Zuletzt haben wir hier über die zeitgleiche Einführung des BSI Grundschutzprofils für Kommunalverwaltungen und CISIS12 in den Märkten Titting und Burgheim sowie der Stadt Hilpoltstein berichtet. Im Interview mit Ralf Turban (www.mein-datenschutzberater.de) fragen wir nochmal genauer nach: Wozu macht eine kombinierte Einführung überhaupt Sinn, was gibt es auf dem Weg zu beachten und was hat das Ganze mit Werkzeug zu tun?
Kombinierte Einführung CISIS12 und BSI IT-Grundschutz – Was sind die Vorteile?
Es gibt gute Gründe für die Einführung von beidem. Das Kommunalprofil des BSI erfüllt die Ansprüche des Städte- und Landkreistages und bildet quasi den Sockel der Informationssicherheit. So müssen für die anstehende Landtagswahl im Herbst nur noch zusätzliche Punkte erfüllt werden und nicht bei Null begonnen werden.
Trotzdem ist das Kommunalprofil kein Managementsystem, sondern eine reine Feststellung des aktuellen Sachstands, ähnlich dem TÜV für das Auto. Wer eine kontinuierliche Verbesserung im Sinne seiner Verwaltungsarbeit haben möchte, setzt deshalb auf CISIS12.
Die Kombination von beidem ist für diejenigen Verwaltungen gedacht, die nicht nur die Vorgaben erfüllen, sondern sich auch ständig verbessern wollen. Sprich: Wer einen Qualitätsanspruch an die ständige Weiterentwicklung der eigenen Arbeit hat, macht beides.
Wie komplex ist die kombinierte Einführung?
Eigentlich ist die Kombieinführung sehr einfach, weil die zugrundeliegenden Maßnahmen in beiden Fällen auf dem BSI IT-Grundschutz fußen. Bei der Planung der Einführung werden die beiden Dinge so verzahnt, dass die Bausteine jeweils nur einmal bearbeitet werden müssen und keine Maßnahme vergessen wird.
Was waren die Stolpersteine?
Es muss sorgfältig geprüft werden, welche Voraussetzungen jeweils erfüllt werden müssen, also welche Ansprüche jeweils CISIS12 oder der IT-Grundschutz stellen. Die Normen zeigen jeweils genau, was gemacht werden muss, diese nebeneinander zu legen und durchzugehen ist die Herausforderung.
Wie hoch ist der Aufwand?
Anders als man denken könnte, beträgt der Mehraufwand nur ca. 10 bis 20 Prozent und ist damit weit entfernt vom doppelten Aufwand. Plant man von Anfang an ein Kombiaudit und geht dabei vor wie in der Frage zur Komplexität der kombinierten Einführung beschrieben, gibt es nur einen minimalen Mehraufwand.
Ab welcher Größe lohnt es sich, beides auditieren zu lassen?
Es ist weniger eine Frage der Größe als vielmehr eine Frage des Anspruchs an die Qualität der eigenen stetigen Verbesserung. Ab einer „städtischen“ Größe kann man als Bürger durchaus erwarten, dass ein gesteigertes Sicherheitsbewusstsein der Verwaltung vorhanden ist.
Wird die kombinierte Einführung gefördert?
Gefördert wird das Upgrade von der Vorstufe der Informationssicherheit auf die Zwischenstufe des BSI Grundschutz Kommunalprofils. Es wäre wünschenswert, dass auch CISIS12 künftig in die Zwischenstufe der Informationssicherheits-Konzepte fällt und damit auch die entsprechende Wertschätzung der Landesregierung erfährt.
Ist die Einführung mit Blick auf die kommende NIS2 Richtlinie eigentlich sinnvoll?
Hat eine Organisation bereits IT-Grundschutz oder CISIS12 eingeführt, ist es leicht, hier weitergehende Lösungen aufzusetzen. Man ist auf jeden Fall gut aufgestellt. Ist die Systematik eines ISMS wie CISIS12 einmal bekannt, können weitergehende Maßnahmen einfach umgesetzt werden. Bei aller Unsicherheit bezüglich der kommenden Regeln gibt es eine gute Nachricht: Der Bauplan der Informationssicherheit ist immer gleich. Es ist wie mit einem Hammer und einem Schraubenzieher: habe ich einmal die Funktion verstanden, kann ich sie immer nutzen, egal ob für einen Schrank, eine Treppe oder etwas anderes.