IT-Sicherheit

ISIS12 oder ISO 27001 – welches Regelwerk passt?

Internet_security_online_business_concept_pointing_security_services
Um Informationssicherheit wirksam zu implementieren, stehen die Regelwerke ISIS12 und ISO 27001 helfend zur Seite. Bild: mikkolem/Fotolia
Anzeige
Die Zeiten, in denen nur Konzerne von Cyberattacken betroffen waren, sind vorbei. Wie ein wirksamer IT-Schutz für KMU aussieht, dabei unterstützen die Regelwerke ISIS12 oder ISO 27001.

André Säckel
Experte und Produktmanager für Informationssicherheit bei DQS

Die Schäden, die Cyberkriminelle in Unternehmen aller Branchen, darunter viele kleine und mittlere Unternehmen (KMU), anrichten, sind immens. Da die meisten Vorfälle nicht an die Öffentlichkeit gelangen, sprechen Fachleute vage von Milliardenbeträgen. Das Vorgehen der Hacker gleicht sich: Ransomware einschleusen, zentrale Unternehmensdaten verschlüsseln, Lösegeld fordern, Lösegeld kassieren – und dann hoffentlich das versprochene Passwort zur Entschlüsselung liefern.

Die Taktik geht auf, weil es für Betroffene „billiger“ ist, das Passwort zu zahlen, als den Datenverlust auszugleichen. Würden IT-Systeme hinreichend geschützt, hätten Angreifer weniger Erfolg. Was sollten KMU hier also tun? Die Regelwerke ISIS12 und ISO 27001 zeigen Möglichkeiten auf.

Guter Einstieg für IT-Sicherheit in KMU

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und Ende 2012 vom Bayerischen IT-Sicherheitscluster herausgegeben. Das Regelwerk bietet einen übersichtlichen Rahmen für ein wirksames Informationssicherheits-Managementsystem (ISMS). Die Implementierung erfolgt in drei Phasen und zwölf Schritten:

  • In der „Initialisierungsphase“ werden Leitlinien erstellt (1) und Sensibilisierungs-Maßnahmen eingeleitet (2).
  • In der zweiten Phase geht es um den Aufbau eines Informationssicherheitsteams (3), die Festlegung der IT-Dokumentationsstruktur (4) und die Einführung eines IT-Servicemanagement-Prozesses (5).
  • In der dritten Phase wird das eigentliche ISIS12-Konzept entwickelt und umgesetzt: kritische Applikationen identifizieren (6), IT-Struktur analysieren (7), Sicherheitsmaßnahmen entwickeln (8), Ist-Soll-Vergleich anstellen (9), Umsetzung planen (10), Umsetzung initiieren (11), Revision durchführen (12).

Das Regelwerk kann in Eigenregie implementiert werden. Hier stehen ein Handbuch und eine Implementierungs-Software zur Verfügung. Bei Bedarf kann die Einführung auch von einem zugelassenen ISIS12-Berater begleitet werden. Auf Wunsch erfolgt danach die Zertifizierung des ISMS durch den Exklusivpartner des Bayerischen IT-Sicherheitsclusters, der DQS.

ISO 27001 ergänzt ISIS1212

ISIS12 wird zurzeit überarbeitet, die Version 2.0 wird für Ende 2019 erwartet. Dahinter steht unter anderem die Absicht, den Übergang zu ISO 27001 zu erleichtern. Dies entspricht dem Bedarf vieler Anwender, die nach einem Einstieg über ISIS12 einen höheren Schutzbedarf ihrer IT-Systeme erkennen.

ISIS12 2.0 wird folgerichtig die ISO-Norm zur Basis haben. Den Schritten 8 und 10 bis 12 werden Anforderungen hinzugefügt, die die Migration auf ISO 27001 erleichtern sollen. Die ISO-Norm taucht damit deutlich tiefer in die Materie ein, als es für viele KMU notwendig erscheint. Komplexe IT-Strukturen können sich aber auch in kleineren Betrieben entwickeln. In diesen Fällen ist die ISO-Norm die erste Wahl.

Optimaler Schutz komplexer IT-Strukturen mit ISO 27001

Die ISO 27001 erschien erstmals im Jahr 2005. Seit 2013 folgt die Norm der sogenannten High Level Structure, der gemeinsamen Grundstruktur für ISO-Managementsystemnormen, was die Integration in vorhandene Managementsysteme leichter macht. Die aktuelle Version liegt seit Juni 2017 in deutscher Sprache vor.

Der allgemeine Nutzen von ISO 27001 bezieht sich nicht nur auf die Unternehmens-IT, sondern umfasst auch Aspekte wie physische Sicherheit, Personalmanagement, Rechtssicherheit und Organisation. Ein Überblick der Vorteile:

  • Anerkannter Nachweis über die Implementierung angemessener Informationssicherheit
  • Systematische Sicherung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
  • Sensibilisierung von Personal und Führungsebene für Informationssicherheit
  • Fortlaufende Verbesserung des ISMS
  • Erfüllung Compliance-Anforderungen
  • Vertrauen bei den interessierten Parteien

Hilfreich beim Festlegen und Erreichen von Zielen des ISMS ist unter anderem der Norm-Anhang A mit einer Liste von 114 praxisnahen Sicherheitskontrollen. Zu beachten ist, dass nicht zwangsläufig jede dieser Kontrollen zum Tragen kommen muss.

Wie die Sicherheitskontrollen durchzuführen sind, entscheidet das jeweilige Unternehmen selbst – so wie die Anforderungen von ISO 27001 generell eher allgemein formuliert sind, um individuelle Situationen zu berücksichtigen. KMU und vergleichbare öffentliche Verwaltungen sollten sich zum Einstieg in die Informationssicherheit zunächst mit ISIS12 beschäftigen, da deren Bedarf mit diesem Regelwerk meist gedeckt werden kann.

Argumente für ISIS12 sind der übersichtliche Rahmen sowie die Möglichkeit, das Regelwerk in Eigenregie zu implementieren. Zu ISO 27001 sollten KMU dann greifen, wenn ihre IT-Struktur einen Grad an Komplexität aufweist, der umfangreichere Risikobetrachtungen erfordert. ISO 27001 bietet einen flexiblen Rahmen, den ein KMU nach seinen speziellen Bedürfnissen auf hohem Sicherheitsniveau ausfüllen kann.


Weitere Informationen zu ISIS12 und ISO 27001: https://isis12.it-sicherheitscluster.de und www.imsm.de.com

Anzeige

Industrieanzeiger

Titelbild Industrieanzeiger 34
Ausgabe
34.2019
LESEN
ABO

E.ON: Energie für Unternehmen

E.ON für Unternehmen

Energielösungen für Unternehmen

Video aktuell

Greiferintegration leicht gemacht: Die Zimmer Group zeigt, wie es geht.

Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de