IT-Sicherheit für KMU: Mit ISA+ Defizite entdecken!

INHALT

• IT-Sicherheit für KMU – Reifegrade in vier Stufen
• 50 praxisbezogene IT-Sicherheits-Fragen
• Informations-Sicherheits-Analyse – für welches Unternehmen?
• Auf ISA+ lässt sich aufbauen
• IT-Sicherheit für KMU – Fazit

Laut einer Forsa-Umfrage vom April 2020 unter 300 kleinen und mittleren Unternehmen (KMU) erfüllt nur jedes fünfte befragte Unternehmen die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. Derzeit zeigen sich große Sicherheitslücken, die Cyberkriminelle gezielt ausnutzen.

Dabei gelang es nur einem Drittel der bisher angegriffenen Unternehmen, ihre IT-Systeme innerhalb eines Tages wieder zum Laufen zu bringen, so die repräsentative Umfrage. Der Bedarf an Informationssicherheit wird also offensichtlich unterschätzt. ISA+ ist gerade für KMU in Deutschland ein geeignetes Werkzeug, dieses Defizit in der IT-Sicherheit auszugleichen.

IT-Sicherheit für KMU – Reifegrade in vier Stufen

Die Informations-Sicherheits-Analyse ISA+ wurde vom Bayerischen IT-Sicherheitscluster e.V. entwickelt, einem Zusammenschluss von Unternehmen, Hochschulen, Forschungs- und Weiterbildungseinrichtungen und Juristen, deren gemeinsames Interesse der Informationssicherheit gilt.

Das Verfahren sieht vor, zunächst den Informationssicherheitsbedarf eines Unternehmens anhand eines speziellen Fragenkatalogs zu ermitteln. Ein akkreditierter Berater gleicht dabei die zu jeder Frage gegebenen Handlungsempfehlungen mit den Antworten der Unternehmen ab, und zwar anhand von Reifegraden in vier Stufen.

Daraus ergibt sich der aktuelle Grad der Informationssicherheit mit Stärken und Schwächen. Der Berater ermittelt auf dieser Basis, welche Maßnahmen mit Blick auf einen wirksamen Prozess zur IT-Sicherheit notwendig sind. Als Nachweis für die Wirksamkeit dieses Prozesses kann sich das Unternehmen von der DQS, dem Zertifizierungspartner des Bayerischen IT-Sicherheitsclusters für ISA+, auditieren lassen. Die Konformitätsbescheinigung gilt für ein Jahr.

50 praxisbezogene IT-Sicherheits-Fragen

Der Fragenkatalog umfasst 50 sehr praxisbezogen formulierte Fragen, die sich bei guter Vorbereitung und Unterstützung des akkreditierten Beraters gut beantworten lassen. Themen, die aber nicht nur für die IT-Sicherheit von KMU relevant sind.

Die Fragen sind in folgende Kapitel unterteilt:

• allgemeine Themen (Unternehmensgröße, Anzahl der Mitarbeiter etc.)
• Organisation (Richtlinien, Anweisungen, Schulung, Verantwortlichkeit etc.)
• Technik und IT-Sicherheit (vorhandene IT-Systeme, Datensicherung, Notfallvorsorge etc.)
• Recht (Compliance, Leistungen Dritter, Datenschutz etc.)

Informations-Sicherheits-Analyse – für welche Unternehmen?

Das vor allem für KMU gedachte Verfahren ISA+ erleichtert den Einstieg in die Informationssicherheit durch eine übersichtliche und leicht verständliche Herangehensweise, die den teilnehmenden Unternehmen keine tiefgreifenden Kenntnisse zur Informationssicherheit abverlangt – ein großer Vorteil zum Beispiel für eher betriebswirtschaftlich orientierte Führungskräfte, die das Verfahren in ihrem Unternehmen ohne zusätzlichen Aufwand begleiten können.

Eine ganze Reihe von KMU hat sich bereits für ISA+ entschieden. Nicht nur aus der freien Wirtschaft, sondern auch viele kommunale Stellen und öffentlich-rechtliche Gebietskörperschaften, wie der Zweckverband der Abfallwirtschaft Kempten (ZAK). Das Unternehmen wurde von der DQS – Kooperationspartner des Bayerischen IT-Sicherheitsclusters – an zwei Tagen auditiert. Am ersten Tag nahm DQS-Auditor Johann Grünauer bei dem bestens vorbereiteten Unternehmen zunächst eine Akteneinsicht vor, mit der bereits 33 Fragen des Katalogs abgedeckt werden konnten. Am zweiten Tag folgte eine Begehung der drei Standorte mit Interviews (14 Fragen) und Beobachtungen des Auditors (3 Fragen).

Auf ISA+ lässt sich aufbauen

Mit der Informations-Sicherheits-Analyse kann sich ein Unternehmen entscheiden, wie es sich für die Zukunft aufstellen möchte: Ob es bei ISA+ bleibt oder ob eine Weiterentwicklung zur vollumfänglichen Informationssicherheit sinnvoll ist.

Zur Aufstockung der IT-Sicherheit gibt es mehrere Optionen: entweder die Einführung des Regelwerks CISIS12^®, das ebenfalls vom Bayerischen IT-Sicherheitscluster für KMU entwickelt wurde, jedoch auf höherem Niveau agiert, eventuell eine Implementierung des BSI-IT-Grundschutzes oder aber der direkte Einstieg in die Welt der ISO-Normen mit Einführung und Zertifizierung eines Informationssicherheits-Managementsystem nach ISO 27001.

Ein vollumfängliches Managementsystem ist sicher die Königsdisziplin in der Informationssicherheit, aber mit entsprechend höherem Kosten- und Zeitaufwand. Mit dem ersten Schritt zu ISA+ (und ggf. CISIS12^®) schafft ein Unternehmen auf jeden Fall ein gutes Schutz-Niveau, auf das bei der Implementierung höherer Informationssicherheitsstufen aufgebaut werden kann.

IT-Sicherheit für KMU – Fazit

Die Informations-Sicherheits-Analyse ISA+ erleichtert vor allem kleinen und mittleren Unternehmen (KMU) den Einstieg in die IT-Sicherheit. Anhand eines speziellen Fragenkatalogs wird zunächst der Bedarf an Informationssicherheit im Unternehmen ermittelt.

Der Katalog umfasst 50 praxisbezogene, verständlich formulierte Fragen, die sich bei guter Vorbereitung und Unterstützung eines akkreditierten Beraters entsprechend gut beantworten lassen. Daraus ergibt sich der aktuelle Sicherheitsgrad mit Stärken und Schwächen, aus dem sich notwendige Maßnahmen ableiten lassen.

Nach der erfolgreichen Umsetzung von ISA+ kann das Unternehmen für den Zeitraum von einem Jahr eine Konformitätsbescheinigung der DQS erhalten.