Nach nur knapp 6 Monaten Einführung eines Informationssicherheitsmanagementsystems, kurz ISMS wurde das Team von a.s.k. Datenschutz für die investierte Zeit und Nerven belohnt. Nach einem erfolgreichen Vor-Ort-Audit Mitte Oktober durch die DQS GmbH haben wir zum 31.10.2020 das Zertifikat über die erfolgreiche Einführung und den nachweislichen Betrieb unseres ISMS auf Basis des Standards ISIS12 2.0 erhalten. Damit sind wir die erste Organisation, die im neuen Katalog 2.0 zertifiziert wurde. Das freut uns natürlich gleich noch etwas mehr.
Neben den rein formalen Anforderungen haben diese 6 Monate auch einige Veränderungen an Arbeitsprozessen und eingesetzten Softwarelösungen z.B. für den Bereich Mobile Device Management und Hardware-Verwaltung mit sich gebracht. So konnten wir bereits die Phase der Einführung zur weiteren Verbesserung der technischen und organisatorischen Schutzmaßnahmen nutzen. Weiterer Vorteil: Der Nachweis geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO wird durch die Zertifizierung deutlich erleichtert.
ISIS12 (Informationssicherheit in 12 Schritten) ist eine aus dem BSI IT-Grundschutz abgeleitete Vorgehensweise, welche es kleinen und mittleren Organisationen ermöglicht, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben. a.s.k. Datenschutz berät und unterstützt seit vielen Jahren zahlreiche Kommunen und Unternehmen bei Einführung und Betrieb eines ISMS auf Basis von ISIS12, aber auch anderer Standards wie dem BSI IT-Grundschutz selbst. Für uns war es daher ein logischer Schritt, unseren Kunden nicht nur gute Ratschläge zur Einführung und Betrieb von ISIS12 zu geben und sie dabei zu begleiten, sondern uns selbst diesen Regularien zu unterwerfen und das Ganze auch mit Zertifizierung abzuschließen.
Nachdem die ISIS12-Katalogreihe 1.x zu April 2022 abgekündigt wurde, war es für uns selbstverständlich, den Nachfolge-Katalog 2.0 einzuführen. Die überarbeitete Struktur sowie deutliche Aktualisierung der Bausteine und Maßnahmen im Katalog 2.0 gegenüber den früher aus dem IT-Grundschutz-Katalog entnommenen Elementen haben eine zügige, nachvollziehbare und transparente Einführung sehr unterstützt.
Wir können daher aus eigener Erfahrung nur empfehlen, neue Projekte generell nur noch im Katalog 2.0 zu starten bzw. vorhandene ISMS auf Basis der 1.x Kataloge bei nächster passender Gelegenheit umzustellen. Die Upgrade-Pfade sind gut dokumentiert und für unsere Kunden haben wir weitere Systematiken zur einfachen Konvertierung entwickelt.
Wie sagte unser Auditor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letzten Tage bereits genutzt, um uns weiterzuentwickeln. Denn in 12 Monaten müssen wir uns dem ersten Überwachungsaudit (Ü1) stellen und auch das wollen wir mit einem sehr guten Ergebnis abschließen.
Das ISIS12 Zertifikat hat eine Gültigkeit von 3 Jahren und kann hier eingesehen bzw. als PDF abgerufen werden. Wenn Sie mehr über den Standard ISIS12 erfahren wollen, können Sie hier in unserem Blog oder auf der Webseite des IT-Sicherheitsclusters Regensburg weitere Details nachlesen.
Verschlüsselung ist ein spannendes und in der Informationssicherheit grundlegendes Thema. Die Notwendigkeit, unberechtigten Personen Informationen und Güter vorzuenthalten und gleichzeitig die positive Berechtigung über ein (über)tragbares, erlernbares Medium zu definieren, ist so alt wie die Erfindung der Schurkerei selbst.
κρυπτός, nein hier handelt es sich nicht um ein Beispiel für Verschlüsselung, sondern nur um Griechisch :). Kryptos bezeichnet das Geheime. Falls Sie bei diesem Begriff einen negativen Beigeschmack haben sollten, liegt das wahrscheinlich daran, dass Inhabern von Geheimnissen tendenziell negative Absichten zugesprochen werden. Grund dazu gibt es allerdings nicht. Denn die Gewinnung von — insbesondere personenbezogenen — Informationen wird zunehmend zur wertvollsten und lukrativsten Ressource. Und die gilt es mit einer angemessenen Sorgfalt zu wahren. Was mit einmal offengelegten oder kompromittierten Informationen geschieht, ist dann meist nur noch eine Frage der Nachsorge. Eine sichere Verschlüsselung ist somit zu einem der wichtigsten Wegbegleiter unserer beruflichen und privaten Persönlichkeitsentfaltung geworden.
Anfänge der Verschlüsselung
Schlüssel sind die älteste Form der Berechtigungsvergabe. Bis heute werden sie zur physischen Zugangs- und Zutrittskontrolle eingesetzt. Häufig werden sie kombiniert mit digitalen Kodierungen, die über eine Drahtlosabfrage validiert werden. Auch Maschinen(-funktionen) wie in Kraftwerken und Schiffen werden mit physischen Schlüsseln freigeschaltet. Die Abbildung zeigt Schlüssel mit Schloss wie sie vor einigen tausend Jahren in China eingeführt wurden. Für die verbale Informationssicherheit — einschließlich der Überwindung großer Distanzen — wurden Dazu gehören Insider- und Geheimsprachen. Diese datieren mitunter bis zu 2000 Jahre zurück. Wie etwa Gelehrten-Dialekte und Kaufmannssprachen, bei denen einzelne Laute, Silben und Phrasen entweder nach System oder durch gruppenspezifische Gewohnheiten ersetzt wurden.
Kodierungen und Kryptographie
Mit zunehmender Bedeutung des geschriebenen Wortes stieg der Bedarf, diese Information zu schützen. Zeichen durch andere zu ersetzen nach einem spezifischen, für Eingeweihte nachvollziehbaren System, wurde in verschiedenen Formen kultiviert. Jedem bekannt in unserem digitalen Zeitalter, fanden Kodierungen insbesondere Ihre Anfänge in der strategischen Anwendung. Um dem Gegner keinen Einblick in die Planungen zu geben und über weite Strecken Entscheidungen mitzuteilen, wurden Codesysteme wie etwa die Cäsar-Chiffre im 1. Jahrhundert v. Chr. entwickelt. Chiffrierscheiben ab 1467 und Chiffriermaschinen wie die abgebildete aus dem 20. Jahrhundert ermöglichten die einfach nachvollziehbare mechanische Chiffrierung geschriebener Inhalte.
Tipp - In diesem Kontext sei eine nicht besonders bekannte und dennoch genial einfache Version der manuellen Verschlüsselungshilfe zu nennen. Die Passwortkarte. Diese Lässt sich mit wenigen Klicks selbst erstellen und auch online generieren. Anstelle der Zeichen des gewünschten Passworts als solche müssen Sie sich lediglich Startpunkt, ggf. beliebig viele Abzweigungen und Endpunkt merken. Wenn Sie eine individuelle Passwortkarte beispielsweise zweimal ausdrucken und ein Exemplar einem weit entfernten Gesprächspartner übermitteln, können Sie mit diesem sehr sichere Passwortabsprachen für gemeinsame Projekte absprechen und müssen dabei nur optische Orientierung erläutern.
Moderne Verschlüsselungen
Im Zuge der flächendeckenden Weiterentwicklung der digitalen Kommunikation wurde der erwartungsgemäßen Nachfrage der Verschlüsselung im behördlichen und corporate Bereich Rechnung getragen. IBM gründete Ende der 1960er Jahre eine Arbeitsgruppe, die sich erfolgreich mit der Entwicklung einer standardisierten Verschlüsselungslogik befasste. Diese wurde in den DES weiterentwickelt, eine symmetrische Verschlüsselungsmethode und Vorläufer des heutigen AES. Diese Blockchiffre AES ist trotz einiger erfolgreich durchgeführter spezialisierter Angriffsversuche bis heute einer der maßgeblichen, technisch und behördlich anerkannten Verschlüsselungsstandards.
Der AES-Standard wird auf Grund von Sicherheitsniveau und Effizienz weltweit eingesetzt. Er gilt außer in Bezug auf voluminöse brute force Angriffe als praktisch unknackbar in Kombination mit einem entsprechend starken Passwort. Es wurden sowohl diverse auf dieses Prinzip aufbauende als auch unabhängige Verschlüsselungsalgorithmen entwickelt wie RSA, MD5, IDEA, TripleDES und Blowfish sowie zahlreiche inzwischen offiziell kompromittierte und unsichere Standards wie SHA.
Zwei zentrale Aspekte bilden bei der Wissenschaft der Verschlüsselung weitestgehend gemeinsame Spezifika: Die Zerstückelung der Information (wie zB. in Hashfunktionen), die dann einer separaten, segmentweisen wiederholten Chifrierung zugeführt werden kann. Und die Anreicherung mit Misinformation wie zB. bei Salts, um die Identifizierung der eigentlichen Information zu erschweren.
Tipp — Sie können auch mit einfachsten Mitteln AES-256 Verschlüsselung auf Ihre zu schützenden Daten anwenden. Hierzu gibt es einige software Lösungen wie das prominenteste Beispiel winrar, das privat im Rahmen einer kostenfreie Testversion genutzt werden kann und auch im Firmeneinsatz überschaubar lizenziert werden kann. Zusammen mit einem guten Passwortkönnen Sie sehr sichere Dateicontainer herstellen und diese dann per herkömmlichem = unsicherem mail Weg versenden. Das Passwort selbst natürlich auf einem separaten Weg mitteilen wie telefonisch etc.
Ausblick der künftigen Verschlüsselung
Mit der zu erwartenden Markterschließung durch den kommerziellen Quantencomputer, der vor gut einem Jahr offiziell präsentiert wurde, gewinnt die Informationsstreuung in Ausgabewerten bei der Informationssicherung insbesondere gegen brute force Angriffe eine essenzielle Rolle. Statt einfach die Ausgangsinformation mit Algorithmen zu chiffrieren muss auch die Ausgabelogik intensiv weiterentwickelt werden, die beispielsweise bei jedem einzelnen Angriffsversuch vermeintlich entschlüsselt und dabei fake Daten im exakt erwarteten Format liefert.
Auch Mehrfaktorauthentifizierungen und automatische Sperren werden weiter an Gewicht im behördlichen, corporate und privaten Bereich gewinnen und sollten selbstverständlich bereits heute nach technischen Möglichkeiten eingesetzt werden, was unseres Erachtens in der Praxis noch stattliches Ausbaupotenzial hat 🙂
Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. ISIS12 ist ein Standard für ein Informationssicherheitsmanagementsystem (kurz ISMS) und bildet in 12 anschaulichen Schritten auf Basis des bekannten IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Informationssicherheitskonzept ab. ISIS12 wurde explizit für kleine und mittlere Unternehmen (KMU) und kommunale Einrichtungen entwickelt, für die aufgrund personeller Anforderungen der “große” IT-Grundschutz nicht durchführbar ist.
In den 24 Monaten der Einführung des Informationssicherheitskonzepts hat die Gemeinde Haar unter anderem Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit durchgeführt. Denn nicht nur das (technische) System an sich muss in alle Richtungen sicher gemacht werden, sondern auch die Menschen, die mit den Daten umgehen, müssen für das Thema sensibilisiert und geschult werden. Das reicht von der Aktivierung der Bildschirmsperre auch bei kürzester Abwesenheit vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten, wie etwa Passwörter offen am Schreibtisch liegen zu lassen.
Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn Datenschutz und Informationssicherheit müssen nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden durchgespielt und behandelt: Was, wenn das Rathaus mit all seinen Servern abbrennt? Selbst dafür gibt es Lösungen.
Federführend waren bei der Einführung von ISIS12 die Informationssicherheitsbeauftragte der Gemeinde Haar Andrea Schmerber und die a.s.k. Datenschutz Beratung unter Leitung von Sascha Kuhrau. Sie waren es auch, die den Auditor Andreas Mann bei der Erstzertifizierung des Zertifizierungsverbundes – Rathaus mit Bürgerhaus und die Kita Casinostraße – durch die Dokumente, Konzepte und die Gebäude begleiteten. Mit Erfolg, denn die Erstzertifizierung hat geklappt.
Jetzt gilt es, das Informationssicherheitskonzept aktuell und am Laufen zu halten. Daher wird jährlich überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnellebig und auch im Personal gibt es von Zeit zu Zeit einen Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert. In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden. Anlass für die Einführung von ISIS12 in der Gemeinde Haar war das Bayerische E‑Government-Gesetz von 2016. Dieses verpflichtet ausnahmslos alle kommunalen Verwaltungseinrichtungen zur Einführung und zum Betrieb eines Informationssicherheitskonzepts. Die Gemeinde Haar, allen voran deren Informationssicherheitsbeauftragte Andrea Schmerber haben sich dieser Herausforderung gestellt und das Ziel erreicht.
Übrigens ist ein Informationssicherheitskonzept (eingeführt und in Betrieb natürlich) auch für das Thema Datenschutz interessant. Betrachtet man Art. 32 DSVGO Sicherheit der Verarbeitung (externer Link) genauer, so findet man darin im Absatz 1 folgende Aussagen:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: - die Pseudonymisierung und Verschlüsselung personenbezogener Daten; - die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; - die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; - ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Und genau das stellt ein funktionierendes Informationssicherheitskonzept sicher. Dabei beschränkt sich der Schutz eines solchen Konzepts nicht nur auf personenbezogene Daten, sondern schließt alle schützenswerten Daten Ihrer Organisation mit ein. Genial, oder?
Sie wollen in Ihrer Organisation ebenfalls ein Informationssicherheitskonzept einführen? BSI IT-Grundschutz und ISO 27001 sind unpassend? Sprechen Sie uns an.
Von der Bundesregierung als Zukunftsprojekt ins Leben gerufen, hat sich der Begriff „Industrie 4.0“ vom reinen Marketing zu einem festen Bestandteil in der Businesskommunikation etabliert. Dabei ist das Kernstück die intelligente Fabrik (Smart Factory). Dies ermöglicht neben einer Effizienzsteigerung der Produktion vor allem neue, intelligent Produkte und Dienstleistungen. Aber dadurch ergeben sich jedoch nicht nur spannende Möglichkeiten für Unternehmen, sondern auch neue Problemstellungen in sicherheitstechnischer Hinsicht. Diese Chancen und Risiken für Laufer Firmen wollen wir in den Mittelpunkt dieser Veranstaltung stellen.
Unter der Federführung und Einladung des 1. Bürgermeisters der Stadt Lauf, Herrn Benedikt Bisping, veranstaltet der Bund der Selbständigen, BDS Ortsverband Lauf, einen Informationsabend zu dem aktuellen Thema Industrie 4.0. Dieser findet
am Dienstag, den 3. November 2015
um 18:00 Uhr
im Sitzungssaal, 1. Stock, Zi.-Nr. 100
bei der Stadt Lauf, Urlasstraße 22, 91207 Lauf a.d.Pegnitz
statt.
Wir werden ab 19:35 Uhr mit einem Beitrag zu ISA+ und ISIS12 zu Möglichkeiten zur Verbesserung und Systematisierung von Informationssicherheit informieren.
Informationssicherheit wird immer wichtiger. Diese kann heute eigentlich nur noch durch etablierte, funktionierende Informationssicherheitsmanagementsysteme (kurz ISMS) und IT-Servicemanagementprozesse gewährleistet werden. Wünscht man sich dabei noch ein Zertifikat am Ende des Weges, wird schnell der Ruf nach BSI IT Grundschutz oder der ISO 27001 laut. Doch sind diese für KMU oder auch Kommunalverwaltungen wirklich leistbar und geeignet? Gerade bei kleineren Mitarbeiterzahlen?
Seien wir ehrlich! Der BSI IT Grundschutz ist ein toller Werkzeugkasten, aber für eine Zertifzierung mit 4.800 Seiten Material in 5 dicken Ordnern kaum zu bewältigen. Greift man daher zur international bekannteren ISO 27001 reibt man sich ob des hohen Abstraktionslevels irritiert die Augen. Alternativen? Aber sicher.
Der IT-Planungsrat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein praxistaugliches Vorgehen zur Einführung eines ISMS empfohlen. Dieses entspräche den Leitlinien für Informationssicherheit des Planungsrats. Vorausgegangen war ein entsprechendes Gutachten von Fraunhofer AISEC zu ISIS12 zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung. In diesem wurde die Tauglichkeit für Verwaltungen mit bis zu 500 Mitarbeitern bestätigt.
a.s.k. Datenschutz, Sascha Kuhrau ist vom Bayerischen IT-Sicherheitscluster e.V. (dem Anbieter von ISIS12) für die Durchführung von Beratungsleistungen zur Einführung von ISIS12 in KMU und öffentlichen Verwaltungen zertifiziert.
ISIS12?
ISIS12 ist ein Verfahren, das die Einführung eines ISMS mit vergleichsweise geringerem Aufwand ermöglicht..
ISIS12 kann als Vorstufe zur Zertifizierung nach BSI IT-Grundschutz bzw. ISO/IEC 27001 dienen.
ISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS), das über die Dauer eines Zyklus in 12 Verfahrensschritten eingeführt wird.
ISIS12 wurde speziell für kleinere Organisationen entwickelt.
Während des gesamten Prozesses stehen die speziell geschulten und zertifzierten ISIS12-Dienstleister beratend zur Seite.
Das leicht anwendbare und automatisierte ISIS12-Softwaretool unterstützt bei der Implementierung.
Ein spezielles ISIS12-Handbuch beschreibt alle Schritte explizit und klar verständlich.
Der ISIS12-Katalog wurde durch die radikale Reduzierung des BSI IT-Grundschutzkataloges der Zielgruppe — kleine und mittelständische Unternehmen und nun auch kommunale Verwaltungen — angepasst.
ISIS12 ist ein ISMS, speziell für kleinere Organisationen entwickelt, für die die Einführung der verbreiteten ISMS zu aufwändig wäre.
Wer den Weg zur Einführung eines ISMS beschritten und erfolgreich absolviert hat, kann sich am Ende mit einer Zertifizierung belohnen. Diese wird von der DQS GmbH ISIS12 Deutsche Gesellschaft zur Zertifizierung von Managementsystemen durchgeführt. Die Mühe soll sich ja gelohnt haben für alle Beteiligten.
Fördermittel für bayerische Kommunen
Bayerische Kommunen können für die Einführung eines ISMS nach ISIS12 Fördermittel erhalten. In einem ersten Programm werden folgende Leistungen gefördert:
Beratungsdienstleistungen bei der Implementierung von ISIS12
Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter
Erstzertifizierung des Managementsystems zur Informationssicherheit
Förderfähig sind nur solche Leistungen, die von fachkundigen, lizensierten IT-Dienstleistern wie a.s.k. Datenschutz erfolgen. Von der Förderung ausgeschlossen sind Ausgaben für den Erwerb von Hard- und Software, Betriebskosten sowie technische und bauliche Schutzmaßnahmen.
Gefördert werden bis zu 50% der förderfähigen Ausgaben, bis zu einer Summe von maximal 15.000 Euro (brutto inkl. MwSt.).
Wenn Sie sich zur Umsetzung entschieden haben, unterstützen wir Sie gerne bei der Antragstellung (diese muss vor der Auftragsvergabe erfolgen!) und selbstverständlich bei der erfolgreichen Einführung von ISIS12 in Ihrer Organisation.