Schlanke und skalierbare IT-Standards für den Mittelstand

Der Nutzen von CISIS12 und ISA+

IT-Special
Industrie 4.0
Betriebswirtschaft und Management
Digitalisierung
Die Digitalisierung ist zweifellos ein Treiber der wirtschaftlichen Entwicklung. Sie optimiert Unternehmensprozesse, stellt aber auch hohe Anforderungen an die IT-Sicherheit.

Durch Schnittstellen werden Unternehmensprozesse transparenter und Abläufe deutlich beschleunigt, die Analysetools in Bezug auf ihre Prognosen immer treffsicherer, Routineaufgaben automatisiert. 

Die Datenflut hat aber nicht nur zu Optimierungen in den Unternehmen geführt, sondern auch zu neuen "Geschäftsmodellen" in der Welt der Kriminellen. In den vergangenen Jahren ist das Ausmaß der Schäden durch Cyberattacken in der deutschen Industrie sichtbar gestiegen. Mittelständler sind laut dem IT-Branchenverband Bitkom dabei überproportional häufig betroffen.

Manche Unternehmen wiegen sich in falscher Sicherheit oder denken, sie seien zu klein, um im Raster der Cyberkriminellen hängenzubleiben, anderen fehlt es an personellen oder finanziellen Ressourcen für die IT-Abteilung, oder die Energiekrise erfordert so viel Aufmerksamkeit der Geschäftsleitung, dass das Thema IT-Sicherheit hintenanstehen muss. Doch es rächt sich, wenn die IT nicht wetterfest gemacht wurde, denn eine Cyberattacke kann die wirtschaftliche Existenz eines Unternehmens in kürzester Zeit vernichten.

Statistisch betrachtet haben KMU mehr Schwachstellen in der IT-Sicherheit als Konzerne und sind daher ein lohnendes Ziel für Cyberkriminelle. Bereits ein E-Mail-Zugang kann ein Einfallstor sein. Zudem ist der Handel mit erbeuteten Daten generell ein sehr lukratives Geschäft, sodass Hacker kaum nach Unternehmensgröße oder der potenziellen Marge entscheiden. Ausschlaggebend ist der Aufwand, eine angreifbare Sicherheitslücke zu finden. 

Schlanke Standards für KMU
Um ein Unternehmen vernünftig gegen Cyberangriffe abzusichern, sind weder teure Investitionen, wochenlange Projekte noch eine eigene IT-Abteilung nötig. 

Vom Bayrischen IT-Sicherheitscluster e.V. wurden eigens für mittelständische Unternehmen die Instrumente ISA+ und CISIS12 entwickelt – Standards, die auch für KMU erreichbar sind und zugleich die gesetzlichen Anforderungen erfüllen. Hinter dem Bayrischen IT-Sicherheitscluster e.V. steht ein Zusammenschluss der IT-Wirtschaft mit Forschungseinrichtungen und Juristen, der vom Wirtschaftsministerium BMWK und vom Bildungsministerium BMBF gefördert wird.

Bei der Informations-Sicherheits-Analyse (ISA+) handelt es sich um eine praxisnahe Bedarfsanalyse, mit der das aktuelle IT-Sicherheitsniveau im Unternehmen erfasst wird. Gestützt auf den ISA+Fragenkatalog werden daraus Handlungsempfehlungen abgeleitet, mit denen die identifizierten IT-Sicherheitslücken geschlossen werden. KMU können damit in kurzer Zeit ein funktionierendes Informationssicherheitsmanagement (ISMS) einführen.

Das CISIS12 ist eine Art „Light-Version“ der ISO 27001. Im Vergleich zu einer ISO 27001-Einführung sind die Kosten der CISIS12-Zertifizierung deutlich geringer, da der Umfang der Prüfung reduziert werden kann. Obwohl sich CISIS12 durch einen schlanken Aufbau auszeichnet, handelt es sich um ein vollwertiges System zur Datensicherheit im Unternehmen, mit dem sich nachweislich stabile Ergebnisse erzielen lassen.

Nach Einführung des CISIS12-Standards kann eine Zertifizierung nach CISIS12 angestrebt werden. Die Zertifizierung ist vor allem sinnvoll, wenn gesetzliche Nachweispflichten zu erfüllen sind oder wenn Unternehmen gegenüber Versicherungen oder Kunden das Niveau ihrer IT-Sicherheit nachweisen wollen.

Kompatibilität mit umfangreicheren Normen
Eine interessante Möglichkeit ist es, das CISIS12-System nach den Anforderungen der ISO 27001 zu erweitern, um eine Zertifizierung nach ISO 27001 zu erhalten. CISIS12 bietet sehr gute Voraussetzungen für eine Erweiterung und ist mit anderen Normen kompatibel. 

Sollten bestehende oder potenzielle Geschäftspartner eine Zertifizierung nach ISO 27001, BSI-Grundschutz oder TISAX verlangen, lässt sich sehr gut auf der Grundlage aufbauen, die mit der CISIS12 geschaffen wurde. 

Durch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) auf Basis des CISIS-12-Standards heben Unternehmen also nicht nur ihre IT-Sicherheit auf eine vernünftige Stufe und schützen sich vor Cyberangriffen. Sondern sie positionieren sich in eine strategisch günstige Position, von der aus schnell agiert werden kann, falls ein zukünftiger Geschäftspartner eine Zertifizierung nach ISO 27001, BSI-Grundschutz oder TISAX verlangt, da das bestehende System lediglich erweitert werden muss.

Weitere Informationen:
https://spedihub.de