IT-Sicherheit in KMU und Behörden: ISIS12
Mittwoch, 19. August 2015

IT-Sicherheit in KMU und Behörden: ISIS12

99% der Unternehmen in Deutschland sind der Gruppe der kleinen und mittelständischen Unternehmen (KMU) zuzuordnen. KMU gelten als die Hauptantriebskraft für wirtschaftliches Wachstums und Innovation in Deutschland und Europa. Dabei profitieren KMU auch entsprechend von der technologischen Weiterentwicklung, der zunehmend leistungsfähigeren IT-Systeme und der steigenden Vernetzung der Lebens- und Arbeitsbereiche.

Neben vieler Vorteile, die sich aus dem technologischen Fortschritt und den immer komplexeren IT-Infrastrukturen ergeben, entstehen auch zahlreiche Herausforderungen für die IT-Sicherheit.

So sehen sich KMU einer steigenden Anzahl von Cyberangriffen ausgesetzt, die in ihrer Ausführung zunehmend zielgerichteter und professioneller werden. Phishing-Versuche, kompromittierte Webseiten, Social-Engineering-Angriffe sind nur wenige Beispiele von Angriffen, die tagtäglich zu beobachten sind.

Laut einer von Kaspersky in Auftrag gegebenen Studie „IT Security Risks Survey 2014“ entstanden 2014 im Durchschnitt 41.000 Euro Schaden pro erfolgreichem Angriff auf mittelständische Unternehmen. Diese Kosten können sich schnell zu einem existenzbedrohenden Faktor für KMU entwickeln.

Zwar steigt das Bewusstsein für das Thema IT-Sicherheit in KMU, eine strukturierte Auseinandersetzung mit dem Thema, beispielsweise durch die Etablierung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS), ist aber in den wenigsten Fällen zu beobachten. Der Grund dafür liegt häufig in der für KMU nicht zu bewältigenden Komplexität und dem entsprechend hohen finanziellen Aufwand bei der Implementierung bisher existierender Verfahren wie dem BSI IT-Grundschutz oder dem ISO/IEC27001 Standard.

ISIS12 - Informationssicherheit für KMU

Vor diesem Hintergrund entwickelte das Netzwerk für Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitsclusters e.V. mit ISIS12 ein speziell auf die Anforderung von KMU angepasstes Vorgehensmodell zur Implementierung eines ISMS. Das ISMS wird in 12 aufeinanderfolgenden Schritten mit klar formulierten Handlungsanweisungen im Unternehmen eingeführt. Im Vergleich zu den Verfahren nach BSI IT-Grundschutz oder ISO/IEC27001 benötigt ISIS12 etwa nur ein Viertel des Aufwands und ermöglicht es KMU, die Informationssicherheit auf ein hohes, aber dennoch vom Aufwand leistbares Maß zu steigern. ISIS12 wird zudem durch das Bayerische Ministerium des Inneren, für Bau und Verkehr unterstützt und darüber hinaus durch den IT-Planungsrat empfohlen.

Wie bereits beschrieben, etabliert ISIS12 ein ISMS mittels eines zyklischen Vorgehensmodells, das sich in drei Phasen und 12 aufeinanderfolgende Schritte unterteilt. Der Workflow wird zudem durch ein eigens entwickeltes, unterstützendes Softwaretool abgebildet. Eine Zertifizierung der Umsetzung des ISIS12-Vorgehensmodells ist zudem durch einen etablierten internationalen Zertifizierer DQS möglich.

Phase 1 - Initialisierung

Schritt 1: Erstellung einer informationssicherheits-Leitlinie im Unternehmen

Schritt 2: Sensibilisierung aller Mitarbeiter an rechnergestützten Arbeitsplätzen

Phase 2 - Festlegen der Aufbau- und Ablauforganisation

Schritt 3: Aufbau und Organisation eines Informationssicherheitsteams

Schritt 4: Erstellen der IT-Dokumentation samt Rahmendokumente, IT-Betriebshandbuch und IT-Notfallhandbuch

Schritt 5: Einführung der IT-Service-Management-Prozesse Änderung. Wartung und Störungsbeseitigung

Phase 3 - Entwicklung und Umsetzung

Schritt 6: Identifikation und Bewertung kritischer Anwendungen

Schritt 7: Analyse der IT-Infrastruktur

Schritt 8: Modellierung der Sicherheitsmaßnahmen

Schritt 9: Ist/Soll Vergleich zu den Sicherheitsmaßnahmen

Schritt 10: Planung der Umsetzung offener Sicherheitsmaßnahmen

Schritt 11: Praktische Umsetzung

Schritt 12: Revision – kontinuierliche Überprüfung des ISMS auf Aktualität und Wirksamkeit

In unserer Eigenschaft als Mitentwickler des ISIS12-Vorgehensmodells und in der Funktion als ISIS12-Netzwerkmitglied beraten wir Sie gerne unverbindlich zum Thema ISIS12.

ISIS12

Dr. Oliver Gmelch
Ihr Ansprechpartner:
Dr. Oliver Gmelch - Informationssicherheit und IT-Security
Kontaktaufnahme »
Weitere Beiträge in dieser Kategorie: