personelle und technische Ebene umfasst. Diesen Ansatz verwirklicht ein Informationssicherheitsmanagementsystem (ISMS). Es umfasst Verfahren und Regeln innerhalb einer Verwaltung oder eines Unternehmens, mit denen Informationssicherheit definiert, gesteuert, kontrolliert und fortlaufend verbessert wird.

MW-KITK1709 ID123 ISIS12 001 Wiesbeck.jpg

Sandra Wiesbeck ist Vorstandsvorsitzende und Leiterin des Bayerischen IT-Sicherheitsclusters. Der Zusammenschluss von IT- und Anwenderunternehmen, Universitäten und Instituten erarbeitet in Netzwerken und Projektgruppen konkrete Security- und Safety-Lösungen für den Mittelstand und überschaubare Organisationen.


Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster e.V., Franz-Mayer-Str. 1, 93053 Regensburg, Tel: 0941-60488918, sandra.wiesbeck@it-sec-cluster.de, www.it-sicherheit-bayern.de

Der höchste international anerkannte Standard, der die Anforderungen an ein ISMS spezifiziert, ist die ISO 27001. Die Zertifizierung nach ISO ist betriebswirtschaftlich sinnvoll und gilt als Königsweg in Sachen IT-Sicherheit; in den öffentlichen Verwaltungen wird die ISO-27001-Zertifizierungauf Basis des IT-Grundschutzes als Maß aller Dinge angesehen. Allerdings sind beide Vorgehensweisen sehr zeit- und kostenintensiv. Insbesondere kleinen und mittleren Gebietskörperschaften fehlen die nötigen Ressourcen, um die Systeme umzusetzen.

ISMS für kleine und mittlere Verwaltungen

Eine Lösung hat der Bayerische IT-Sicherheitscluster entwickelt. ISIS12 ist ein von einem Netzwerk innerhalb des Clusters entwickeltes ISMS und speziell auf die Bedürfnisse mittlerer Organisationen zugeschnitten; das System wird vom IT-Planungsrat für den Einsatz in Verwaltungen mit bis zu 500 PC-Arbeitsplätzen empfohlen.

Im Gegensatz zu den abstrakt formulierten Maßnahmen der ISO 27001, gibt ISIS12 dem Anwender einen konkreten Handlungsrahmen vor. Das ISMS wird dabei in zwölf nacheinander zu durchlaufenden Schritten etabliert. Ergänzen lässt es sich durch das Zusatzmodul Datenschutz, mit dem es die neuen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erfüllen kann. Datenschutz ohne ganzheitliches Informationssicherheitskonzept wird im Zeichen der DSGVO immer schwieriger.

KITK1709 ID123 ISIS12 003 Infografik.jpg In zwölf Schritten führt ISIS12 kleine und mittlere Verwaltungen zum eigenen Informationssicherheitsmanagementsystem. (Bild: Bayerisches Sicherheitscluster)

Bayerisches Förderprogramm IT-Sicherheit
Für die bayerischen Verwaltungen gibt es ein Förderprogramm zu Erhöhung des IT-Sicherheitsniveaus. In der aktuellen Förderperiode (2017/18) wurden insgesamt 128 Anträge gestellt; das entspricht einer beantragten Fördersumme von 1.760.348 Euro. 72 der Anträge wurden bisher genehmigt. 20 Kommunen haben außerdem einen Antrag auf vorzeitigen Maßnahmenbeginn gestellt; davon haben drei bereits eine Förderzusage erhalten. Weiterhin haben einige Kommunen signalisiert, dass sie einen Förderantrag stellen möchten. Hier müssen jedoch die jeweiligen Beschlüsse abgewartet werden, die üblicherweise im Herbst gefasst werden.

Mit ISIS12 weist eine Organisation bereits ein hohes Maß an Informationssicherheit nach. Eine solide, in vielen Fällen ausreichende Basis ist damit geschaffen, insbesondere dann, wenn zusätzlich die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) eine Überprüfung vornimmt. Wird ein noch höheres Schutzniveau angestrebt, so ist ISIS12 das perfekte „Basislager“, von dem aus sich der „Gipfelsturm“ vorbereiten und in Angriff nehmen lässt. Denn die Migration zur ISO oder zum IT-Grundschutz verläuft organisch, das Erweiterungsprojekt dockt nahtlos an ISIS12 an – alles, was bereits im Rahmen des ISIS12-Projekts implementiert wurde, kann übernommen und erweitert werden. Ein realistisches Szenario ist, innerhalb eines Jahres ISIS12 einzuführen und das Erreichte zu konsolidieren, um dann im zweiten Jahr die ISO 27001 bzw. den IT-Grundschutz anzuschließen. Auf dieser Basis kann die Migration dann in der Regel innerhalb von zehn Beratertagen erfolgen.

Kommunale ITK 2017-10.jpg
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Reihe „Kommunale ITK“ zur CeBIT 2017. Einen Über­blick mit freien Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Mit dem neuen Zusatzmodul Datenschutz, das bislang nur für die Privatwirtschaft verfügbar war, garantiert das Vorgehensmodell ISIS12 nun auch Verwaltungen die Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Es ermöglicht, gleichzeitig die gesetzlichen Vorgaben nach der Datenschutzgrundverordnung der EU zu erfüllen, die am 25. Mai 2018 in Kraft tritt.

Nützliche Links