ISIS12®– Rahmenwerk für die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems

​veröffentlicht am 8. Januar 2016

 

Die Anforderungen an Informations- und IT-Sicherheit steigen zunehmend. Einerseits fordern die Bürger, Kunden, Mitarbeiter und Partner der Kommunen einen sicheren und vertrauensvollen Umgang mit deren sensiblen Daten und Informationen. Andererseits steigt mit zunehmender Bedrohung auch der Handlungsdruck, der seitens des Gesetzgebers durch Gesetze und Verordnungen auf die Kommunen einwirkt. Mit ISIS12® steht den Kommunen sowie den Eigen- und Beteiligungs-gesellschaften ein Rahmenwerk zur Verfügung, mit dem sie mit vertretbarem Aufwand das Sicherheitsniveau im Bereich Information und IT deutlich erhöhen können.

 

Im Juli 2015 hat das Bayerische Staatsministerium des Inneren, für Bau und Verkehr die Kommunen in Bayern darüber informiert, dass diese bis 2018 ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu zertifizieren haben. Um diese Forderung zu flankieren, stellt das Ministerium unter bestimmten Rahmenbedingungen Mittel zur Verfügung. Auch die Sächsische Aufbaubank stellt Fördermittel für Projekte zur Verfügung, die mit der Einführung bzw. Zertifizierung zu einem Informationssicherheitsmanagementsystem in Verbindung stehen. Die Fördermöglichkeiten sollten jedoch nur die Hürden absenken, ein ISMS einzuführen. Hieraus den Grund abzuleiten, ist nicht zielführend.
 

Ausgangssituation

Es ist sicherlich jedem zwischenzeitlich deutlich geworden, dass Daten und Informationen in vielfacher Hinsicht von Interesse sind. Daten und Informationen sind das „Gold” der Zukunft aber auch Grundlage für stetig raffinierter werdende kriminelle Handlungen. Im schlimmsten Fall werden „erbeutete” Daten und Informationen dazu verwendet, Schaden im großen Stil zu verursachen. Die vielen Presseberichte sind sicherlich noch jedem im Bewusstsein.
 
Eine hundertprozentige Sicherheit kann niemand bieten, aber zwischenzeitlich würde auch niemand mehr Verständnis dafür aufbringen, wenn nicht ein gewisses Maß an Vorkehrungen zum Schutz der Daten und Informationen getroffen wurde und wird. Ein „Wer will, der kommt an unsere Daten” ist keine Einstellung, die heute noch akzeptiert wird.
 

Wie stellt man fest und gewährleistet dauerhaft, dass ein „gewisses Maß” an Vorkehrungen vorliegt?

Hierzu orientiert man sich idealerweise an einem erprobten und schlüssigen Rahmen. In der Vergangenheit waren dies die Regelwerke zum BSI Grundschutz bzw. ISO 27001ff. Diese Rahmenwerke sind jedoch für eine Organisation mit um die 1.000 Arbeitsplätzen so mächtig, dass die Wirksamkeit nicht immer in Relation zum Aufwand steht.
  
Daher wurde in einem Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. ISIS12® entwickelt und dies beschreibt ein Vorgehensmodell, das eher auf die Bedürfnisse von kleineren und mittleren Kommunen sowie deren Eigen- und Beteiligungsgesellschaften zugeschnitten ist. Dabei orientiert sich ISIS12® am BSI-Grundschutz und kann in andere Managementsysteme integriert werden, sodass selbst bei einem Start mit ISIS12® einer Weiterentwicklung nichts im Wege steht. Ein Informations-Sicherheitsmanagementsystem ist ein wiederkehrender Prozess, der in der Kernverwaltung bzw. im Unternehmen Einzug finden muss, um Informationssicherheit zu gewährleisten. ISIS12® beschreibt ein sequenzielles Verfahren in zwölf Schritten, das hierbei unterstützt.
 

Nach Abschluss des elften Schritts kann ein zertifizierter ISIS12®- Auditor der DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) nach dem ISIS12®-Auditierungs- und Zertifizierungsschema die Kernverwaltung bzw. das Unternehmen prüfen. Bei positiver Prüfung erteilt die DQS das ISIS12®- Zertifikat, das eine Gültigkeit von drei Jahren hat. Mit dem ISIS12®-Zertifikat weist die Verwaltung bzw. das Unternehmen nach, dass ISIS12® erfolgreich eingeführt ist und bescheinigt somit höchste Qualität.

   
Einschätzung der derzeitigen Situation

Rödl & Partner begrüßt diese Aktivität außerordentlich, da wir auch der Meinung sind, dass das IT-Sicherheitsniveau insgesamt in Wirtschaft und Verwaltung erhöht werden muss. Die Herangehensweise über ein „aufwandsreduziertes” Managementsystem ISIS12® und die vereinzelte Förderung sollten einen guten Einstieg bieten.
 
Rödl & Partner hat sich entschlossen, ISIS12® mit zu befördern und ist als ISIS12®-Dienstleister lizenziert und zertifiziert.

  
Innerhalb dieser empfohlenen Herangehensweise sehen wir aber deutlich den Bedarf, den Blick für das Ganze nicht zu verlieren. Was meinen wir damit?
 

Interkommunale Zusammenarbeit als Grundmodell

Schaut man auf die vielen kommunalen Gebietskörperschaften unterschiedlichster Größe, so ist es schwer vorstellbar, wie es einzelne (und insbesondere mittlere und kleinere) Kommunen schaffen sollten, den nach der Einführung notwendigen dauerhaften Betrieb eines ISMS wirksam sicherzustellen.
  
Wir sind der Meinung, dass sich das Projekt und der spätere Betrieb nur über eine interkommunale Zusammenarbeit (IKZ) wirksam und erfolgreich umsetzen lassen werden.
 
Dabei sehen wir uns als pragmatischer Partner mit langjähriger Kommunalerfahrung, um die Kommunen zu unterstützen, eine entsprechende Projekt- und Betriebsorganisation auf den Weg zu bringen. Das ist aber nur die halbe Miete mit Blick auf eine aufwandsarme und dennoch wirksame Umsetzung.
 

Kommune ist nicht gleich Kommune

Die technischen Ausgangssituationen in den kreisangehörigen Städten und Gemeinden sind oftmals extrem unterschiedlich, was sich bei einer interkommunalen Zusammenarbeit dann nicht als Vorteil herausstellen würde. Die eine Kommune betreibt überwiegend Softwarelösungen eines kommunalen ITServiceanbieters (z. B. in Bayern die Lösungen der AKDB ggf. sogar mit „managed services” durch die Living Data GmbH). Andere Kommunen arbeiten mit verschiedensten Lösungen eher autark. Wieder andere nutzen verbindliche Netzwerk (z. B. in Bayern das Behördennetz), die über ganz andere Schutzmechanismen und Regeln verfügen als eigenständige Leitungen.
 
Eine Zusammenarbeit würde sich bei einer rein „regionalen” Betrachtung (z. B. alle Kommunen eines Landkreises) ggf. als kompliziert und wenig effizient herausstellen. Wir empfehlen einen Weg im Sinne der größten Gemeinsamkeiten. Dabei sollten sich die Kommunen zu einem IKS-Modell zusammenfinden, die in ihrer organisatorischen und technischen Ausgestaltung homogener sind.
 
Wenn Sie Interesse an einer solchen „Clusterung” haben, bitten wir Sie, sich bei uns zu melden (Mail an hannes.hahn@roedl.com, Betreff „ISIS - Cluster”).
 

Fördertöpfe sollten nicht im Mittelpunkt stehen

Wie oft hat sich in der Vergangenheit herausgestellt, dass die „early adaptors” im weiten Umfeld des eGovernment nicht unbedingt die realen Sieger waren. Weitsicht, strukturiertes Handeln und Seriosität zählen in diesem Umfeld langfristig eher zu den anzustrebenden Tugenden, als nun mit aller Gewalt Aktionismus walten zu lassen.
  

Wie kann Sie Rödl & Partner ganz konkret unterstützen?

Als IT- und Unternehmensberater, Wirtschaftsprüfer, Steuerberater und Rechtsanwälte mit langjähriger Erfahrung im öffentlichen Sektor kennen wir die Bedarfe und Prozesse in der Kommunalverwaltung sehr genau.
 
Als lizenzierter und zertifizierter ISIS12®-Dienstleister können wir Sie bei

• der Entscheidungsfindung hin zu einem Informationssicherheitsmanagementsystem nach ISIS12®, ISO 27001ff bzw. BSI-Grundschutz,
• dem Aufbau einer interkommunalen Zusammenarbeit,
• der konkreten Projektorganisation und Zeitplanung zur Umsetzung,
• der Schulung und Sensibilisierung im Umfeld eines ISMS,
• der Beantragung von Fördermitteln sowie
• der eigentlichen Umsetzung
    

tatkräftig unterstützen.

 

Wir möchten auch auf weitere Unterstützungsleistungen im Umfeld eines ISMS hinweisen. Darunter fallen konkret:

• Der Cyber-Sicherheits-Check
• Der Datenschutz Assistent
• Penetrationstest
• Sieben Schritte Masterplan eGovernment