ISIS12 – der perfekte Wegbereiter
Von Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster
Malware, Botnetze und Ransomware – die Gefährdung von Computern und IT-Systemen durch Cyberangriffe 2017 noch einmal stark zugenommen. Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) tauchen täglich etwa 380.000 neue Varianten von Schadsoftware auf. Gleichzeitig verlieren klassische Abwehrmaßnahmen an Wirksamkeit. Mehr als die Hälfte aller Unternehmen war 2015 und 2016 von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Technische Neuerungen und die voranschreitende Digitalisierung eröffnen Cyberangreifern weitere Einfallstore, über die sie Informationen ausspähen, Prozesse sabotieren oder sich anderweitig kriminell bereichern.
Nötig ist ein ganzheitlicher Ansatz
Verwaltungen, kritische Infrastrukturen und Unternehmen – nahezu jede Organisation benötigt eine angemessene IT-Sicherheit. Sie lässt sich aber nur erreichen, wenn sie ganzheitlich umgesetzt wird, also die strategische, personelle und technische Ebene umfasst. Diesen Ansatz verwirklicht ein Informationssicherheitsmanagementsystem (ISMS). Es umfasst Verfahren und Regeln innerhalb einer Verwaltung oder eines Unternehmens, mit denen Informationssicherheit definiert, gesteuert, kontrolliert und fortlaufend verbessert wird.
Sandra Wiesbeck ist Vorstandsvorsitzende und Leiterin des Bayerischen IT-Sicherheitsclusters. Der Zusammenschluss von IT- und Anwenderunternehmen, Universitäten und Instituten erarbeitet in Netzwerken und Projektgruppen konkrete Security- und Safety-Lösungen für den Mittelstand und überschaubare Organisationen.
Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster e.V., Franz-Mayer-Str. 1, 93053 Regensburg, Tel: 0941-60488918, sandra.wiesbeck@it-sec-cluster.de, www.it-sicherheit-bayern.de
Der höchste international anerkannte Standard, der die Anforderungen an ein ISMS spezifiziert, ist die ISO 27001. Die Zertifizierung nach ISO ist betriebswirtschaftlich sinnvoll und gilt als Königsweg in Sachen IT-Sicherheit; in den öffentlichen Verwaltungen wird die ISO-27001-Zertifizierungauf Basis des IT-Grundschutzes als Maß aller Dinge angesehen. Allerdings sind beide Vorgehensweisen sehr zeit- und kostenintensiv. Insbesondere kleinen und mittleren Gebietskörperschaften fehlen die nötigen Ressourcen, um die Systeme umzusetzen.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
ISMS für kleine und mittlere Verwaltungen
Eine Lösung hat der Bayerische IT-Sicherheitscluster entwickelt. ISIS12 ist ein von einem Netzwerk innerhalb des Clusters entwickeltes ISMS und speziell auf die Bedürfnisse mittlerer Organisationen zugeschnitten; das System wird vom IT-Planungsrat für den Einsatz in Verwaltungen mit bis zu 500 PC-Arbeitsplätzen empfohlen.
Im Gegensatz zu den abstrakt formulierten Maßnahmen der ISO 27001, gibt ISIS12 dem Anwender einen konkreten Handlungsrahmen vor. Das ISMS wird dabei in zwölf nacheinander zu durchlaufenden Schritten etabliert. Ergänzen lässt es sich durch das Zusatzmodul Datenschutz, mit dem es die neuen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erfüllen kann. Datenschutz ohne ganzheitliches Informationssicherheitskonzept wird im Zeichen der DSGVO immer schwieriger.
In zwölf Schritten führt ISIS12 kleine und mittlere Verwaltungen zum eigenen Informationssicherheitsmanagementsystem. (Bild: Bayerisches Sicherheitscluster)
Für die bayerischen Verwaltungen gibt es ein Förderprogramm zu Erhöhung des IT-Sicherheitsniveaus. In der aktuellen Förderperiode (2017/18) wurden insgesamt 128 Anträge gestellt; das entspricht einer beantragten Fördersumme von 1.760.348 Euro. 72 der Anträge wurden bisher genehmigt. 20 Kommunen haben außerdem einen Antrag auf vorzeitigen Maßnahmenbeginn gestellt; davon haben drei bereits eine Förderzusage erhalten. Weiterhin haben einige Kommunen signalisiert, dass sie einen Förderantrag stellen möchten. Hier müssen jedoch die jeweiligen Beschlüsse abgewartet werden, die üblicherweise im Herbst gefasst werden.
Mit ISIS12 weist eine Organisation bereits ein hohes Maß an Informationssicherheit nach. Eine solide, in vielen Fällen ausreichende Basis ist damit geschaffen, insbesondere dann, wenn zusätzlich die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) eine Überprüfung vornimmt. Wird ein noch höheres Schutzniveau angestrebt, so ist ISIS12 das perfekte „Basislager“, von dem aus sich der „Gipfelsturm“ vorbereiten und in Angriff nehmen lässt. Denn die Migration zur ISO oder zum IT-Grundschutz verläuft organisch, das Erweiterungsprojekt dockt nahtlos an ISIS12 an – alles, was bereits im Rahmen des ISIS12-Projekts implementiert wurde, kann übernommen und erweitert werden. Ein realistisches Szenario ist, innerhalb eines Jahres ISIS12 einzuführen und das Erreichte zu konsolidieren, um dann im zweiten Jahr die ISO 27001 bzw. den IT-Grundschutz anzuschließen. Auf dieser Basis kann die Migration dann in der Regel innerhalb von zehn Beratertagen erfolgen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Reihe „Kommunale ITK“ zur CeBIT 2017. Einen Überblick mit freien Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Mit dem neuen Zusatzmodul Datenschutz, das bislang nur für die Privatwirtschaft verfügbar war, garantiert das Vorgehensmodell ISIS12 nun auch Verwaltungen die Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Es ermöglicht, gleichzeitig die gesetzlichen Vorgaben nach der Datenschutzgrundverordnung der EU zu erfüllen, die am 25. Mai 2018 in Kraft tritt.