Geordnete Bedarfsanalyse zur kommunalen Informationssicherheit
Von Felix Struve, IT-Sicherheitscluster e.V.
Erpressung, Datendiebstahl oder Manipulation – längst werden nicht mehr nur Großkonzerne und mittelständische Unternehmen Opfer von Cyberangriffen. Zunehmend sehen sich auch Kommunen und andere öffentliche Stellen wachsenden Sicherheitsrisiken ausgesetzt. Über 500 Hackerattacken auf das bayerische Behördennetz gab es laut Landesamt für Sicherheit in der Informationstechnik (LSI) allein im Oktober 2019. Um gerade kleineren Kommunen einen schlanken und niederschwelligen Einstieg in die Informationssicherheit zu ermöglichen, wurde im Bayerischen IT-Sicherheitscluster in Regensburg die ISA+Informations-Sicherheits-Analyse entwickelt, die jetzt in einer aktualisierten Fassung vorliegt.
50 praktische Fragen zum Sicherheitsniveau
50 Fragen sind es, mit denen öffentliche Einrichtungen einen einfachen Einstieg ins Thema Informationssicherheit finden können. Sie umfassen allgemeine Themen (Organisationsgröße, Anzahl der Mitarbeiter etc.) ebenso wie Organisation, Technik und IT-Sicherheit sowie Recht (Compliance, Leistungen Dritter, Datenschutz etc.).
Mithilfe der Analyse wird erst einmal der Status quo aufgenommen, daraus werden dann im nächsten Schritt konkrete Verbesserungen abgeleitet. Die ISA+Informations-Sicherheits-Analyse wird jährlich aktualisiert und bleibt so auf dem neuesten Stand. Und so wurde in der aktuellen Version, die 2020 erschienen ist, nicht nur die Nummerierung angepasst, sondern man hat auch Begrifflichkeiten geschärft sowie technische und rechtliche Neuerungen berücksichtigt. Die Fragen sind sehr praxisnah und beruhen auf Best Practices.
Der öffentliche Fragenkatalog (ohne die Reifegrade) gibt einen ganz guten Eindruck davon, wie die ISA+Bedarfsanalyse dann im Einzelfall abläuft. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Der Fragenkatalog ist so beschaffen, dass Organisationen ihn selbst durcharbeiten können: eine praktische Hilfe zur Selbsthilfe, könnte man sagen. Das hat auch Claus Hofmann überzeugt, IT- Sicherheitsbeauftragter für die Kommunen im Landkreis Traunstein. Er stand vor der Aufgabe, ein einheitliches Sicherheitsniveau zu schaffen, das für die Kommunen auch erreichbar ist und zugleich die gesetzlichen Anforderungen erfüllt. Mit dem Standard ISA+ war es ihm möglich, in kurzer Zeit für 32 Kommunen des Landkreises ein funktionierendes Informationssicherheitsmanagement (ISMS) einzuführen. „Ich würde ISA+ jederzeit wieder als Standard wählen und kann es den kleineren Kommunen als Einstieg nur empfehlen“, so Hofmann.
Beratung und konkrete Handlungsempfehlungen
Unterstützung bei der Umsetzung gibt es bei Bedarf von ausgebildeten Beratern. Sie werten das Ergebnis anhand von Reifegraden in vier Stufen aus. Daraus ergibt sich der aktuelle Grad der Informationssicherheit mit seinen Stärken und Schwächen. Auf dieser Basis wird ein angemessener Prozess für IT-Sicherheit erstellt, und die Kommune bekommt ganz konkrete Handlungsempfehlungen zur weiteren Verbesserung.
Neben der reinen Ermittlung des Status quo lässt sich der Fragenkatalog vollständig oder in Auszügen auch als Instrument im Rahmen von IT-Prüfungen, Jahresabschlussprüfungen oder Beratungsprojekten zum Informationsrisiko- oder Informationssicherheitsmanagement einsetzen. „Ich kann daher sagen, dass ISA+Informations-Sicherheits-Analyse nicht auf KMU/Organisationen mit wenigen Mitarbeitern eingeschränkt ist“, ist das Fazit von Frank Fukala (Geschäftsführer der ID square Beratung GmbH und akkreditierter ISA+Berater), der auch an der Entwicklung des Fragenkatalogs beteiligt war.
Drei Praxistipps für die ISA+Einführung
Frank Fukala gibt die folgenden Tipps für die erfolgreiche Einführung der ISA+Informations-Sicherheits-Analyse.
- Unterstützung von oben: Ein Stolperstein bei der Umsetzung ist in vielen Fällen die fehlende oder unzureichende Unterstützung durch die Geschäftsleitung hinsichtlich des Budgets und der Bereitstellung von Ressourcen. Informationssicherheit sollte aber Chefsache sein.
- Die Frage 0: bevor sich eine Organisation mit den ISA+Fragen 1 bis 50 beschäftigt, sollte eines zuerst und vollständig geklärt sein, rät Frank Fukala: „Welches sind unsere zeitkritischen Geschäftsprozesse, welches sind unsere daraus abgeleiteten wichtigen IT-Systeme (Applikation), was und wo sind unsere ‚wertvollen‘ Daten (wertvoll für die Organisation bzw. wertvoll im Sinne von Sanktionen bei Verlust oder Missbrauch)?“
- Benzin, Chauffeur und Werkstatt: Informationssicherheit lässt sich gut mit einem Motor vergleichen. Zuerst muss ich den Motor konzipieren, indem ich Frage 0 beantworte. Der Bau erfolgt im Implementierungsprojekt bei der Durcharbeitung der Fragen 1 bis 50. Dann kann ich den Motor starten. Aber damit er dann auch verlässlich läuft, muss der Motor kontinuierlich mit Energie versorgt werden (z.B. braucht er Ressourcen und geregelte Verantwortlichkeiten) und gewartet werden (regelmäßig überprüft und anlassbezogen angepasst).
Mehr Informationssicherheit, zertifiziert und gefördert
Inzwischen kann man sich die erfolgreiche Einführung der ISA+Informations-Sicherheits-Analyse auch durch die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) zertifizieren lassen und somit auch ein positives Zeichen gegenüber Kunden und Geschäftspartnern setzen.
Mit Blick auf die wachsende Anzahl der Cyberangriffe auf kommunale Systeme ist die Verbesserung der Informationssicherheit immer ein lohnendes Unterfangen. Zusätzlich attraktiv werden solche Vorhaben durch Förderprogramme wie go-digital, die auch bei der Einführung der ISA+Informations-Sicherheits-Analyse unterstützen.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)