• +49 (0) 89 / 5 48 01 66 – 0
  • kontakt@baghus.de

    • Informationssicherheit, Zertifizierung, ISA+, CISIS12, ISO 27001
    Ein Überblick und ein Einstieg in die Thematik

    Wir von BAGHUS schreiben SICHERHEIT bekannterweise groß. So war es nur eine Frage der Zeit, bis unser Weg die ersten Zertifizierungen kreuzte. Da wir zu Beginn diesbezüglich selbst vor dem einen oder anderen Fragezeichen standen, möchten wir Ihnen unsere Erfahrungen weitergeben. Deshalb haben wir auf dieser Seite einige Antworten zu grundsätzlichen Fragen der Informationssicherheit sowie der ISO-Zertifizierung zusammengestellt.

    Lassen Sie uns vorab als Konvention festhalten, dass wir den Weg zur ISO-Zertifizierung als von 3 Säulen getragen sehen: Technik – Beratung – IT-Dienstleistung

    BAGHUS deckt dabei vollständig den Bereich IT-Dienstleistung ab, d. h. die professionelle und vorausschauende Betriebsunterstützung für Kernprozesse wie Infrastruktur, Windows-Server, Firewall, Mail, Client-Management und SIEM (Security Information and Event Management).

    BAGHUS – Ihr Partner für eine sichere IT-Infrastruktur

    BAGHUS liefert für den Bereich der Informationssicherheit die professionelle und vorausschauende Betriebsunterstützung für Kernprozesse wie Infrastruktur, Windows-Server, Firewall, Mail, Client-Management und SIEM.

    Die BAGHUS Lösungen versorgen Sie mit einer sicheren IT-Infrastruktur – auch, wenn Sie keine Zertifizierung planen.
    Sollten Sie später trotzdem über ein Zertifizierungsmodell nachdenken, verfügen Sie mit den BAGHUS-Komponenten über die perfekte Grundlage.

    Passende Dienstleister zu den Säulen “Technik” und “Beratung” des Zertifizierungsprozesses können wir Ihnen aus dem BAGHUS-Netzwerk benennen. Eventuell verfügen Sie bereits über entsprechende Kontakte oder Kooperationspartner, mit denen wir ebenfalls gerne zusammenarbeiten.

    Bedenken Sie bitte auch, dass die Einführung eines Informationssicherheitskonzepts noch nicht zwingend eine Zertifizierung bedeuten muss. Das entscheiden Sie zu gegebener Zeit – allerdings verfügen Sie dann bereits über alle Instrumente, um eine ISO-Zertifizierung smart durchzuführen.

    Wie kann ich Informationssicherheit in meinem Unternehmen erreichen?

    Wie in allen Lebenslagen, kann man stets abwarten und hoffen, dass nichts passiert. Aber spätestens bei Datenverlust oder erfolgreichen Angriffen auf Ihre IT-Systeme (das Worst-Case-Szenario) werden jedoch diese, Ihre Maßnahmen, alleine schon aufgrund der Anforderungen der DSGVO auf den Prüfstand der Datenschutzbehörde kommen.

    Der ideale Weg, um eine belastbare Informationssicherheit in Ihrem Unternehmen zu erreichen, ist die Einführung eines Information Security Management Systems (ISMS).
    Damit schaffen Sie die Basis für eine strukturierte Implementierung, Steuerung und Optimierung der Informationssicherheit.
    Der erfolgreiche Einsatz dieses ISMS in Ihrem Unternehmen kann – zu einem von Ihnen definierten Zeitpunkt – durch eine ISO-Zertifizierung dokumentiert und damit festgeschrieben werden.

    Die Einführung eines ISMS hat übrigens, auch für den Fall, dass Sie erst später eine Zertifizierung anstreben, entscheidende Vorteile für Sie:

    • Das Niveau Ihrer IT-Sicherheit wird erhöht.
    • Ziele werden transparent.
    • Die Wirksamkeit von Maßnahmen im IT-Sektor werden verbessert.
    • Ihre Kunden erkennen die Bedeutung, die Sie der IT-Sicherheit beimessen.
    • Sie erlangen dadurch evtl. einen Wettbewerbsvorteil.

    Wie muss ich mir eine Zertifizierung vorstellen?

    Eine gute Metapher für eine ISO-Zertifizierung ist der TÜV für ein Fahrzeug. Nur dass hier die IT Ihres Unternehmens sicherheitsseitig rundum untersucht wird. Alle relevanten Bereiche, wie z. B. Zugriffskontrollen, privilegierte Zugriffskonten im Netzwerk, die Firewall-Konfiguration, das Patch- und Update-Management oder auch die Dokumentation aller Prozesse werden nach den festen ISO-Regeln überprüft, verifiziert und schlussendlich zertifiziert.

    Dabei kommt es aber nicht alleine auf die Technik an; auch organisatorische, personelle und physische Sicherheitsmaßnahmen sind, neben den bereits erwähnten technischen, hierbei zu beachten.

    Der Ablauf selbst unterteilt sich in mehrere Schritte: von der Entscheidung zur Zertifizierung über die Auswahl einer Zertifizierungsstelle und Bestellung eines Auditors bis hin zur erfolgreichen Zertifizierung kann es einige Zeit dauern.

    Wenn dies aber erfolgreich gemeistert wurde kommt die Besonderheit der Zertifizierung: sie hat eine Gültigkeit von drei Jahren bis eine Re-Zertifizierung nötig wird. Somit wird sichergestellt, dass der geschaffene Sicherheitsgrad auch über die Jahre hinweg beibehalten und gelebt wird. Hierfür sorgen auch die Überwachungsaudits, die zwischen den Zertifizierungen durchgeführt werden.

    Ist eine Zertifizierung überhaupt nötig, welche Vorteile bietet sie mir?

    Wenn Sie nicht gewissen Vorgaben unterliegen (Stichwort KRITIS*) ist eine Zertifizierung (noch) nicht nötig aber natürlich bereits möglich. Aktuell gibt es noch Geschäftsfelder, Kunden und Aufträge, welche bestimmte Zertifizierungsformen noch nicht zwingend vorschreiben.
    Wenn Sie jedoch ein zukunftsorientiertes Unternehmen sind, das auf “der Höhe der Zeit” agiert und auf künftige Anforderungen (ideller wie rechtlicher Art) vorbereitet sein will, werden Sie sich über kurz oder lang mit dem Thema beschäftigen (müssen).

    Der Einstieg in eine Zertifizierung wird Ihnen und Ihrem Unternehmen jedoch zahlreiche Vorteile bringen:

    • Sie signalisieren Ihren Kunden, dass bei Ihnen durch systematische Prozesse und allgemein anerkannte Regulationen für einen sicheren Umgang mit Daten gesorgt wird.
      (Eventuell ergeben sich Wettbewerbsvorteile für Sie).
    • Für künftige Anforderungen von Bestandskunden und / oder neuen Kunden (z. B. das Lieferkettengesetz betreffend) sind Sie optimal vorbereitet.
    • Sie führen im Zuge der Zertifizierung systematische Prozesse ein, mit denen Sie Informationssicherheit steuern und kontinuierlich verbessern. Die firmeninternen Abläufe werden dabei verschlankt, was sich auf Dauer in geringeren betrieblichen Kosten niederschlägt.
    • Ihren eigenen Mitarbeitern geben Sie mit einer Zertifizierung bewährte und rechtskonforme Abläufe und Regularien an die Hand, um alle betrieblichen Vorkommnisse routiniert handhaben zu können – das vermittelt Ihren Mitarbeitern Sicherheit und stärkt zugleich deren Kompetenz.

    * KRITIS steht für Kritische Infrastrukturen und umfasst „ Anlagen, Systeme oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.

    Welche Zertifizierungs-Modelle stehen mir zur Verfügung und wie kann ich am besten mit Informationssicherheit starten?

    Hier existieren verschiedene Möglichkeiten wie Sie starten können: allem voran steht ihr Unternehmen und Ihre Ausgangslage.
    Wichtige Faktoren, welche hierbei eine Rolle spielen, sind beispielsweise der Umfang, die Zertifizierungshöhe bzw. -intensität, der geographische Geltungsbereich aber auch der Aufwand für die Implementierung.

    Bitte beachten Sie: Sie können und sollten auch mit einem Procedere für Informationssicherheit starten, selbst wenn Sie aktuell noch keine Zertifizierung planen. Wie in der Antwort zur obigen Frage “Wie kann ich Informationssicherheit in meinem Unternehmen erreichen?” dargelegt, wird dieses Vorgehen zahlreiche Vorteile für Ihr Unternehmen mit sich bringen.

    ISA+ (Informations-Sicherheits-Analyse)

    Bei der ISA+ handelt es sich um eine Bescheinigung und nicht um eine Zertifizierung. Sie kann aber durchaus als Einstieg in die Informationssicherheit genutzt werden.
    Hierfür steht online ein Katalog zur Verfügung, welcher 50 Fragen und entsprechende Handlungsempfehlungen enthält. Der Fokus liegt in organisatorischen, technischen und rechtlichen Bereichen Ihres Unternehmens.

    CISIS12 ( Compliance-Informations-Sicherheits-Management-System in 12 Schritten)

    CISIS12 ist der weiterentwickelte Nachfolger des seit vielen Jahren etablierten ISIS12. Der Buchstabe C wurde dem früheren ISIS12 Standard hinzugefügt, da das Thema Compliance stärker in den Vordergrund gerückt werden soll. Durch ein systematisches Vorgehen in 12 Schritten wird die Einführung und Pflege eines ISMS schematisch, transparent und nachvollziehbar.
    Die CISIS12 wurde speziell für die Informationssicherheit in Kommunen und KMUs entworfen und deckt vom geografischen Gültigkeitsbereich her nur Deutschland ab.

    ISO 27001

    Die national und international gültige Norm ISO 27001 bildet das Top-Level einer Zertifizierung im Bereich Informationssicherheit. Diesbezüglich ist auch der zu erwartende Aufwand bei Einführung zu beachten.
    Ein zentrales Element zur Unterstützung Ihres Unternehmens bildet hierbei eine Risikoanalyse welche zugleich beispielsweise als Grundlage für Notfallpläne, Schutzbedarfsanalyse sowie Ihr Assetmanagement gilt.
    Durch die drei Säulen “Technik – Beratung – IT-Dienstleistung” wird ein solides Grundgerüst für die Zertifizierung geschaffen.
    Vor allem, da die Maßnahmen und Verfahrenshinweise abstrakt gehalten werden und je nach Unternehmen anders verstanden werden können. Daher empfehlen wir, akkredierte Berater frühzeitig mit ins Boot zu holen, um gleich von Beginn an zielgerichtet zu agieren.
    Gerade mit Blick auf die kommende, europaweit geltende NIS2-Richtlinie rückt eine Zertifizierung nach ISO 27001 weiter in den Fokus.

    Wie kann BAGHUS mich auf dem Weg zu einer Zertifizierung unterstützen?

    BAGHUS kann Sie auf Ihrem Weg zur Informationssicherheit und später dann auch zur ISO Zertifizierung mit zahlreichen Service-Optionen unterstützen.
    Dazu zählen z.B. die regelmäßige Kontrolle Ihrer Backups, Server oder Firewalls, der Betrieb und die Überwachung Ihres Endpoint Managements und noch viele weitere Tätigkeiten, die es im Rahmen der Informationssicherheit abzudecken gilt.
    Nehmen Sie Kontakt zu uns auf, wir analysieren gerne den auf Sie zugeschnittenen Bedarf.

    Aus unserem Partner-Netzwerk können wir Ihnen zudem qualifizierte Dienstleister für die Säulen “Technik” und “Beratung” nennen, soweit Sie nicht bereits schon über derartige Kontakte verfügen.