Die Schäden, die Cyberkriminelle in Unternehmen aller Branchen, darunter viele kleine und mittlere Unternehmen (KMU), anrichten, sind immens. Da die meisten Vorfälle nicht an die Öffentlichkeit gelangen, sprechen Fachleute vage von Milliardenbeträgen. Das Vorgehen der Hacker gleicht sich: Ransomware einschleusen, zentrale Unternehmensdaten verschlüsseln, Lösegeld fordern, Lösegeld kassieren – und dann hoffentlich das versprochene Passwort zur Entschlüsselung liefern.
Die Taktik geht auf, weil es für Betroffene „billiger“ ist, das Passwort zu zahlen, als den Datenverlust auszugleichen. Würden IT-Systeme hinreichend geschützt, hätten Angreifer weniger Erfolg. Was sollten KMU hier also tun? Die Regelwerke ISIS12 und ISO 27001 zeigen Möglichkeiten auf.
Guter Einstieg für IT-Sicherheit in KMU
ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und Ende 2012 vom Bayerischen IT-Sicherheitscluster herausgegeben. Das Regelwerk bietet einen übersichtlichen Rahmen für ein wirksames Informationssicherheits-Managementsystem (ISMS). Die Implementierung erfolgt in drei Phasen und zwölf Schritten:
- In der „Initialisierungsphase“ werden Leitlinien erstellt (1) und Sensibilisierungs-Maßnahmen eingeleitet (2).
- In der zweiten Phase geht es um den Aufbau eines Informationssicherheitsteams (3), die Festlegung der IT-Dokumentationsstruktur (4) und die Einführung eines IT-Servicemanagement-Prozesses (5).
- In der dritten Phase wird das eigentliche ISIS12-Konzept entwickelt und umgesetzt: kritische Applikationen identifizieren (6), IT-Struktur analysieren (7), Sicherheitsmaßnahmen entwickeln (8), Ist-Soll-Vergleich anstellen (9), Umsetzung planen (10), Umsetzung initiieren (11), Revision durchführen (12).
Das Regelwerk kann in Eigenregie implementiert werden. Hier stehen ein Handbuch und eine Implementierungs-Software zur Verfügung. Bei Bedarf kann die Einführung auch von einem zugelassenen ISIS12-Berater begleitet werden. Auf Wunsch erfolgt danach die Zertifizierung des ISMS durch den Exklusivpartner des Bayerischen IT-Sicherheitsclusters, der DQS.
ISO 27001 ergänzt ISIS1212
ISIS12 wird zurzeit überarbeitet, die Version 2.0 wird für Ende 2019 erwartet. Dahinter steht unter anderem die Absicht, den Übergang zu ISO 27001 zu erleichtern. Dies entspricht dem Bedarf vieler Anwender, die nach einem Einstieg über ISIS12 einen höheren Schutzbedarf ihrer IT-Systeme erkennen.
ISIS12 2.0 wird folgerichtig die ISO-Norm zur Basis haben. Den Schritten 8 und 10 bis 12 werden Anforderungen hinzugefügt, die die Migration auf ISO 27001 erleichtern sollen. Die ISO-Norm taucht damit deutlich tiefer in die Materie ein, als es für viele KMU notwendig erscheint. Komplexe IT-Strukturen können sich aber auch in kleineren Betrieben entwickeln. In diesen Fällen ist die ISO-Norm die erste Wahl.
Optimaler Schutz komplexer IT-Strukturen mit ISO 27001
Die ISO 27001 erschien erstmals im Jahr 2005. Seit 2013 folgt die Norm der sogenannten High Level Structure, der gemeinsamen Grundstruktur für ISO-Managementsystemnormen, was die Integration in vorhandene Managementsysteme leichter macht. Die aktuelle Version liegt seit Juni 2017 in deutscher Sprache vor.
Der allgemeine Nutzen von ISO 27001 bezieht sich nicht nur auf die Unternehmens-IT, sondern umfasst auch Aspekte wie physische Sicherheit, Personalmanagement, Rechtssicherheit und Organisation. Ein Überblick der Vorteile:
- Anerkannter Nachweis über die Implementierung angemessener Informationssicherheit
- Systematische Sicherung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
- Sensibilisierung von Personal und Führungsebene für Informationssicherheit
- Fortlaufende Verbesserung des ISMS
- Erfüllung Compliance-Anforderungen
- Vertrauen bei den interessierten Parteien
Hilfreich beim Festlegen und Erreichen von Zielen des ISMS ist unter anderem der Norm-Anhang A mit einer Liste von 114 praxisnahen Sicherheitskontrollen. Zu beachten ist, dass nicht zwangsläufig jede dieser Kontrollen zum Tragen kommen muss.
Wie die Sicherheitskontrollen durchzuführen sind, entscheidet das jeweilige Unternehmen selbst – so wie die Anforderungen von ISO 27001 generell eher allgemein formuliert sind, um individuelle Situationen zu berücksichtigen. KMU und vergleichbare öffentliche Verwaltungen sollten sich zum Einstieg in die Informationssicherheit zunächst mit ISIS12 beschäftigen, da deren Bedarf mit diesem Regelwerk meist gedeckt werden kann.
Argumente für ISIS12 sind der übersichtliche Rahmen sowie die Möglichkeit, das Regelwerk in Eigenregie zu implementieren. Zu ISO 27001 sollten KMU dann greifen, wenn ihre IT-Struktur einen Grad an Komplexität aufweist, der umfangreichere Risikobetrachtungen erfordert. ISO 27001 bietet einen flexiblen Rahmen, den ein KMU nach seinen speziellen Bedürfnissen auf hohem Sicherheitsniveau ausfüllen kann.
Weitere Informationen zu ISIS12 und ISO 27001: https://isis12.it-sicherheitscluster.de und www.imsm.de.com
