Mehr Informationssicherheit: IT-Planungsrat empfiehlt ISIS12

Auch Gutachten der Fraunhofer AISEC bestätigt Eignung für die kommunale Sicherheit

Da die existierenden Sicherheitsstandards, wie ISO/IEC 27001 und BSI Grundschutz für viele Mittelständler oft zu komplex sind, haben die meisten Unternehmen keine Zertifizierung im Bereich Informationssicherheit. Um hier verbessernd einzugreifen, wurde jetzt ein abgespecktes ISMS-System namens ISIS12 entwickelt. Nicht nur für den Mittelstand, sondern auch für kleine und mittlere Kommunalverwaltungen. 

GPP_ISIS12Die zunehmende Zahl an Datendiebstählen, Industriespionage und Sicherheitseinbrüchen zwingt sowohl große als auch kleine Unternehmen, vorsichtiger mit ihren Daten und Informationen umzugehen. Doch wie so oft verhalten sich theoretische Vorgaben und praktische Umsetzungsmöglichkeiten manchmal sehr konträr zueinander. Mit ISIS12 steht dafür nun ein ausgezeichnetes Handbuch zur effizienten Gestaltung von Informationssicherheit zur Verfügung. Mit konkreten Maßnahmen, die anhand praktischer Beispiele in allen relevanten Punkten leicht umzusetzen sind. Und da die komplexen Sicherheitsrichtlinien des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) besonders für Kommunen oft eine harte Nuss sind, empfiehlt der IT-Planungsrat ISIS12 nun offiziell den Einsatz des Systems auch in der kommunalen Sicherheit.

12 überschaubare Schritte 

In der Frühjahrstagung des zentralen Gremiums in der Informationstechnik von Bund und Ländern am Rande der CeBIT in Hannover war die IT-Sicherheit in der öffentlichen Verwaltung eines der zentralen Themen. Das Netzwerk „Informationssicherheit für den Mittelstand (NIM)“ des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in 12 überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien auch für kleinere und mittlere Kommunalverwaltungen aufzeigt. So steht einer der 12 Schritte für eine ordentliche IT-Dokumentation, die bei Problemen und bei auftretenden Störungen dabei helfen soll, möglichst schnell Abhilfe zu schaffen. Ein weiterer großer Vorteil von ISIS12 liegt in genauen Zeitplänen, nachvollziehbaren Projektplänen und übersichtlichen Finanzierungsplänen, was für Geschäftsführer von essentieller Bedeutung ist, um inhaltliche und vor allem zeitliche Entscheidungen richtig zu treffen. Und auch wenn sich jemand erst später dafür entscheiden sollte BSI einzuführen, ist das problemlos möglich, da ISIS12 auf einen Teil des Maßnahmenkataloges von BSI konkret aufsetzt.

Gütesiegel von Fraunhofer und Spitzenverbänden

Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Und auch die Kommunalen Spitzenverbände kommen in ihrer „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ zu dem Ergebnis, dass ISIS12 eine Grundlage für den Ausbau eines Leitlinien-konformen ISMS in Kommunen darstellt.

Rüdiger  Lehmann

Mehr Infos unter: http://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.html

Gerne unterstützen auch wir von der GPP-Service Sie gerne in Sachen ISIS12. Kontaktieren Sie uns hier:

Advertisements

Hereinspaziert… treten Sie näher.

In Sachen sicherer Serverräume handeln viele Unternehmen nur halbherzig. Dabei ist die Vorsorge oft recht einfach.

In 2014 vom Sensor-Hersteller Kentix in 742 Unternehmen durchgeführte Befragungen zur IT-Sicherheit brachten ein erschreckendes Ergebnis: Fast die Hälfte aller Serverräume wiesen gravierende Sicherheitsmängel auf. Ein Zeichen für die viel zitierte „digitale Sorglosigkeit“ ? Es sieht ganz danach aus…

Ausgerechnet da, wo die Daten zentral gesammelt und verteilt werden, scheinen Sicherheitskonzepte über ein Schubladendasein nicht hinaus zu kommen. So ist in fast einem Drittel der Firmen ein separater Serverraum gar nicht erst vorhanden. Vorsichtsmaßnahmen zur Vermeidung von Einbrüchen, Hitze, Feuer oder gegen Wassereinbrüche wurden von fast 40 Prozent der Befragten verneint. Und dort, wo IT-Sicherheit ernster genommen wird, regiert meist die Sparsamkeit: Ein einziger Mitarbeiter ist oft dafür abgestellt, das Team im Umgang mit Kundendaten zu schulen, Prozesse zu kontrollieren und die Überprüfung der physischen Sicherheitsmaßnahmen im Rechenzentrum zu verantworten. Meist in so legerer Weise, dass es kein Problem darstellt, sich unerlaubt Zugang zu verschaffen, um Daten zu kopieren oder zu manipulieren.

Gefährliche Schieflage

Sind Unternehmens-Netzwerke vor digitalen Angriffen durch Viren, DDos-Attacken etc. meist relativ solide geschützt, verfügen 42 Prozent der Befragten über keine Branderkennung, was im Ernstfall dazu führen könnte, den Serverraum komplett der Zerstörung auszusetzen. Bei 47 Prozent der Befragten war die Absicherung ihrer IT auch gegen grundlegende andere physische Risiken, wie beispielsweise einen Spannungsabfall, nur noch mangelhaft. Alles in allem eine gefährliche Schieflage, aus der rasch juristischer und geschäftlicher Ärger entstehen könnte. Denn in den „IT-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI)“ wird beschrieben, warum neben der eigentlichen Empfehlung, wie die einzelnen Maßnahmen umzusetzen sind, Verantwortliche für die Initiierung bzw. für die Umsetzung dieser Maßnahmen notwendig sind und wie sich deren Haftungsbedingungen gestalten. Doch was als „kurze Beschreibung der wesentlichen Rollen“ gut gemeint ist, stellt sich mit mehr als 40 Funktionen in der Praxis rasch als zu aufwendige Zuordnung dar.

Nutzung eines externen IT-Dienstleisters

So ist Kentix-Geschäftsführer Thomas Fritz vom Ergebnis der Studie auch nicht überrascht. Für das Missverhältnis von Anspruch und Wirklichkeit macht er vor allem zwei Ursachen verantwortlich: den Personalmangel und das Tagesgeschäft. Wichtige Sicherheitsregeln in der IT kosten Geld, das sich nicht nur Privatpersonen, sondern auch Unternehmen am liebsten sparen möchten. Doch wie so oft gilt auch hier: Wenn am falschen Ende gespart wird, kann es teuer werden. Eine Lösungsmöglichkeit liegt, wie in vielen anderen Unternehmensbereichen auch, in der Nutzung von Infrastruktur und Fachwissen eines auf IT-Sicherheit spezialisierten externen Dienstleisters. Dies beschränkt die Arbeit des IT-Verantwortlichen im Unternehmen auf die Verwaltung eines Speichersystems. Ohne Investitionen und laufende Kosten für einen teuren Serverraum mit aufwendiger Haustechnik wie Klimatisierung, Feuerlöschanlage oder Zutrittskontrolle der Räume.

Rüdiger Lehmann

Sie wünschen Informationen zum Thema IT-Sicherheit? Kontaktieren Sie uns hier: