Sicheres eGovernment IT-Planungsrat empfiehlt ISIS12 für kommunale IT-Sicherheit

Redakteur: Manfred Klein

Die komplexen Sicherheitsrichtlinien des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) und vergleichbare ISO-Vorgaben sind für Kommunen oft eine harte Nuss. Mit ISIS12 empfiehlt der IT-Planungsrat nun eine Vorgehensweise, die auf die Anfordrungen kleinerer Öffentlicher Verwaltungen zu geschnitten ist.

Firmen zum Thema

Der Werkzeugkasten für sicheres eGovernment wächst
Der Werkzeugkasten für sicheres eGovernment wächst
(Bild: kmiragaya - fotolia.com)

Die zunehmende Zahl an Datendiebstählen, Industriespionage und Sicherheitseinbrüchen zwingt sowohl große und kleine Unternehmen als auch Behörden, vorsichtiger mit ihren Daten und Informationen umzugehen.

Doch wie lässt sich ein Mehr an Informationssicherheit erreichen? Um einen besseren Umgang mit der Informationssicherheit zu erzielen, existieren Standards wie ISO 27001 und IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnologie (BSI). Beide sind umfangreich und komplex, was gerade kleinere Organisationen abschreckt, sie anzuwenden.

Daher hat der Bayerische IT-Sicherheitscluster e.V. vor zwei Jahren mit ISIS12 eine Alternative auf den Weg gebracht. ISIS12 ist ein Vorgehen, das in zwölf überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt und sich an den Mittelstand und kleinere Behörden richtet.

Der IT-Planungsrat hat vor kurzem eine Empfehlung dafür ausgesprochen, ISIS12 in kleinen und mittelständischen Kommunen als Verfahren für die Informationssicherheit anzuwenden. ISIS12 sei ein praktikables Vorgehen und entspräche den Leitlinien für Informationssicherheit des IT-Planungsrates.

Da sich viele IT-Verfahren der Öffentlichen Verwaltung in miteinander vielfältig vernetzten Systemen auf allen drei Ebenen (Bund, Land und Kommune) vollziehen, ist die Absicherung der ganzen Prozesskette unerlässlich geworden. Aus diesem Grund soll die Leitlinie des IT-Planungsrats auch in den Kommunen umgesetzt werden. Bereits ISIS12 erfüllt im Wesentlichen die Mindestanforderungen des IT-Planungsrats.

Materna ist einer der lizenzierten IT-Berater in Deutschland, die bei der Einführung des Informations­sicherheits-Management-Systems ISIS12 unterstützen. Alfons Marx, Experte für Informationssicherheit bei Materna, meint dazu: „Voraussetzung für mehr Informationssicherheit ist ein strukturiertes und durchgängiges Vorgehen, das die gesamte Organisation betrifft. Diese Aufgabe übernimmt ein Informationssicherheits-Management-System (ISMS), wie es auch die Standards ISO 27001 und IT-Grundschutz beschreiben. Gerade das Verfahren ISIS12 hat den Vorteil, dass es besonders skalierbar und damit sehr gut für kleinere Unternehmen und Kommunen geeignet ist.“

Außerdem enthalte es klar formulierte Anweisungen zur IT-Dokumentation, liefere konkrete Handlungsempfehlungen für die Umsetzung, verfüge über eine stringente Struktur mit Kontrollfragen und wende einen gegenüber dem IT-Grundschutz reduzierten Maßnahmenkatalog an. Damit unterstütze es insgesamt die Einführung von IT-Service-Management-Prozessen. Ein solches System sorge dafür, dass die vorhandenen Informationen vertraulich, integer, verfügbar und verbindlich und damit sicher bleiben.

Marx weiter: „Mit dem Verfahren ISIS12 können Kommunen in wenigen, transparenten und nachvollziehbaren Schritten sowie in einem überschaubaren finanziellen Rahmen ein Sicherheits-Management etablieren. Die Implementierung nach ISIS12 orientiert sich dabei sehr stark an der Grundschutzmethodik des Bundesamtes für Sicherheit in der Informationstechnik (BS) und deckt somit die grundlegenden Gefährdungen für die Informationssicherheit in der öffentlichen Verwaltung vollständig ab.“

Im vom Bundesland Bayern bei Fraunhofer AISEC in Auftrag gegebenen „Gutachten zur Anwendbarkeit von ISIS12 in der Öffentlichen Verwaltung“ heißt es unter anderem: „ISIS12 erfüllt im Groben die Mindestanforderungen des IT-Planungsrats. Laut der durchgeführten Prüfung stellt ISIS12 eine geeignete Vorgehensweise für eine definierte Standardbehörde mit ca. 500 Mitarbeitern, möglichst homogener IT-Basisinfrastruktur, keinen über öffentliche Netze ungeschützt angebundenen Außenstellen, überwiegend normalem Schutzbedarf, keinen Hochverfügbarkeitsanforderungen an IT-Systeme und keinen kritischen Anwendungen (im Sinne keine kritischen Infrastrukturen) dar.“

Da ISIS12 speziell mit der Möglichkeit der Skalierbarkeit entwickelt wurde, könne das nach ISIS12 implementierte und etablierte Sicherheitssystem (ISMS) nach dem Durchlauf weiterer erforderlichen Schritte und entsprechender Dokumentation ausgebaut werden und eine weiterführende Zertifizierung wie „ISO 27001 auf Basis von IT-Grundschutz“ beziehungsweise „ISO/IEC 27001 nativ“ erreicht werden.

Das Gutachten weiter: „Im Fall einer späteren Einführung der erwähnten Standards sind durch ISIS12 bereits essentielle Schritte eingeführt worden. Zum Beispiel wurden bereits Leitlinien für Informationssicherheit und IT-Dokumentation erstellt sowie kritische Systeme identifiziert und die entsprechenden Sicherheitsmaßnahmen eingeführt.“

Da in ISIS12 allerdings nur eine indirekte Risikoanalyse durchgeführt werde, müsse diese diese im Rahmen von ISO/IEC 27001 vorangestellt beziehungsweise bei der IT-Grundschutz-Vorgehensweise nachgelagert erfolgen und dokumentiert werden. Da für die ISIS12 Zertifizierung nur sieben Referenzdokumente vorgesehen seien, müssten für die weiterführenden Zertifizierungen noch einige mehr erstellt werden.

Es würden jedoch die wichtigen Schritte im Rahmen des ISIS12 eingeführt und die spätere Einführung von ISO 27001 oder IT-Grundschutz wird dadurch erleichtert.

Das Fokus-Gutachten weiter: „Behörden und Verwaltungen nach obiger Definition profitierten von einer Einführung eines ISMS nach ISIS12 insbesondere von der hohen Skalierbarkeit, dem generischen Aufbau, der Einführung von grundlegenden IT-Service-Management-Prozessen sowie den konkreten Handlungsempfehlungen und der stringenten Struktur mit Kontrollfragen.“

Und: „Die Implementierung eines ISMS nach ISIS12 deckt die grundlegenden Gefährdungen für die Informationssicherheit in der Öffentlichen Verwaltung ab. Mit ISIS12 ließe sich ein Managementsystem für die Informationssicherheit einführen, das eine kontinuierliche Weiterentwicklung ermöglicht und einen nachweislich dokumentierten Sicherheitsprozess unterstützt.“

(ID:43356256)