Wir alle kennen die News von bösartigen Hacker-Angriffen auf die Bundestags-IT, von Schäden durch Ransomware auf Krankenhäuser und die Deutsche Bahn sowie DDOS-Attacken in bisher unerreichten Dimensionen, vor denen selbst große Cloud-Provider nicht immer gefeit sind.

Um solchen Attacken Einhalt zu gebieten, sind verschiedene organisatorische wie technische Prozesse in einer IT-Organisation zu etablieren. Als Fundament ist hierbei der Aufbau eines Information Security Management System, kurz ISMS, zu empfehlen. Dieses System beruht wiederum auf Branchen-spezifischen wie -neutralen Normen. Zum Quasi-Standard hat sich bereits vor Jahren die ISO/IEC 27001 gemausert, eine internationale Norm, die eine Reihe weiterer Normen nach sich zieht wie 27002 zur Vorgehensweise und 27005 zur Risikoanalyse. Diese Norm-Familie unterstützt dabei, durch geeignete Maßnahmen erkannte Risiken auf die IT zu minimieren. Zum guten Ton gehört dabei, sich durch unabhängige Audits regelmäßig prüfen zu lassen. Hier winkt am Ende ein Zertifikat, das ein hohes Sicherheits-Niveau bescheinigt und nebenbei eine positive Außenwirkung mit sich bringt.

Kein Wunder also, dass das IT-Sicherheitsgesetz vielen Betreibern von IT auferlegt, sich an etablierten Standards und Normen zu orientieren, und somit den Aufbau eines ISMS auf Basis von 27001 vorschreibt. Davon sind letztlich tausende Unternehmen und öffentliche Einrichtungen betroffen. Dazu zählen beispielsweise Betreiber “kritischer Infrastrukturen” (KRITIS) wie Energieversorger, Verkehrsbetriebe, Krankenhäuser und Banken. Sie sind essentiell für unseren Alltag und sollen bitte schön auch dann funktionieren, wenn organisierte Kriminelle den nächsten Coup starten.

Der Weg zu einem nachweislich hohen Niveau in der Informationssicherheit kostet viel Zeit und Geld. Aus Erfahrung unserer Partner und Kunden wissen wir, dass mindestens 18-24 Monate ins Land gehen. Doch wie vorgehen? Wer einen IT-Sicherheitsbeauftragten und/oder externes Know-How zur Hand hat, darf sich glücklich schätzen. Jede Hilfe wird gern gesehen. Ein essentieller Schritt relativ am Anfang ist das Schaffen der nötigen Transparenz: Welche Hard- und Software läuft in der IT-Organisation? Man kann nur schützen, was man kennt. Eine IT-Dokumentation wie i-doit muss also zwingend her. ISO 27002 & Co. fordern allerdings viele weitere Dokumente, die teilweise auf einer solchen IT-Dokumentation fußen. Daher liegt es nahe, die IT-Dokumentation möglichst tief in die weiteren Dokumentationsprozesse für die Zertifizierung zu integrieren.

Und hier wird i-doit weiterhelfen: Ab Herbst 2017 werden wir ein Add-on für i-doit pro auf den Markt bringen, um die relevanten Dokumentationsprozesse der ISO-2700x-Normen zu begleiten. Mit unserem Add-on i-doit VIVA, das die IT-Grundschutzkataloge des BSI mit der ITDokumentation verbindet, konnten wir in den vergangenen Jahren viel Erfahrung sammeln, die in das neue Add-on einfließen werden. Zudem werden wir tatkräftig von unserem langjährigen Partner procilon, ein Experte auf dem Gebiet der Informationssicherheit, unterstützt. Der harten Realität stellt sich die Methodik des Add-ons bereits in ersten Kundenprojekten.

Wir sind der Überzeugung, dass ein ISMS und eine IT-Dokumentation untrennbar miteinander vereint gehören. Nicht oder unsauber vernetzte Insellösungen sind heutzutage nicht mehr zeitgemäß. Wo es sinnvoll erscheint, schaffen wir in i-doit Schnittstellen zu Dritt-Applikationen wie Network Monitoring, Discovery und Service Desk oder erweitern gar durch Add-ons den Funktionsumfang von i-doit erheblich – eben von Admins für Admins.

Wer mehr darüber erfahren möchte, wie man ein ISMS auf Basis von ISO/IEC 27000x mit i-doit etablieren kann, sollte den Vortrag “ISO 27001 und IT-Grundschutz mit i-doit” auf der diesjährigen i-doit Anwenderkonferenz nicht verpassen.

Im Oktober erscheint das i-doit ISMS Add-on!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.