Zum Inhalt springen

ISIS12

a.s.k. Daten­schutz erfolg­reich Infor­ma­ti­ons­si­cher­heit (ISMS) nach ISIS12 zertifiziert

Nach nur knapp 6 Mona­ten Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems, kurz ISMS wur­de das Team von a.s.k. Daten­schutz für die inves­tier­te Zeit und Ner­ven belohnt. Nach einem erfolg­rei­chen Vor-Ort-Audit Mit­te Okto­ber durch die DQS GmbH haben wir zum 31.10.2020 das Zer­ti­fi­kat über die erfolg­rei­che Ein­füh­rung und den nach­weis­li­chen Betrieb unse­res ISMS auf Basis des Stan­dards ISIS12 2.0 erhal­ten. Damit sind wir die ers­te Orga­ni­sa­ti­on, die im neu­en Kata­log 2.0 zer­ti­fi­ziert wur­de. Das freut uns natür­lich gleich noch etwas mehr.

Neben den rein for­ma­len Anfor­de­run­gen haben die­se 6 Mona­te auch eini­ge Ver­än­de­run­gen an Arbeits­pro­zes­sen und ein­ge­setz­ten Soft­ware­lö­sun­gen z.B. für den Bereich Mobi­le Device Manage­ment und Hard­ware-Ver­wal­tung mit sich gebracht. So konn­ten wir bereits die Pha­se der Ein­füh­rung zur wei­te­ren Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nut­zen. Wei­te­rer Vor­teil: Der Nach­weis geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men im Sin­ne von Art. 32 DSGVO wird durch die Zer­ti­fi­zie­rung deut­lich erleichtert.

ISIS12 (Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten) ist eine aus dem BSI IT-Grund­schutz abge­lei­te­te Vor­ge­hens­wei­se, wel­che es klei­nen und mitt­le­ren Orga­ni­sa­tio­nen ermög­licht, ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) ein­zu­füh­ren und zu betrei­ben. a.s.k. Daten­schutz berät und unter­stützt seit vie­len Jah­ren zahl­rei­che Kom­mu­nen und Unter­neh­men bei Ein­füh­rung und Betrieb eines ISMS auf Basis von ISIS12, aber auch ande­rer Stan­dards wie dem BSI IT-Grund­schutz selbst. Für uns war es daher ein logi­scher Schritt, unse­ren Kun­den nicht nur gute Rat­schlä­ge zur Ein­füh­rung und Betrieb von ISIS12 zu geben und sie dabei zu beglei­ten, son­dern uns selbst die­sen Regu­la­ri­en zu unter­wer­fen und das Gan­ze auch mit Zer­ti­fi­zie­rung abzuschließen.

Nach­dem die ISIS12-Kata­log­rei­he 1.x  zu April 2022 abge­kün­digt wur­de, war es für uns selbst­ver­ständ­lich, den Nach­fol­ge-Kata­log 2.0 ein­zu­füh­ren. Die über­ar­bei­te­te Struk­tur sowie deut­li­che Aktua­li­sie­rung der Bau­stei­ne und Maß­nah­men im Kata­log 2.0 gegen­über den frü­her aus dem IT-Grund­schutz-Kata­log ent­nom­me­nen Ele­men­ten haben eine zügi­ge, nach­voll­zieh­ba­re und trans­pa­ren­te Ein­füh­rung sehr unterstützt.

Wir kön­nen daher aus eige­ner Erfah­rung nur emp­feh­len, neue Pro­jek­te gene­rell nur noch im Kata­log 2.0 zu star­ten bzw. vor­han­de­ne ISMS auf Basis der 1.x Kata­lo­ge bei nächs­ter pas­sen­der Gele­gen­heit umzu­stel­len. Die Upgrade-Pfa­de sind gut doku­men­tiert und für unse­re Kun­den haben wir wei­te­re Sys­te­ma­ti­ken zur ein­fa­chen Kon­ver­tie­rung entwickelt.

Wie sag­te unser Audi­tor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letz­ten Tage bereits genutzt, um uns wei­ter­zu­ent­wi­ckeln. Denn in 12 Mona­ten müs­sen wir uns dem ers­ten Über­wa­chungs­au­dit (Ü1) stel­len und auch das wol­len wir mit einem sehr guten Ergeb­nis abschließen.

Das ISIS12 Zer­ti­fi­kat hat eine Gül­tig­keit von 3 Jah­ren und kann hier ein­ge­se­hen bzw. als PDF abge­ru­fen wer­den. Wenn Sie mehr über den Stan­dard ISIS12 erfah­ren wol­len, kön­nen Sie hier in unse­rem Blog oder auf der Web­sei­te des IT-Sicher­heits­clus­ters Regens­burg wei­te­re Details nachlesen.

Ver­schlüs­se­lung — eine kur­ze Geschichte

Ver­schlüs­se­lung ist ein span­nen­des und in der Infor­ma­ti­ons­si­cher­heit grund­le­gen­des The­ma. Die Not­wen­dig­keit, unbe­rech­tig­ten Per­so­nen Infor­ma­tio­nen und Güter vor­zu­ent­hal­ten und gleich­zei­tig die posi­ti­ve Berech­ti­gung über ein (über)tragbares, erlern­ba­res Medi­um zu defi­nie­ren, ist so alt wie die Erfin­dung der Schur­ke­rei selbst.

κρυπτός, nein hier han­delt es sich nicht um ein Bei­spiel für Ver­schlüs­se­lung, son­dern nur um Grie­chisch :). Kryp­tos bezeich­net das Gehei­me. Falls Sie bei die­sem Begriff einen nega­ti­ven Bei­geschmack haben soll­ten, liegt das wahr­schein­lich dar­an, dass Inha­bern von Geheim­nis­sen ten­den­zi­ell nega­ti­ve Absich­ten zuge­spro­chen wer­den. Grund dazu gibt es aller­dings nicht. Denn die Gewin­nung von — ins­be­son­de­re per­so­nen­be­zo­ge­nen — Infor­ma­tio­nen wird zuneh­mend zur wert­volls­ten und lukra­tivs­ten Res­sour­ce. Und die gilt es mit einer ange­mes­se­nen Sorg­falt zu wah­ren. Was mit ein­mal offen­ge­leg­ten oder kom­pro­mit­tier­ten Infor­ma­tio­nen geschieht, ist dann meist nur noch eine Fra­ge der Nach­sor­ge. Eine siche­re Ver­schlüs­se­lung ist somit zu einem der wich­tigs­ten Weg­be­glei­ter unse­rer beruf­li­chen und pri­va­ten Per­sön­lich­keits­ent­fal­tung geworden.

Anfän­ge der Verschlüsselung

Altes chi­ne­si­sches Vor­hän­ge­schloss — Wiki­me­dia Commons

Schlüs­sel sind die ältes­te Form der Berech­ti­gungs­ver­ga­be. Bis heu­te wer­den sie zur phy­si­schen Zugangs- und Zutritts­kon­trol­le ein­ge­setzt. Häu­fig wer­den sie kom­bi­niert mit digi­ta­len Kodie­run­gen, die über eine Draht­losab­fra­ge vali­diert wer­den. Auch Maschinen(-funktionen) wie in Kraft­wer­ken und Schif­fen wer­den mit phy­si­schen Schlüs­seln frei­ge­schal­tet. Die Abbil­dung zeigt Schlüs­sel mit Schloss wie sie vor eini­gen tau­send Jah­ren in Chi­na ein­ge­führt wur­den. Für die ver­ba­le Infor­ma­ti­ons­si­cher­heit — ein­schließ­lich der Über­win­dung gro­ßer Distan­zen — wur­den Dazu gehö­ren Insi­der- und Geheim­spra­chen. Die­se datie­ren mit­un­ter bis zu 2000 Jah­re zurück. Wie etwa Gelehr­ten-Dia­lek­te und Kauf­manns­spra­chen, bei denen ein­zel­ne Lau­te, Sil­ben und Phra­sen ent­we­der nach Sys­tem oder durch grup­pen­spe­zi­fi­sche Gewohn­hei­ten ersetzt wurden.

Kodie­run­gen und Kryptographie

Rotor-Schlüs­sel­ma­schi­ne

Mit zuneh­men­der Bedeu­tung des geschrie­be­nen Wor­tes stieg der Bedarf, die­se Infor­ma­ti­on zu schüt­zen. Zei­chen durch ande­re zu erset­zen nach einem spe­zi­fi­schen, für Ein­ge­weih­te nach­voll­zieh­ba­ren Sys­tem, wur­de in ver­schie­de­nen For­men kul­ti­viert. Jedem bekannt in unse­rem digi­ta­len Zeit­al­ter, fan­den Kodie­run­gen ins­be­son­de­re Ihre Anfän­ge in der stra­te­gi­schen Anwen­dung. Um dem Geg­ner kei­nen Ein­blick in die Pla­nun­gen zu geben und über wei­te Stre­cken Ent­schei­dun­gen mit­zu­tei­len, wur­den Code­sys­te­me wie etwa die Cäsar-Chif­fre im 1. Jahr­hun­dert v. Chr. ent­wi­ckelt. Chif­frier­schei­ben ab 1467 und Chif­frier­ma­schi­nen wie die abge­bil­de­te aus dem 20. Jahr­hun­dert ermög­lich­ten die ein­fach nach­voll­zieh­ba­re mecha­ni­sche Chif­frie­rung geschrie­be­ner Inhalte.

Tipp - In die­sem Kon­text sei eine nicht beson­ders bekann­te und den­noch geni­al ein­fa­che Ver­si­on der manu­el­len Ver­schlüs­se­lungs­hil­fe zu nen­nen. Die Pass­wort­kar­te. Die­se Lässt sich mit weni­gen Klicks selbst erstel­len und auch online gene­rie­ren. Anstel­le der Zei­chen des gewünsch­ten Pass­worts als sol­che müs­sen Sie sich ledig­lich Start­punkt, ggf. belie­big vie­le Abzwei­gun­gen und End­punkt mer­ken. Wenn Sie eine indi­vi­du­el­le Pass­wort­kar­te bei­spiels­wei­se zwei­mal aus­dru­cken und ein Exem­plar einem weit ent­fern­ten Gesprächs­part­ner über­mit­teln, kön­nen Sie mit die­sem sehr siche­re Pass­wort­ab­spra­chen für gemein­sa­me Pro­jek­te abspre­chen und müs­sen dabei nur opti­sche Ori­en­tie­rung erläutern.

Moder­ne Verschlüsselungen

Im Zuge der flä­chen­de­cken­den Wei­ter­ent­wick­lung der digi­ta­len Kom­mu­ni­ka­ti­on wur­de der erwar­tungs­ge­mä­ßen Nach­fra­ge der Ver­schlüs­se­lung im behörd­li­chen und cor­po­ra­te Bereich Rech­nung getra­gen. IBM grün­de­te Ende der 1960er Jah­re eine Arbeits­grup­pe, die sich erfolg­reich mit der Ent­wick­lung einer stan­dar­di­sier­ten Ver­schlüs­se­lungs­lo­gik befass­te. Die­se wur­de in den DES wei­ter­ent­wi­ckelt, eine sym­me­tri­sche Ver­schlüs­se­lungs­me­tho­de und Vor­läu­fer des heu­ti­gen AES. Die­se Block­chif­fre AES ist trotz eini­ger erfolg­reich durch­ge­führ­ter spe­zia­li­sier­ter Angriffs­ver­su­che bis heu­te einer der maß­geb­li­chen, tech­nisch und behörd­lich aner­kann­ten Verschlüsselungsstandards.

Der AES-Stan­dard wird auf Grund von Sicher­heits­ni­veau und Effi­zi­enz welt­weit ein­ge­setzt. Er gilt außer in Bezug auf volu­mi­nö­se bru­te force Angrif­fe als prak­tisch unknack­bar in Kom­bi­na­ti­on mit einem ent­spre­chend star­ken Pass­wort. Es wur­den sowohl diver­se auf die­ses Prin­zip auf­bau­en­de als auch unab­hän­gi­ge Ver­schlüs­se­lungs­al­go­rith­men ent­wi­ckelt wie RSA, MD5, IDEA, Tri­ple­DES und Blow­fi­sh sowie zahl­rei­che inzwi­schen offi­zi­ell kom­pro­mit­tier­te und unsi­che­re Stan­dards wie SHA.

Zwei zen­tra­le Aspek­te bil­den bei der Wis­sen­schaft der Ver­schlüs­se­lung wei­test­ge­hend gemein­sa­me Spe­zi­fi­ka: Die Zer­stü­cke­lung der Infor­ma­ti­on (wie zB. in Hash­funk­tio­nen), die dann einer sepa­ra­ten, seg­ment­wei­sen wie­der­hol­ten Chif­rie­rung zuge­führt wer­den kann. Und die Anrei­che­rung mit Mis­in­for­ma­ti­on wie zB. bei Salts, um die Iden­ti­fi­zie­rung der eigent­li­chen Infor­ma­ti­on zu erschweren.

Tipp — Sie kön­nen auch mit ein­fachs­ten Mit­teln AES-256 Ver­schlüs­se­lung auf Ihre zu schüt­zen­den Daten anwen­den. Hier­zu gibt es eini­ge soft­ware Lösun­gen wie das pro­mi­nen­tes­te Bei­spiel win­rar, das pri­vat im Rah­men einer kos­ten­freie Test­ver­si­on genutzt wer­den kann und auch im Fir­men­ein­satz über­schau­bar lizen­ziert wer­den kann. Zusam­men mit einem guten Pass­wort­kön­nen Sie sehr siche­re Datei­con­tai­ner her­stel­len und die­se dann per her­kömm­li­chem = unsi­che­rem mail Weg ver­sen­den. Das Pass­wort selbst natür­lich auf einem sepa­ra­ten Weg mit­tei­len wie tele­fo­nisch etc. 

Aus­blick der künf­ti­gen Verschlüsselung

Mit der zu erwar­ten­den Markt­er­schlie­ßung durch den kom­mer­zi­el­len Quan­ten­com­pu­ter, der vor gut einem Jahr offi­zi­ell prä­sen­tiert wur­de, gewinnt die Infor­ma­ti­ons­streu­ung in Aus­ga­be­wer­ten bei der Infor­ma­ti­ons­si­che­rung ins­be­son­de­re gegen bru­te force Angrif­fe eine essen­zi­el­le Rol­le. Statt ein­fach die Aus­gangs­in­for­ma­ti­on mit Algo­rith­men zu chif­frie­ren muss auch die Aus­ga­be­lo­gik inten­siv wei­ter­ent­wi­ckelt wer­den, die bei­spiels­wei­se bei jedem ein­zel­nen Angriffs­ver­such ver­meint­lich ent­schlüs­selt und dabei fake Daten im exakt erwar­te­ten For­mat liefert.

Auch Mehr­fak­torau­then­ti­fi­zie­run­gen und auto­ma­ti­sche Sper­ren wer­den wei­ter an Gewicht im behörd­li­chen, cor­po­ra­te und pri­va­ten Bereich gewin­nen und soll­ten selbst­ver­ständ­lich bereits heu­te nach tech­ni­schen Mög­lich­kei­ten ein­ge­setzt wer­den, was unse­res Erach­tens in der Pra­xis noch statt­li­ches Aus­bau­po­ten­zi­al hat 🙂

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISIS12-zertifiziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISIS12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhr­au. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­st­ra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vern­ment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)

IT-Sicher­heit für Lau­fer Unter­neh­men “Indus­trie 4.0”

Von der Bun­des­re­gie­rung als Zukunfts­pro­jekt ins Leben geru­fen, hat sich der Begriff „Indus­trie 4.0“ vom rei­nen Mar­ke­ting zu einem fes­ten Bestand­teil in der Busi­ness­kom­mu­ni­ka­ti­on eta­bliert. Dabei ist das Kern­stück die intel­li­gen­te Fabrik (Smart Fac­to­ry). Dies ermög­licht neben einer Effi­zi­enz­stei­ge­rung der Pro­duk­ti­on vor allem neue, intel­li­gent Pro­duk­te und Dienst­leis­tun­gen. Aber dadurch erge­ben sich jedoch nicht nur span­nen­de Mög­lich­kei­ten für Unter­neh­men, son­dern auch neue Pro­blem­stel­lun­gen in sicher­heits­tech­ni­scher Hin­sicht. Die­se Chan­cen und Risi­ken für Lau­fer Fir­men wol­len wir in den Mit­tel­punkt die­ser Ver­an­stal­tung stellen.

Unter der Feder­füh­rung und Ein­la­dung des 1. Bür­ger­meis­ters der Stadt Lauf, Herrn Bene­dikt Bis­ping, ver­an­stal­tet der Bund der Selb­stän­di­gen, BDS Orts­ver­band Lauf, einen Infor­ma­ti­ons­abend zu dem aktu­el­len The­ma Indus­trie 4.0. Die­ser findet

  • am Diens­tag, den 3. Novem­ber 2015
  • um 18:00 Uhr
  • im Sit­zungs­saal, 1. Stock, Zi.-Nr. 100
  • bei der Stadt Lauf, Urlas­stra­ße 22, 91207 Lauf a.d.Pegnitz

statt.

Wir wer­den ab 19:35 Uhr mit einem Bei­trag zu ISA+ und ISIS12 zu Mög­lich­kei­ten zur Ver­bes­se­rung und Sys­te­ma­ti­sie­rung von Infor­ma­ti­ons­si­cher­heit informieren.

Pro­gramm und Anmel­dung als PDF herunterladen

[wpfi­le­ba­se tag=file path=‘divers/BDS-Flyer-und-Agenda-ITSec.pdf’ tpl=download-button /​]

För­der­mit­tel zur Ein­füh­rung ISIS12 für baye­ri­sche Kommunen

Infor­ma­ti­ons­si­cher­heit wird immer wich­ti­ger. Die­se kann heu­te eigent­lich nur noch durch eta­blier­te, funk­tio­nie­ren­de Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) und IT-Ser­vice­ma­nage­ment­pro­zes­se gewähr­leis­tet wer­den. Wünscht man sich dabei noch ein Zer­ti­fi­kat am Ende des Weges, wird schnell der Ruf nach BSI IT Grund­schutz oder der ISO 27001 laut. Doch sind die­se für KMU oder auch Kom­mu­nal­ver­wal­tun­gen wirk­lich leist­bar und geeig­net? Gera­de bei klei­ne­ren Mitarbeiterzahlen?

Sei­en wir ehr­lich! Der BSI IT Grund­schutz ist ein tol­ler Werk­zeug­kas­ten, aber für eine Zer­tif­zie­rung mit 4.800 Sei­ten Mate­ri­al in 5 dicken Ord­nern kaum zu bewäl­ti­gen. Greift man daher zur inter­na­tio­nal bekann­te­ren ISO 27001 reibt man sich ob des hohen Abs­trak­ti­ons­le­vels irri­tiert die Augen. Alter­na­ti­ven? Aber sicher.

Der IT-Pla­nungs­rat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein pra­xis­taug­li­ches Vor­ge­hen zur Ein­füh­rung eines ISMS emp­foh­len. Die­ses ent­sprä­che den Leit­li­ni­en für Infor­ma­ti­ons­si­cher­heit des Pla­nungs­rats. Vor­aus­ge­gan­gen war ein ent­spre­chen­des Gut­ach­ten von Fraun­ho­fer AISEC zu ISIS12 zur Anwend­bar­keit von ISIS12 in der öffent­li­chen Ver­wal­tung. In die­sem wur­de die Taug­lich­keit für Ver­wal­tun­gen mit bis zu 500 Mit­ar­bei­tern bestätigt.

a.s.k. Daten­schutz, Sascha Kuhr­au ist vom Baye­ri­schen IT-Sicher­heits­clus­ter e.V. (dem Anbie­ter von ISIS12) für die Durch­füh­rung von Bera­tungs­leis­tun­gen zur Ein­füh­rung von ISIS12 in KMU und öffent­li­chen Ver­wal­tun­gen zertifiziert.

ISIS12?

  • ISIS12 ist ein Ver­fah­ren, das die Ein­füh­rung eines ISMS mit ver­gleichs­wei­se gerin­ge­rem Auf­wand ermöglicht..
  • ISIS12 kann als Vor­stu­fe zur Zer­ti­fi­zie­rung nach BSI IT-Grund­schutz bzw. ISO/​IEC 27001 dienen.
  • ISIS12 ist ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS), das über die Dau­er eines Zyklus in 12 Ver­fah­rens­schrit­ten ein­ge­führt wird.
  • ISIS12 wur­de spe­zi­ell für klei­ne­re Orga­ni­sa­tio­nen entwickelt.
  • Wäh­rend des gesam­ten Pro­zes­ses ste­hen die spe­zi­ell geschul­ten und zer­tif­zier­ten ISIS12-Dienst­leis­ter bera­tend zur Seite.
  • Das leicht anwend­ba­re und auto­ma­ti­sier­te ISIS12-Soft­ware­tool unter­stützt bei der Implementierung.
  • Ein spe­zi­el­les ISIS12-Hand­buch beschreibt alle Schrit­te expli­zit und klar verständlich.
  • Der ISIS12-Kata­log wur­de durch die radi­ka­le Redu­zie­rung des BSI IT-Grund­schutz­ka­ta­lo­ges der Ziel­grup­pe — klei­ne und mit­tel­stän­di­sche Unter­neh­men und nun auch kom­mu­na­le Ver­wal­tun­gen — angepasst.

ISIS12 ist ein ISMS, spe­zi­ell für klei­ne­re Orga­ni­sa­tio­nen ent­wi­ckelt, für die die Ein­füh­rung der ver­brei­te­ten ISMS zu auf­wän­dig wäre.

Quel­le: https://​www​.bsp​-secu​ri​ty​.de/​i​s​i​s​1​2​/​i​s​i​s12

Und was ist mit Zertifizierung?

Wer den Weg zur Ein­füh­rung eines ISMS beschrit­ten und erfolg­reich absol­viert hat, kann sich am Ende mit einer Zer­ti­fi­zie­rung beloh­nen. Die­se wird von der DQS GmbH ISIS12 Deut­sche Gesell­schaft zur Zer­ti­fi­zie­rung von Manage­ment­sys­te­men durch­ge­führt. Die Mühe soll sich ja gelohnt haben für alle Beteiligten.

För­der­mit­tel für baye­ri­sche Kommunen

Baye­ri­sche Kom­mu­nen kön­nen für die Ein­füh­rung eines ISMS nach ISIS12 För­der­mit­tel erhal­ten. In einem ers­ten Pro­gramm wer­den fol­gen­de Leis­tun­gen gefördert:

  • Bera­tungs­dienst­leis­tun­gen bei der Imple­men­tie­rung von ISIS12
  • Schu­lun­gen und Sen­si­bi­li­sie­rungs­maß­nah­men für Mitarbeiter
  • Erst­zer­ti­fi­zie­rung des Manage­ment­sys­tems zur Informationssicherheit

För­der­fä­hig sind nur sol­che Leis­tun­gen, die von fach­kun­di­gen, lizen­sier­ten IT-Dienst­leis­tern wie a.s.k. Daten­schutz erfol­gen. Von der För­de­rung aus­ge­schlos­sen sind Aus­ga­ben für den Erwerb von Hard- und Soft­ware, Betriebs­kos­ten sowie tech­ni­sche und bau­li­che Schutzmaßnahmen.

Geför­dert wer­den bis zu 50% der för­der­fä­hi­gen Aus­ga­ben, bis zu einer Sum­me von maxi­mal 15.000 Euro (brut­to inkl. MwSt.).

Alle wei­te­ren Infor­ma­tio­nen zur För­de­rung von ISIS12 für baye­ri­sche Kom­mu­nen kön­nen Sie auf den ISIS12-Sei­ten des Baye­ri­schen IT-Sicher­heits­clus­ters e.V. abrufen.

Wenn Sie sich zur Umset­zung ent­schie­den haben, unter­stüt­zen wir Sie ger­ne bei der Antrag­stel­lung (die­se muss vor der Auf­trags­ver­ga­be erfol­gen!) und selbst­ver­ständ­lich bei der erfolg­rei­chen Ein­füh­rung von ISIS12 in Ihrer Organisation.

Die mobile Version verlassen