DQS im Dialog
DQS Website Abonnieren

IT-Sicherheit für KMU: Mit ISA+ Defizite entdecken!

Wie groß ist der Bedarf von KMU an Informationssicherheit und wie können sie ihn decken? Genau das erfahren Sie mit der ISA+Informations-Sicherheits-Analyse (kurz: ISA+)! Das DQS-Zertifikat nach ISA+ bestätigt Ihnen schließlich die erfolgreiche Umsetzung aller Handlungsempfehlungen.
© iStock IT Sicherheit KMU

Laut einer Forsa-Umfrage vom April 2018 unter deutschen KMU (kleine und mittlere Unternehmen) zum Thema Informationssicherheit glauben rund 75 % der Antwortenden, dass das Risiko von Cyber-Attacken für den Mittelstand hierzulande sehr hoch ist. Dass sie selbst Opfer von Angriffen werden könnten, hält jedoch nur ein Drittel für wahrscheinlich. Der Bedarf an Informationssicherheit wird also offensichtlich unterschätzt. ISA+ ist gerade für den Mittelstand in Deutschland ein probates Werkzeug, dieses Defizit auszugleichen.

Reifegrade in vier Stufen

Das Verfahren wurde vom Bayerischen IT-Sicherheitscluster e.V. entwickelt, einem Zusammenschluss von Unternehmen, Hochschulen, Forschungs- und Weiterbildungseinrichtungen und Juristen, deren gemeinsames Interesse der Informationssicherheit gilt. Es sieht vor, zunächst den Informationssicherheitsbedarf eines Unternehmens anhand eines speziellen Fragenkatalogs zu ermitteln. Ein akkreditierter Berater gleicht dabei die zu jeder Frage gegebenen Handlungsempfehlungen mit den Antworten der Unternehmen ab, und zwar anhand von Reifegraden in vier Stufen.

Daraus ergibt sich der aktuelle Grad der Informationssicherheit mit Stärken und Schwächen. Der Berater ermittelt auf dieser Basis, welche Maßnahmen mit Blick auf einen wirksamen Informationssicherheitsprozess notwendig sind. Als Nachweis für die Wirksamkeit dieses Prozesses kann sich das Unternehmen von der DQS, dem Zertifizierungspartner des Bayerischen IT-Sicherheitsclusters für ISA+ zertifizieren lassen.

50 praxisbezogene IT-Sicherheits-Fragen

Der Fragenkatalog umfasst 50 sehr praxisbezogen formulierte Fragen, die sich bei guter Vorbereitung und Unterstützung des akkreditierten Beraters gut beantworten lassen. Sie sind in folgende Kapitel unterteilt:

  • allgemeine Themen (Unternehmensgröße, Anzahl der Mitarbeiter etc.)
  • Organisation (Richtlinien, Anweisungen, Schulung, Verantwortlichkeit etc.)
  • Technik und IT-Sicherheit (vorhandene IT-Systeme, Datensicherung, Notfallvorsorge etc.)
  • Recht (Compliance, Leistungen Dritter, Datenschutz etc.)

ISA+ – für welches Unternehmen?

Das vor allem für KMU gedachte Verfahren erleichtert den Einstieg in die Informationssicherheit durch eine übersichtliche und leicht verständliche Herangehensweise, die den teilnehmenden Unternehmen keine tiefgreifenden Kenntnisse zur Informationssicherheit abverlangt – ein großer Vorteil z. B. für eher betriebswirtschaftlich orientierte Führungskräfte, die das Verfahren in ihrem Unternehmen ohne zusätzlichen Aufwand begleiten können.

Eine ganze Reihe von KMU hat sich bereits für ISA+ entschieden. Nicht nur aus der freien Wirtschaft, sondern auch viele kommunale Stellen und öffentlich-rechtliche Gebietskörperschaften, wie der Zweckverband der Abfallwirtschaft Kempten (ZAK). Das Unternehmen wurde vor einiger Zeit von der DQS – Kooperationspartner des Bayerischen IT-Sicherheitsclusters – an zwei Tagen auditiert. Am ersten Tag nahm DQS-Auditor Johann Grünauer bei dem bestens vorbereiteten Unternehmen zunächst eine Akteneinsicht vor, mit der bereits 33 Fragen des Katalogs abgedeckt werden konnten. Am zweiten Tag folgte eine Begehung der drei Standorte mit Interviews (14 Fragen) und Beobachtungen des Auditors (3 Fragen).

Auf ISA+ lässt sich aufbauen

Mit dieser Initiative in Richtung vollumfänglicher Informationssicherheit kann sich ein Unternehmen entscheiden, wie es sich für die Zukunft aufstellen möchte: Ob es bei ISA+ bleibt oder ob eine Weiterentwicklung sinnvoll ist. Zur Aufstockung gibt es mehrere Optionen: entweder die Einführung des Regelwerks ISIS12, das ebenfalls vom Bayerischen IT-Sicherheitscluster für KMU entwickelt wurde, jedoch auf höherem Niveau agiert, evtl. eine Implementierung des BSI-IT-Grundschutzes oder aber der direkte Einstieg in die Welt der ISO-Normen mit Einführung und Zertifizierung eines Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 – sicher die Königsdisziplin in der Informationssicherheit, aber mit entsprechend höherem Kosten- und Zeitaufwand. Mit dem ersten Schritt zu ISA+ (und ggf. ISIS12) schafft ein Unternehmen auf jeden Fall ein gutes Schutz-Niveau, auf das bei der Implementierung höherer Informationssicherheitsstufen, bis hin zu einem ISMS nach ISO 27001, aufgebaut werden kann.

Mehr zum Thema ISA+ erfahren

Diese Informationen halten wir auch noch für Sie bereit:

  • Die Vorteile von ISA+ im Überblick
  • Die wichtigsten Infos zum Regelwerk
  • Kontakt für ein kostenfreies Angebot zu ISA+
Jetzt mehr erfahren!