Informationssicherheit, ein weites Feld - häufige Fragen
DIN SPEC 27076, ITQ-Basisprüfung, ISO 27001, BSI-Grundschutz - ich bin verwirrt, wie muss ich das alles einordnen?
Eine schöne Analogie ist die der deutschen Schwimmabzeichen. Sie kennen das "Seepferdchen"? Die DIN SPEC 27076 könnte man hier einordnen: Für Kleinstbetriebe, die überhaupt einmal
wissen möchten, was man unter IT-Sicherheit versteht, wäre dies ein Einstiegspunkt. Am anderen Ende der Skala könnte man das Rettungsschwimmabzeichen Gold in den Normen ISO 27001 und
BSI-Grundschutz sehen.
Sie fragen sich, wo die normalen Schwimmabzeichen bronze/silber/gold in dieser Analogie bleiben? Genau, hier verortet sich die ITQ-Basisprüfung ("bronze") und unser darauf aufbauendes Informationssicherheits-Management ("silber"). Die Entsprechung des Schwimmabzeichens in Gold (NIS2-Statuscheck) bereiten wir derzeit vor. Kontaktieren Sie uns gern bereits jetzt, wenn Sie hieran interessiert sind.
Sie fragen sich, wo die normalen Schwimmabzeichen bronze/silber/gold in dieser Analogie bleiben? Genau, hier verortet sich die ITQ-Basisprüfung ("bronze") und unser darauf aufbauendes Informationssicherheits-Management ("silber"). Die Entsprechung des Schwimmabzeichens in Gold (NIS2-Statuscheck) bereiten wir derzeit vor. Kontaktieren Sie uns gern bereits jetzt, wenn Sie hieran interessiert sind.
- Wenn Sie also verantwortlich sind für eines der ca. 4,3 Millionen kleinen und mittleren Unternehmen in Deutschland,
- die zwar jeden Tag mit Themen wie KI, Datenschutz und Digitalisierung konfrontiert sind,
- aber keine umfassende IT-Expertise im Haus haben, sondern sich mit Hausmitteln selbst helfen oder einen IT-Dienstleister beauftragt haben,
dann ist es unbedingt erforderlich, ordentlich schwimmen zu lernen - es muss ja nicht gerade gleich aus dem Stand das Rettungsschwimmabzeichen werden. Auch mit dem Freischwimmerabzeichen scheucht Sie kein Bademeister mehr einfach so aus dem Wasser. Mit der ITQ-Basisprüfung zeigen Sie Ihren Kundinnen und Kunden, dass die digitale Stabilität der Lieferkette durch Ihr Unternehmen nicht untergeht.
Mein Unternehmen fällt direkt oder indirekt unter die NIS2-Gesetzgebung, ist die ITQ-Basisprüfung etwas für mich?
Klares Jain. Auf der sicheren Seite wären Sie mit einer Zertifizierung Ihrer IT-Sicherheit nach ISO 27001 oder BSI-Grundschutz. Allerdings ist das nicht für jedes Unternehmen wirtschaftlich und organisatorisch darstellbar. Falls Ihre Unternehmensgröße es durchaus angemessen erscheinen lässt, für die Zertifizierung der IT-Sicherheit innerhalb der nächsten drei Jahre ca. 500 TEuro zu investieren, raten wir Ihnen nicht zur ITQ-Basisprüfung. Sollten Sie jedoch z.B. als kleines Unternehmen in der Lieferkette Ihres größeren Kunden nach Ihrem IT-Sicherheitsmangement befragt werden, kann die ITQ-Basisprüfung durchaus die angemessene Antwort sein. Es kommt auf den Einzelfall an, den wir gern jederzeit prüfen - bitte kontaktieren Sie uns!
Große Unternehmen lassen sich nach ISO 27001, BSI-Grundschutz oder TISAX zertifizieren. Für den Minimal-Einstieg hat das BSI die DIN SPEC 27076 formuliert. Mein Unternehmen ist aber weder
groß, noch erscheint mir ein Mini-Engagement in Sachen IT-Sicherheit angemessen. Und nun?
Willkommen bei digital stabil und unserem wichtigsten Angebot, der ITQ-Basisprüfung. Diese positioniert sich exakt in der Lücke, in der sich sehr viele KMU wiederfinden: Eine "große Norm" ist
nicht leistbar, weil weder finanzieller noch organisatorischer noch personeller Aufwand angemessen erscheinen. Und eine Art "CyberRisk-Seepferdchen-Schwimmabzeichen" ist eher nichts, worauf
das digitale Schicksal gegründet werden soll (aber es ist besser als gar nichts!).
Über vier Millionen Unternehmen in Deutschland verstehen sich als KMU, und für den allergrößten Teil hiervon fehlte es bisher an einem pragmatischen Lösungsansatz. Die ITQ-Basisprüfung in Kombination mit unserem leichtgewichtigen Informationssicherheits-Mangementsystem liefert genau diesen Ansatz: Eine standardisierte Prüfung des Ist-Zustands liefert einen Abgleich mit dem Stand der Technik, einen Vergleichswert, eine Risikobewertung und schlussendlich eine ganz konkrete ToDo-Liste, die die Möglichkeiten Ihres Unternehmens berücksichtigt. Finden Sie heraus, wie Sie im Vergleich zum Wettbewerb aufgestellt sind und messen Sie erreichte Verbesserungen durch wiederkehrende Basisprüfungen. Und am allerwichtigsten: Verbessern sie die digitale Stabilität Ihres Unternehmens entscheidend.
Über vier Millionen Unternehmen in Deutschland verstehen sich als KMU, und für den allergrößten Teil hiervon fehlte es bisher an einem pragmatischen Lösungsansatz. Die ITQ-Basisprüfung in Kombination mit unserem leichtgewichtigen Informationssicherheits-Mangementsystem liefert genau diesen Ansatz: Eine standardisierte Prüfung des Ist-Zustands liefert einen Abgleich mit dem Stand der Technik, einen Vergleichswert, eine Risikobewertung und schlussendlich eine ganz konkrete ToDo-Liste, die die Möglichkeiten Ihres Unternehmens berücksichtigt. Finden Sie heraus, wie Sie im Vergleich zum Wettbewerb aufgestellt sind und messen Sie erreichte Verbesserungen durch wiederkehrende Basisprüfungen. Und am allerwichtigsten: Verbessern sie die digitale Stabilität Ihres Unternehmens entscheidend.
Meine Branche zählt zum KRITIS-Bereich oder wird in der NIS2-Gesetzgebung genannt. Zwar ist mein Unternehmen so klein (NIS2: kleiner 50 Mitarbeitende), dass ich eigentlich nicht
unmittelbar betroffen bin. Aber wenn ich so über Lieferketten nachdenke, oder aus der Perspektive unserer Kundinnen und Partner auf das Thema blicke, dann habe ich das Gefühl, etwas tun zu
müssen. Was raten Sie mir?
Es wird Sie nicht überraschen, dass wir Ihnen wahrscheinlich unsere wichtigste Leistung, die ITQ-Basisprüfung, empfehlen können. Warum? Warum "wahrscheinlich"? Und warum nicht etwas
Anderes?
- Warum: Weil Sie bereits erkannt haben, dass Sie über das Thema Cybersicherheit nachdenken müssen. Rein statistisch betrachtet werden Sie persönlich aber in der Regel keine tiefe Fachkenntnis über Themen der Informationssicherheit besitzen. Und Ihr externer IT-Dienstleister gibt sich zwar alle Mühe, Ihre Firewall und den Virenschutz aktuell zu halten, zumeist betrachtet er aber nicht ganzheitlich Ihr Geschäftsmodell und versteht nicht unbedingt dessen digitale Abhängigkeiten. Er kann auch gar nicht entscheiden, wie lange Sie ohne eMail-Versorgung auskommen, wie schlimm es ist, dass Ihre Website offline ist, oder wie lang die Wiederherstellung eines Backups Ihrer ERP-Daten eigentlich dauern darf, bevor es bei Ihnen wirtschaftlich eng wird. Aus Sicht der IT-Infrastruktur ist ein Drucker nur ein Drucker, aber Sie liefern vielleicht nichts mehr aus, wenn keine Versandetiketten mehr herauskommen. Diese kleine Skizze illustriert, dass Sie eine Managementsicht auf das Thema IT-Sicherheit benötigen, um auf der Basis von Zahlen und klarer Planung die stetige Verbesserung der Cybersicherheit Ihres Unternehmens zu gewährleisten. Und genau das leistet die ITQ-Basisprüfung und das fortlaufende Informationssicherheits-Management.
- Warum "wahrscheinlich": Weil es durchaus Ausnahmen von der Regel gibt, dass eine der umfangreichen Normen (wie die ISO 27001) nicht zu Ihnen passt. Unserer Meinung kann das z.B. dann der Fall sein, wenn Informationstechnologie Ihr Produkt ist. Vielleicht stellen Sie eine Software her? Oder betreiben in der Hauptsache ein Rechenzentrum für Dritte? Dann würden wir dazu tendieren, Ihnen zum "Rettungsschwimmer-Abzeichen Gold" statt zum Freischwimmer zu raten, u.a. weil Sie die Kosten für eine solche Zertifizierung auf Ihr Produkt finanziell abbilden können (und vermutlich auch müssten). Zudem geht es bei der Zertifizierung um einen absoluten Kernprozess Ihres Unternehmens. Sie werden daher voraussichtlich deutlich mehr interne Ressourcen für das Projekt rechtfertigen können, bis hin zu erheblichen Anteilen Ihrer höchstpersönlichen Zeit. Damit unterscheidet sich Ihre Ausgangslage deutlich von solchen Unternehmen, bei denen die IT eher als Hilfsprozess gesehen wird.
- Warum nichts Anderes: Weil wir davon ausgehen, dass der Aufwand für eine schwergewichtige Auditierung (ISO 27001, BSI-Grundschutz) für die allermeisten der gut vier Millionen kleinen Unternehmen in Deutschland unangemessen und/oder schlicht nicht leistbar ist. Es gibt dafür eine sehr umfassende Liste von Gründen. Hier ein Auszug: Ein ISO-27001-Audit dauert per Definition eine Woche (ggf. werden mehrere Auditierende eingesetzt). Insider empfehlen, dieses Audit durch ein Beratungsunternehmen begleiten zu lassen. Bei fünf Tagen Audit mit fünf Tagen Beratung und fünf Tagen interner Arbeitszeit bei Ihnen entstehen hier geschätzte 20.000 Euro Kosten. Die jährliche wiederkehrenden Audits und die Rezertifizierung nach drei Jahren liegen pro Jahr bei geschätzten 70% dieser Kosten. Voraussetzung für ein Audit ist die Auditierungsreife, d.h. das tatsächliche Vorliegen einer kompletten "IT-Sicherheitswelt" nach den Buchstaben der Norm. Die ISO 27001 z.B. gibt dabei gewissermaßen das Inhaltsverzeichnis vor, und Sie sind gefordert, alle Risiken für Ihr Unternehmen zu indentifizieren, zu hinterfragen, Antworten zu formulieren und ggf. die sich ergebenden Maßnahmen nachweisbar umzusetzen. Es ist recht unwahrscheinlich, dass dieser Prozess weniger als Jahr dauert, ohne weitere Beratertage auskommt und sich in weniger als vier Monaten Vollzeitarbeit Ihrer Informationssicherheitsbeauftragten (ISB) erledigen lässt. Natürlich kommt es auf den Einzelfall an, und vielleicht haben Sie den perfekten ISB, der ohne Hilfe die zuvor von der internen IT perfekt sicher aufgestellte Infrastruktur und komplett geschulte Belegschaft zur Auditierungsreife bringt. Wahrscheinlicher ist jedoch, dass Sie eine entsprechende Fachkraft am Markt gar nicht finden. Selbst eine Beraterin oder Auditorin ist oftmals nur mit erheblichen Wartezeiten aufzutreiben. Unterm Strich müsste Ihr Unternehmen vermutlich mehrere Hunderttausend Euro und viel Zeit investieren. Das kann in Ihrem speziellen Fall durchaus angemessen sein. Wir gehen aber davon aus, dass dies für einige Millionen Unternehmen nicht gilt.