ISA+ INFORMATIONS-SICHERHEITS-ANALYSE – EINSTIEG IN DIE INFORMATIONSSICHERHEIT FÜR KMU

Mehr als die Hälfte der Unternehmen in Deutschland (53 %) ist den beiden vergangenen Jahren von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Aber nicht nur Großkonzerne werden Opfer solcher Angriffe. Security-Experten warnen seit Jahren, besonders mittelständische Betriebe, vor wachsenden Sicherheitsrisiken. Um mittelständischen Unternehmen einen schlanken und niederschwelligen Einstieg in die Informationssicherheit zu ermöglichen, hat das Bayerischen IT-Sicherheitscluster e.V. „ISA+ Informations-Sicherheits-Analyse“ entwickelt.
 

DQS und ISA+

ISMS nach ISO/IEC 27001 für KMU zeit- und kostenintensiv
Zwar ist inzwischen ein Bewusstsein für die Bedrohungslage und die Bedeutung der IT-Sicherheit entstanden, doch nur selten werden daraus noch keine Konsequenzen gezogen. Denn der Königsweg zu einer guten IT-Sicherheit, ein Informationssicherheits- Managementsystem (ISMS) gemäß den Anforderungen des international anerkannten Standards ISO/IEC 27001 ist mit einigem Aufwand verbunden. Gerade für kleine und mittlere Unternehmen (KMU) ist die Einführung eines vollumfänglichen ISMS in der Regel zu zeit- und kostenintensiv. „Aufgrund ihrer meist begrenzten Ressourcen haben sie außerdem oft Schwierigkeiten, die Compliance-Anforderungen umzusetzen“, sagt Felix Struve, Projektleiter im Bayerischen IT-Sicherheitscluster e.V. Das Cluster hat deshalb einen „schlanken“ und niedrigschwelligen Einstieg in die IT-Sicherheit geschaffen – speziell zugeschnitten auf KMU: Die ISA+ Informations-Sicherheits-Analyse ermöglicht es Geschäftsführern in komprimierter Form den Ist-Zustand der IT-Sicherheit in ihrem Unternehmen zu erheben. Ein Berater steht bei der aus 50 Fragen bestehenden Analyse unterstützend zur Seite, wertet das Ergebnis aus und erstellt einen für das Unternehmen angemessenen Prozess für IT-Sicherheit mit konkreten Handlungsempfehlungen. 

ISA+ Informations-Sicherheits-Analyse bietet gute Basis zur Weiterentwicklung der IT-Sicherheit
„Das große Plus von ISA+ Informations-Sicherheits-Analyse ist, dass einerseits mit Umsetzung der identifizierten Maßnahmen schon ein gutes Level an IT-Sicherheit erreicht ist, man andererseits aber einen nach oben durchlässigen Weg beschritten hat, der bis zur ISO/IEC 27001 oder zum BSI IT-Grundschutz führen kann“, erklärt Struve. Wer nach ISA+ Informations-Sicherheits-Analyse nicht direkt ein ISMS nach ISO/IEC 27001 implementieren möchte, dem bietet das Bayerische IT-Sicherheitscluster mit ISIS12, einem für KMU entwickeltes ISMS, eine weitere Option. „Damit weist ein Unternehmen bereits ein sehr hohes Maß an IT-Sicherheit nach. Gleichzeitig hat es seine Ausgangsbasis für den Schritt zur ISO/IEC 27001 noch einmal deutlich verbessert“, erklärt Struve. Welcher Weg auch beschritten wird – das stufenweise Vorgehen berücksichtigt alle bereits umgesetzten Maßnahmen und erlaubt es, exakt auf dem bereits Erreichten aufzusetzen. „Auf diese Weise kann auch mit begrenzten Ressourcen die IT-Sicherheit auf einem hohen Niveau verankert werden“, betont Struve.

INTERVIEW MIT MORITZ MÄNNECKE, BERATER FÜR INFORMATIONSSICHERHEIT, NETZHAUS AG

Moritz Männecke: Das Thema Informationssicherheit ist für uns unerlässlich. Bereits 2009 führten wir daher ein Informationssicherheits- Managementsystem (ISMS) auf Basis des BSI IT-Grundschutz ein. Der damit verbundene hohe Arbeitsaufwand sowie die daraus resultierenden Kosten führten allerdings dazu, dass das Projekt nicht mehr fortgeführt wurde. Das Thema IT-Sicherheit war aber weiterhin von großer Relevanz. Daher haben wir nach Alternativen gesucht, die mehr auf die Anforderungen kleiner und mittelständischer Unternehmen ausgerichtet sind. Anfang 2016 kamen wir das erste Mal mit dem ISA+ Informations-Sicherheits-Analyse- Standard   in Berührung. Über Jan Wandrey von AGIDAT, einem zugelassenen ISA+ Informations-Sicherheits-Analyse Berater aus Berlin, sowie dem Bayerischen IT-Sicherheitscluster e.V. erhielten wir erste Informationen.

Männecke: Anhand von 50 Fragen aus den Bereichen Technik, Organisation und Recht kann der aktuelle Stand der Informationssicherheit erfasst werden. Den Fragen sind darüber hinaus Maßnahmenempfehlungen zugeordnet, anhand derer sich der Grad der Informationssicherheit weiter erhöhen lässt. So lässt sich der Fragenkatalog auch als Leitfaden nutzen, um einen Informationssicherheitsprozess im Unternehmen zu etablieren. Neben dem freizugänglichen Fragenkatalog gibt es einen Weiteren, der nur für zugelassene Berater und Zertifizierungsstellen, wie die DQS GmbH zugänglich ist. Er umfasst, zusätzlich zu den Fragen und Maßnahmenempfehlungen, die Beschreibung der einzelnen Reifegrade sowie Methoden zur Erfassung der einzelnen Fragen (Interview, Dokumentenprüfung, etc.). Speziell die Beschreibung der Reifegrade präzisiert die Maßnahmenempfehlungen oftmals stark. Da die Erarbeitung von ISA+ Informations-Sicherheits-Analyse auch komplett in Eigenregie erfolgen kann, ist die präzise Beschreibung der Maßnahmenempfehlungen von großem Wert.

Männecke: Die Bearbeitung aller Fragen und Maßnahmen kann auf zwei Arten erfolgen. Entweder wird der ganze Prozess durch einen zugelassenen Berater begleitet und bearbeitet oder die Erarbeitung erfolgt eigenverantwortlich durch das Unternehmen. Da wir unser bestehendes Know-how noch weiter ausbauen wollten, entschieden wir uns für eine Mischform. Im Rahmen einer Einführungsveranstaltung wurden wir durch Herrn Wandrey mit ISA+ Informations-Sicherheits-Analyse vertraut gemacht und erfassten gemeinsam unseren aktuellen Stand der Informationssicherheit. Die Ausarbeitung der einzelnen Teilprozesse sowie aller damit verbundenen Dokumente (Konzepte, Prozessbeschreibungen, Merkblätter) erfolgte im Anschluss in Eigenregie. Für die Ausarbeitung benötigten wir mehr als 50 Personentage und knapp über ein Jahr Bearbeitungszeit. Während der Umsetzung von ISA+ Informations-Sicherheits-Analyse wurden das bestehende Rollen- und Berechtigungskonzept sowie unser Notfallhandbuch überarbeitet, die Klassifizierung von Daten eingeführt und regelmäßige interne Schulungen etabliert, um nur einige Beispiele zu nennen. Zur Erarbeitung und Umsetzung der einzelnen Maßnahmen waren neben dem ISA+ Informations-Sicherheits-Analyse-Fragenkatalog auch die Maßnahmenkataloge des BSI IT-Grundschutz eine große Hilfestellung. 

Männecke: Die Zertifizierung durch die DQS dauerte einen Tag und wurde durch den Auditor Reinhard Witzke Mitte Dezember 2017 durchgeführt. Herr Witzke verstand es, mit seiner ruhigen und besonnenen Art, strukturiert durch das Audit zu führen. Gerade in einer Extremsituation, wie der Zertifizierung , auf die wir mehr als ein Jahr lang hingearbeitet hatten, waren das Eigenschaften, die wir sehr zu schätzen wussten. Mit 150 von 150 möglichen Punkten erreichten wir ein hervorragendes Ergebnis und haben nun einen für uns passenden Informationssicherheitsprozess etabliert. Besonderen Dank möchten wir an dieser Stelle Herrn Wandrey und Herrn Witzke aussprechen. Auch Herrn Struve vom Bayerischen IT-Sicherheitscluster e.V., der uns mit Rat und Tat zur Seite stand, gilt unser Dank.

Männecke: Mit ISA+ Informations-Sicherheits-Analyse haben wir eine Möglichkeit gefunden, das Thema Informationssicherheit in gebotener und strukturierter Weise anzugehen. Darüber hinaus sind wir durch die Erarbeitung der umfangreichen Maßnahmen nunmehr in der Lage, unseren Kunden ein breites und fundiertes Angebot an Dienstleistungen im Bereich der Informationssicherheit anbieten zu können. 

Über netzhaus AG

Die netzhaus AG ist ein klassisches IT-Systemhaus. Das Unternehmen berät und betreut Organisationen in allen Fragen rund um ihre IT. Dabei reicht das Dienstleistungsportfolio von der Bereitstellung von IT-Infrastruktur im eigenen Rechenzentrum über den Anwendersupport bis hin zum Hosting von Webdiensten.