So sehen sich KMU einer steigenden Anzahl von Cyberangriffen ausgesetzt, die in ihrer Ausführung zunehmend zielgerichteter und professioneller werden. Phishing-Versuche, kompromittierte Webseiten, Social-Engineering-Angriffe sind nur wenige Beispiele von Angriffen, die tagtäglich zu beobachten sind.
Laut einer von Kaspersky in Auftrag gegebenen Studie „IT Security Risks Survey 2014“ entstanden 2014 im Durchschnitt 41.000 Euro Schaden pro erfolgreichem Angriff auf mittelständische Unternehmen. Diese Kosten können sich schnell zu einem existenzbedrohenden Faktor für KMU entwickeln.
Zwar steigt das Bewusstsein für das Thema IT-Sicherheit in KMU, eine strukturierte Auseinandersetzung mit dem Thema, beispielsweise durch die Etablierung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS), ist aber in den wenigsten Fällen zu beobachten. Der Grund dafür liegt häufig in der für KMU nicht zu bewältigenden Komplexität und dem entsprechend hohen finanziellen Aufwand bei der Implementierung bisher existierender Verfahren wie dem BSI IT-Grundschutz oder dem ISO/IEC27001 Standard.
ISIS12 - Informationssicherheit für KMU
Vor diesem Hintergrund entwickelte das Netzwerk für Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitsclusters e.V. mit ISIS12 ein speziell auf die Anforderung von KMU angepasstes Vorgehensmodell zur Implementierung eines ISMS. Das ISMS wird in 12 aufeinanderfolgenden Schritten mit klar formulierten Handlungsanweisungen im Unternehmen eingeführt. Im Vergleich zu den Verfahren nach BSI IT-Grundschutz oder ISO/IEC27001 benötigt ISIS12 etwa nur ein Viertel des Aufwands und ermöglicht es KMU, die Informationssicherheit auf ein hohes, aber dennoch vom Aufwand leistbares Maß zu steigern. ISIS12 wird zudem durch das Bayerische Ministerium des Inneren, für Bau und Verkehr unterstützt und darüber hinaus durch den IT-Planungsrat empfohlen.
Wie bereits beschrieben, etabliert ISIS12 ein ISMS mittels eines zyklischen Vorgehensmodells, das sich in drei Phasen und 12 aufeinanderfolgende Schritte unterteilt. Der Workflow wird zudem durch ein eigens entwickeltes, unterstützendes Softwaretool abgebildet. Eine Zertifizierung der Umsetzung des ISIS12-Vorgehensmodells ist zudem durch einen etablierten internationalen Zertifizierer DQS möglich.
Phase 1 - Initialisierung
Schritt 1: Erstellung einer informationssicherheits-Leitlinie im Unternehmen
Schritt 2: Sensibilisierung aller Mitarbeiter an rechnergestützten Arbeitsplätzen
Phase 2 - Festlegen der Aufbau- und Ablauforganisation
Schritt 3: Aufbau und Organisation eines Informationssicherheitsteams
Schritt 4: Erstellen der IT-Dokumentation samt Rahmendokumente, IT-Betriebshandbuch und IT-Notfallhandbuch
Schritt 5: Einführung der IT-Service-Management-Prozesse Änderung. Wartung und Störungsbeseitigung
Phase 3 - Entwicklung und Umsetzung
Schritt 6: Identifikation und Bewertung kritischer Anwendungen
Schritt 7: Analyse der IT-Infrastruktur
Schritt 8: Modellierung der Sicherheitsmaßnahmen
Schritt 9: Ist/Soll Vergleich zu den Sicherheitsmaßnahmen
Schritt 10: Planung der Umsetzung offener Sicherheitsmaßnahmen
Schritt 11: Praktische Umsetzung
Schritt 12: Revision – kontinuierliche Überprüfung des ISMS auf Aktualität und Wirksamkeit
In unserer Eigenschaft als Mitentwickler des ISIS12-Vorgehensmodells und in der Funktion als ISIS12-Netzwerkmitglied beraten wir Sie gerne unverbindlich zum Thema ISIS12.