Informations-Sicherheits-Analyse ISA+

Mit dem Standard ISA+ gelingt kleinen und mittleren Unternehmen der einfache und direkte Einstieg in die Informationssicherheit. Bei dem Instrument handelt es sich um eine praxisnahe Bedarfsanalyse, mit der das aktuelle IT-Sicherheitsniveau im Unternehmen erfasst wird.

Schneller Einstieg in die IT-Sicherheit

Umgesetzt wird diese Bedarfsanalyse durch einen Fragenkatalog von 50 Fragen. Dieser beruht auf Best-Practices-Ansätzen und wird jährlich überprüft und dem aktuellen Stand der Technik angepasst.

Gestützt auf den ISA+ Fragenkatalog werden aus den Ergebnissen der Analyse klare Handlungsempfehlungen abgeleitet, mit denen Sie die identifizierten IT-Sicherheitslücken schließen.
Die Abkürzung “ISA” steht für Informations-Sicherheits-Analyse (ISA+). Konzipiert wurde die Lösung vom Bayrischen IT-Sicherheitscluster e.V., einem Zusammenschluss der IT-Wirtschaft mit Forschungseinrichtungen und Juristen, der vom Wirtschaftsministerium BMWK und vom Bildungsministerium BMBF gefördert wird.

Aufbau der ISA+

Organisatorische Analyse

Bevor mit dem eigentlichen Fragenkatalog gestartet werden kann, ist zu definieren, welche Prozesse und Systeme für das Tagesgeschäft des Unternehmens unverzichtbar sind. Anschließend wird betrachtet, welche organisatorischen Aspekte im Bereich der IT-Sicherheit im Unternehmen umgesetzt werden. Hierzu zählen folgende Themen:

  • Leitlinie
  • Verantwortlichkeiten
  • Schutzbedarfsfeststellung
  • Konzepte und Checklisten
  • Schulung
  • Bestehende organisatorische Absicherungsmaßnahmen

Das Ziel der ISA+ ist der Überblick über die organisatorischen und technischen Maßnahmen, die nötig sind, damit Sie Ihre Kronjuwelen ausreichend geschützt wissen.

Technische Analyse

Neben den organisatorischen Maßnahmen ist die technische Analyse genauso wichtig, um festzustellen, welchen Reifegrad das Sicherheitsniveau zum Zeitpunkt der Analyse besitzt. Das Unternehmen muss sich bewusst sein, welche technischen Prozesse und Anwendungen unbedingt erforderlich sind, um das Kerngeschäft abwickeln zu können. Hierfür werden die relevanten Abhängigkeiten überprüft. Daraus ergeben sich bspw. folgende Themen:

  • Auflistung aller kritischen Prozesse, Anwendungen und Dienstleiter
  • Absicherung der Systeme
  • Patchmanagement
  • WLAN-Absicherung
  • Berechtigungskonzept
  • Virenschutzmaßnahmen
  • Firewall-Management
  • Merkblätter und Checklisten
  • Physische Absicherung der IT-Infrastruktur
  • Backupkonzept
  • Notfallmanagement

Rechtliche Analyse

Viele Unternehmer fragen sich erst einmal, warum sie sich mit rechtlichen und vertraglichen Aspekten der IT-Sicherheit beschäftigen sollten.
Häufig wird hierbei vergessen, dass die meisten Verträge so gestaltet sind, dass Sie eine Vertraulichkeitserklärung unterzeichnen müssen, damit eine Geschäftsbeziehung entstehen kann.
Sind Sie von einem IT-Sicherheitsvorfall betroffen, haben Sie sich nicht nur darum zu kümmern, dass Ihr Tagesgeschäft wieder reibungsfrei funktioniert, sondern werden auch Ihren Kunden gegenüber Rechenschaft ablegen müssen. Diese können von Ihnen eine Erklärung fordern, welche Maßnahmen Sie getroffen haben, um deren vertrauliche Daten zu schützen.
Aus diesem Grund empfiehlt es sich, darüber nachzudenken, wie Sie Ihre Rechenschaftspflicht nachweisen können, um mögliche Schadensersatzansprüche und vor allem einen Vertrauensverlust zu vermeiden.
Bei der rechtlichen Analyse werden daher folgende Bereiche einbezogen:

  • Verarbeitungsverzeichnis
  • Löschkonzept
  • Übersicht vertraglicher Anforderungen
  • Übersicht gesetzlicher Anforderungen
  • SLAs und Vereinbarungen zu Cloud-Diensten
  • Dienstleisterliste

Interessiert es Sie, welchen Reifegrad Ihr Unternehmen bei der IT-Sicherheitsanalyse ISA+ erreicht? Lassen Sie uns gerne dazu austauschen!

FAQ

Viele Unternehmen führen ein ISMS ein, um Anforderungen von Kunden nachzukommen, die eine IT-Sicherheitszertifizierung verlangen. Wichtiger ist es aus meiner Sicht, sich mit dem Thema auch ohne Kundenanforderung zu beschäftigen.
Ein Informationssicherheitsmanagement-System (ISMS) unterstützt Sie dabei, Ihre digitalen Daten und Ihre sensiblen Geschäftsinformationen vor unbefugtem Zugriff zu schützen. Dieses wird auf Grundlage einer IT-Sicherheitsanalyse aufgebaut, aus der Sie Handlungsempfehlungen erhalten. Durch ein Audit können Sie dann überprüfen, ob die Maßnahmen wirksam umgesetzt wurden und ob sich neue Handlungsfelder ergeben haben.
Nur so können Sie wertvolles Wissen, welches Sie über Jahre aufgebaut haben, sicher schützen.

Um sicherzustellen, dass Ihr Backup seinen Zweck erfüllt, sollte ein Backupkonzept erstellt werden. Darin wird festgelegt, welche Daten in welchen zeitlichen Abständen auf welchen Medien gesichert werden müssen.

Ebenso wichtig ist es, die Wiederherstellbarkeit eines Backups zu testen – also zu überprüfen, ob Ihr Backup im Ernstfall auch funktioniert – sowie Schutzmaßnahmen gegen Verlust von Backups zu treffen.

Prinzipiell kann auch einen FritzBox mit ihren Grundfunktionen ungewollte Zugriffe verhindern, wenn grundlegende Regeln beachtet werden. Zum einen sollten neuen Patches unmittelbar eingespielt werden (hierfür gibt es eine Autoupdate-Funktion). Zum anderen sollten Ports, die Sie nicht verwenden, geschlossen werden. Allerdings sind die Funktionalitäten der Firewall und des Monitorings sehr eingeschränkt.

Wenn Sie aus dem Homeoffice oder in einem ICE surfen, schützt Sie ein virtuelles privates Netzwerk (VPN) davor, dass Dritte Ihre übermittelten Daten mitlesen können.

Weiter Vorteile sind, dass Ihre IP-Adresse und Ihr Standort verborgen bleiben.

Die Informations-Sicherheits-Analyse (ISA+) wurde für kleine und mittlere Unternehmen und für Kommunen entwickelt. Die “großen” Sicherheitschecks wie der BSI-Grundschutz oder die ISO 27001 sind vom zeitlichen, personellen und finanziellen Aufwand für Großunternehmen dimensioniert und werden KMU nicht gerecht. Mit ISA+ wurde ein Standard entwickelt, der auch für KMU erreichbar ist und zugleich die gesetzlichen Anforderungen erfüllt.

Aktuelle Beiträge zur Datensicherheit