VdS 3473 für mehr Security

Mit Fördermitteln zum ISMS für KMU



Hans-Joachim Giegerich ist Gründer und geschäftsführender Gesellschafter beim IT-Sicherheitsanbieter Giegerich & Partner. Neben seiner täglichen Arbeit engagiert er sich ehrenamtlich in verschiedenen Gremien.
Viele kleine und mittlere Unternehmen scheuen die Implementation eines Informationssicherheitsmanagementsystems. Das Beispiel der Schoder GmbH zeigt, dass es dafür keinen Grund gibt.

Unbequeme Nachfragen von Kunden, näher rückende Umsetzungsfristen gesetzlicher Vorgaben, dramatische Medienberichte zu Cyberangriffen: Von allen Seiten wächst der Druck auf Unternehmen, ihre IT-Sicherheit zu erhöhen. Das "Ob" steht dabei in der Regel gar nicht zur Debatte - zu offensichtlich ist das Bedrohungspotenzial und auch die EU-Datenschutzgrundverordnung (DSGVO/GDPR) nähert sich mit großen Schritten.

Vor allem für kleine und mittlere Unternehmen stellt sich vielmehr die Frage nach dem "Wie". Wer sich etwa nach dem ISO-Standard 27001 auf Basis des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutzes zertifizieren möchte, auf den warten rund 4000 Seiten und über 1000 Maßnahmen. Und selbst der reine ISO-Standard schlägt noch mit etwa 90 Seiten und über 150 Maßnahmen zu Buche. Kein Wunder, dass das viele kleine und mittlere Unternehmen (KMU) abschreckt. Seit einigen Jahren gibt es jedoch Abhilfe: Unter anderem in Form der speziell auf die Anforderungen und finanziellen Möglichkeiten von KMU zugeschnittenen Richtlinien VdS 3473. Diese ermöglichen der Zielgruppe, ein gut strukturiertes Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Hierfür können auch Fördermittel beantragt werden.

Mit Fördermitteln zum ISMS für KMU? Das Beispiel der Schoder GmbH zeigt, wie es geht.
Mit Fördermitteln zum ISMS für KMU? Das Beispiel der Schoder GmbH zeigt, wie es geht.
Foto: Watchara Ritjan - shutterstock.com

Wie das funktioniert, was die VdS 3473 so attraktiv für KMU macht und worauf Unternehmen hierbei achten müssen, zeigen wir Ihnen am Beispiel der Schoder GmbH, einem metallverarbeitenden Betrieb aus Langen bei Frankfurt am Main. Das Unternehmen hat innerhalb eines Jahres ein ISMS gemäß VdS 3473 implementiert.

Digitale Fertigung erhöht Sicherheitsbedarf

Mit rund 80 Mitarbeitern gehört die Schoder GmbH zu den klassischen KMU. Das Traditionsunternehmen schaut auf rund 90 Jahre Firmengeschichte in der Metallverarbeitung zurück und ist nach wie vor in Familienbesitz. Die Schoder GmbH zeichnet sich durch eine hohe Flexibilität bei der Produktion aus. So können Kunden äußerst kleine Losgrößen und individuelle Produkte fertigen lassen. Hier spielen dem Unternehmen die Möglichkeiten der Digitalisierung in die Hände, denn schließlich lassen sich die meisten Maschinen sinnvoll vernetzen und mit digitalen Fertigungsinformationen speisen.

Zusätzlich zu den allseits bekannten Treibern wie die fallenden Zugangsschranken zur Cyberkriminalität und den neuen Datenschutzanforderungen, rückt in Sachen IT Security das Thema Fertigungsdaten in den Vordergrund. Denn auch die Auftraggeber von Schoder möchten nicht, dass diese Informationen in fremde Hände gelangen. In den vergangenen zehn Jahren hat das Unternehmen an den neuralgischen Punkten bereits den nötigen Basisschutz implementiert. Im Rahmen der eigenen Digitalisierungsstrategie fehlte der Schoder GmbH jedoch noch die organisatorische Klammer, die integrativ wichtige Unternehmensdaten schützt und gleichzeitig mithilft, technische und organisatorische Vorgaben der DSGVO zu erfüllen. Daher bot es sich an, mit Hilfe eines geeigneten Dienstleisters ein ISMS einzuführen.

Volle Kontrolle dank ISMS

In KMU gibt es in der Regel keine auf IT-Sicherheit spezialisierten Mitarbeiter oder gar Teams, sondern meist einen IT-Verantwortlichen, der das Thema - neben vielen anderen - mitbetreut. Entsprechend eingeschränkt sind die Möglichkeiten sich in Eigenregie gegen kontinuierlich wachsende und stetig wandelnde Risiken abzusichern. Ein echtes Regelwerk zur Informationssicherheit sorgt dafür, dass aus einem sich meist in technischen Maßnahmen erschöpfenden Flickenteppich Informationssicherheit wird.

Im Gegensatz zu einer eher losen Ansammlung von Tools und Vorgaben sind bei einem Informationssicherheitsmanagementsystem alle Maßnahmen und Regeln klar und eindeutig für alle Prozessbeteiligten festgelegt. Das bedeutet, dass im ISMS Zuständigkeiten, Regeln, Verfahren, Maßnahmen und Werkzeuge definiert sind, mit deren Hilfe sich die Informationssicherheit steuern, kontrollieren und optimieren lässt. Das Ziel ist es, alle Risiken in Zusammenhang mit der Unternehmens-IT zu erkennen und zu minimieren.

Fördermittel beantragen

Für die Schoder GmbH gab es für die Einführung des Systems die Möglichkeit, beim Land Hessen Fördermittel zu beantragen, wie sie die meisten Bundesländer im Rahmen ihrer jeweiligen Digitalisierungsstrategie anbieten. Die Voraussetzungen und Möglichkeiten variieren je nach Bundesland, doch ein Blick auf die jeweiligen Programme lohnt sich in jedem Fall. Das Institut für Digitale Transformation hat eine Übersicht der Fördermöglichkeiten zahlreicher Bundesländer erstellt.

Mit solchen Fördermitteln lässt sich der finanzielle Aufwand zur Umsetzung einer individuellen Digitalisierungsstrategie für ein mittleres Unternehmen deutlich reduzieren. Häufig sorgen (wie im Fall der Schoder GmbH) beispielsweise hohe Fertigungstiefen mit zahlreichen Akteuren und heterogenen Systemen sowie vielen involvierten Abteilungen für einen höheren Planungs- und Umsetzungsaufwand. Das RKW Hessen bietet unter anderem eine Förderung der "Gewährleistung von IT-Sicherheit" an, wie sie die Schoder GmbH in Anspruch genommen hat. Hier werden bis zu zehn Beratertage pro Jahr und bis zu 50 Prozent des Beratungshonorars gefördert.

Die richtige Methodik

Ein weiterer großer Hebel um den ISMS-Aufwand für KMU finanziell und organisatorisch abzusenken, besteht in der Auswahl der richtigen Methodik - Stichwort VdS-Richtlinien 3473. Diese Methodik ist die wohl praktikabelste Umsetzungsmöglichkeit für ein ISMS in kleinen und mittleren Unternehmen. In den im Jahr 2015 veröffentlichten Richtlinien heißt es:

"Digitalisierung und Vernetzung bergen jedoch auch neue Gefahren, die Unternehmen in ihrem Risikomanagement berücksichtigen müssen. Eine gut organisierte Informationssicherheit vermindert die Anzahl der Schwachstellen, verringert die verbleibenden Risiken und begrenzt dadurch potentielle Schäden für das Unternehmen.(...) Nun hat die VdS mit den vorliegenden Richtlinien ein auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Verfahren für die Etablierung und Aufrechterhaltung einer angemessenen Informationssicherheit entwickelt. (... )Diese Richtlinien legen Mindestanforderungen an die Informationssicherheit fest (...)."

Im Gegensatz zu Regelwerken wie ISO 27001, sind die Richtlinien VdS 3473 also für diese spezielle Zielgruppe konzipiert. Auf lediglich 38 Seiten inklusive Inhaltsverzeichnis und Glossar wird ein komplettes Informationssicherheitsmanagementsystem definiert. Trotz dieses vergleichsweise geringen Umfangs bieten die Richtlinien einen soliden und vor allem praktisch gut umsetzbaren Rahmen. Ein großer Vorteil ist, dass die Umsetzung der VdS 3473 den Grundstein für alle weiteren Regelwerke legt, die sich dann zu einem späteren Zeitpunkt gegebenenfalls ergänzen lassen. Die Richtlinien unterscheiden sich außerdem in Pflichtvorgaben und solche, die lediglich umgesetzt werden "sollten". Damit haben Unternehmen einmal mehr die Möglichkeit, die Umsetzung nach ihren Möglichkeiten und Anforderungen individuell zu gestalten.

Die Einführung eines ISMS macht die Kosten für IT-Sicherheit besser planbar, da sich daraus ein erforderliches Maßnahmen-Budget ergibt. Die Umsetzung der VdS 3473 dient außerdem dazu, ein hohes IT-Security-Niveau glaubhaft gewährleisten zu können. Beispielsweise gegenüber Cyberrisk-Versicherungen, die in einem solchen Fall mit Vergünstigungen bei der Versicherungsprämie locken. Last, but not least kann eine Zertifizierung nach VdS 4373 sogar einen Vorteil gegenüber dem Wettbewerb bedeuten: Wer die Richtlinien umgesetzt hat, garantiert damit ein Mindestniveau an Sicherheit, auf das sich Geschäftspartner verlassen können.

Die VdS bietet in diesem Zusammenhang für Unternehmen sogar einen kostenlosen, webbasierten Quick Check an. Mit dem Fragenkatalog können Unternehmen sich ein erstes Bild über den Status Quo ihrer IT Security verschaffen. Nachdem die knapp 40 Fragen beantwortet sind, zeigt eine Matrix die Risikosituation im Unternehmen auf.

Sofortige Bestandsaufnahme als Startpunkt

Nachdem die Schoder GmbH sich Ende 2016 für die Einführung des ISMS entschieden hatte, startete das Projekt zunächst mit einer umfassenden Analyse und Dokumentation der IT-Sicherheit im Hinblick auf den technischen Stand und die Organisation. Die Entscheidung für die VdS 3473 fiel dann auch vor dem Hintergrund, dass sie sich sehr gut für Unternehmen eignet, welche sich in keine Schublade pressen lassen und viele kleine Besonderheiten aufweisen. Hier ist dann Flexibilität bei der Implementierung das A und O. Im Falle von Schoder bedeutete das zum Beispiel, dass in der Fertigung eine Vielzahl sehr unterschiedlicher Systeme mit höchst unterschiedlichen Kommunikationsanforderungen zu berücksichtigen war. Das liegt auch daran, dass die Maschinen in der Regel deutlich langlebiger sind als die Computersysteme, mit denen sie betrieben werden. Selbst eine CNC-Fräse hat heutzutage eines der gängigen Betriebssysteme. So ist die IT-Landschaft in der Fertigung entsprechend mit Systemen unterschiedlichster Generationen bestückt. Hier und da stolpert man sogar noch über Windows XP oder noch betagtere Betriebssysteme, für die Microsoft bekanntermaßen den Support längst eingestellt hat. Doch die Verfügbarkeit genau solcher Systeme kann unter Umständen für den Produktionsprozess kritisch sein. Es gilt also, hierfür eine Lösung zu finden.

Für die Schoder GmbH war es wichtig, dass Informationssicherheitsmanagement wirklich gelebt und nicht nur für den "schönen Schein" eingeführt wird. Hier galt es entsprechend, die Kunden, Mitarbeiter und Lieferanten mit ins Boot zu holen, da sie alle an IT-Prozessen teilhaben und damit auch an der Wahrung der Informationssicherheit beteiligt sind. Damit dieser Prozess koordiniert abläuft, ist einer der ersten Schritte bei den VdS 3473 die Bestellung eines Informationssicherheitsbeauftragen (ISB), der den Informationssicherheitsprozess initiiert, gemeinsam mit dem Unternehmen plant, sowie die Umsetzung steuert. Informationssicherheit unterliegt einem kontinuierlichen Verbesserungsprozess, so dass der ISB alle getroffenen Maßnahmen auch einer jährlichen Überprüfung unterziehen muss. Ist das Unternehmen zu klein, um das Gebot der Funktionstrennung (der Kontrollierte soll nicht gleichzeitig der Kontrolleur sein) einzuhalten, bietet sich die Bestellung eines externen Experten an.

Eine weitere Maßnahme zu Beginn des Prozesses besteht in der Zusammenstellung des IT-Sicherheitsteams, in dem bestimmte Unternehmenseinheiten bzw. deren Repräsentanten vertreten sein müssen. Das sind neben dem ISB beispielsweise ein Vertreter der Geschäftsführung, der IT-Verantwortliche und ein Personalvertreter sowie der Datenschutzbeauftragte. Das Team unterstützt den ISB bei organisatorischen Aufgaben wie dem Erstellen einer Informationssicherheits-Leitlinie und aller Richtlinien, aber auch beim Erkennen neuer Gefährdungen. Wegen seines Wissens um die betriebliche Wirklichkeit ist dieses Team gerade für einen externen ISB eine unerlässliche Informationsquelle. Auch über die Umsetzung der beschlossenen Maßnahmen wacht das Informationssicherheitsteam mit.

Leitlinien & Schulung

Die Leitlinie zur Informationssicherheit (IS-Leitlinie) ist das zentrale Dokument für den gesamten Prozess. Hier werden die strategischen Ziele und Verantwortlichkeiten definiert, weiterhin der Geltungsbereich sowie die Konsequenzen bei Nichtbeachtung. Die IS-Leitlinie wird von der Geschäftsführung ganz offiziell beschlossen. So sieht das Ganze bei der Schoder GmbH aus:

Foto: Schoder GmbH

Während die IS-Leitlinie den Rahmen definiert, konkretisieren sogenannte "Richtlinien zur Informationssicherheit" (IS-Richtlinien) die einzuhaltenden Regeln, so dass sich daraus tatsächliche Handlungsaufforderungen und Maßnahmen ergeben. Die Richtlinien werden ebenfalls von der Geschäftsführung beschlossen und verpflichten alle Nutzer im jeweiligen Geltungsbereich zu deren Einhaltung. Hierzu gehören im Falle von Schoder beispielsweise auch die Hersteller der eingesetzten Maschinen. Das ist notwendig, da im Rahmen von Wartungsverträgen Mitarbeiter von Herstellerfirmen in das Unternehmen kommen oder die Systeme per Remote-Zugriff warten. Die "Richtlinie für IT-Benutzer der Schoder GmbH" regelt neben generellen Nutzungsbedingungen beispielsweise auch die private Nutzung, den "Informationsfluss bei Abwesenheit", aber auch die Missbrauchskontrolle und die "Konsequenzen bei Nichteinhaltung":

Foto: Schoder GmbH

Darüber hinaus sehen die VdS 3473 weitere themenspezifische Richtlinien vor, etwa zur Benutzung mobiler IT-Systeme - Stichworte "Ortung" oder "Verlust und Diebstahl" - aber auch zur "Datensicherung" oder zu "Sicherheitsvorfällen". Damit ist zukünftig für alle sicherheitsrelevanten Aktivitäten Klarheit geschaffen. Die Richtlinien sind also nicht als Gängelung der Mitarbeiter zu verstehen, sondern ermöglichen diesen eine Orientierung. Zudem definieren sie nicht nur Pflichten, sondern auch bestimmte Rechte der Mitarbeiter. So regelt beispielsweise die Richtlinie zu mobilen IT-Systemen bei Schoder auch, dass "...einschlägige Regelungen zu Arbeits- und Pausenzeiten" auch hier zu beachten sind.

Bei der Diskussion um die Passwortrichtlinie wurde deutlich, dass einige Mitarbeiter Informationen zu Aufträgen auf ganz unterschiedlich strukturierten Portalen der betreffenden Kunden abrufen müssen. Teilweise müssen sich in der Praxis hierfür mehrere Mitarbeiter Zugangsdaten teilen. In der Umsetzung des ISMS wurde daher bei diesem Kunden ein serverbasiertes Passwortmanagement eingeführt, das die berühmten Notizzettel unter der Tastatur und ähnliche "Merkhilfen" obsolet macht. Gleichzeitig steigt mit dieser Sicherheitsmaßnahme auch die Effizienz des Arbeitens, denn notwendige Änderungen an Zugangsdaten stehen sofort auch allen anderen Mitarbeitern zur Verfügung.

Nachdem die Leitlinie und die Richtlinien verabschiedet waren, wurden bei Schoder zunächst alle Mitarbeiter geschult und auf das neue Regelwerk verpflichtet und damit frühzeitig "mitgenommen". Die konstruktiven Fragestellungen in diesen Mitarbeiterschulungen ermöglichten dem Informationssicherheitsteam, Maßnahmen zur Informationssicherheit noch passgenauer umsetzen zu können. Dies ist besonders wichtig, wenn das Informationssicherheitsmanagementsystem wirklich "gelebt werden soll". Im nächsten Schritt wurden alle kritischen Systeme, Daten und Prozesse herausgearbeitet. Im Mittelpunkt steht dabei vereinfacht formuliert die Frage: Wo tut ein Systemausfall dem Unternehmen besonders weh? Dies kann im Grunde ein simples Faxgerät sein, wenn dieses im Produktions- oder Vertriebsprozess eine wichtige Rolle spielt und hierfür kein Ersatz bereit steht, der die Funktion übernehmen könnte.

Risiken minimieren

Im Anschluss an die eben erwähnte Kategorisierung von Systemen wurde der Basisschutz für die nicht-kritischen Systeme überprüft und ergänzt, um dann alle Energie auf den Schutz der kritischen Systeme zu verwenden. Dies ist für jedes Unternehmen ein sehr individueller Vorgang. So glich die Betriebssystemlandschaft bei der Schoder GmbH beispielsweise einem "bunten Blumenstrauß" bestehend aus nagelneuen Tablets und bis zu etwa 20 Jahre alten Geräten im Maschinenpark. Auch diese Systeme laufen oftmals problemlos, jedoch sind sie mancherorts - mit oder ohne Wissen der Nutzer - mit dem Internet verbunden. Diese Systeme müssen in jedem Fall gesondert vor Zugriffen und Angriffen von außen geschützt werden.

Bei substanziellen Problemen mit kritischen Altsystemen gibt es zudem in der Regel eine Reihe von Möglichkeiten, angefangen beim Duplizieren des Systems (Hard und/oder Software), dem Betrieb auf einer virtuellen Maschine bis hin zu einem Systemumzug. Sehr häufig steht bei solchen Maßnahmen nicht das pure Informationssicherheitsmanagement, sondern die Produktiverhaltung lange in Betrieb befindlicher Systeme im Vordergrund. Eine intelligente Beratungsleistung geht hier immer über das sture Abarbeiten von Checklisten hinaus und orientiert sich an den unternehmerischen Notwendigkeiten. Damit ist sie auch ein Stück aktives Risikomanagement.

Sehr häufig findet sich im Rahmen einer solchen Beratung neben Fertigungsmaschinen hohen Alters auch Software, für die längst nicht nur kein Wartungsvertrag und kein Support mehr erhältlich ist, sondern womöglich auch das Personal fehlt, das solche Software noch warten könnte: sogenannte Legacy-Systeme. Will der Berater hier dem Unternehmen helfen, gilt es eine Lösung für den Betrieb oder gar die Portierung zumindest der angefallenen Daten zu finden. Dies war bei der Schoder GmbH im Produktionsumfeld bei einer Software zur Erstellung für Fertigungsprogramme für Graviermaschinen der Fall. Hier gab die Einführung des ISMS Gelegenheit, einen längst bekannten Weg zur Rettung der Altdatenbestände und zur Abschaltung des Altsystems tatsächlich zu beschreiten.

Sicherheit mit Mehrwert

Bei der Schoder GmbH war der Prozess vom Herbst 2016 bis zum Jahresende 2017 abgeschlossen. Dies entspricht bei einem Unternehmen dieser Größe mit einer etwas komplexeren IT-Landschaft ungefähr der Standardzeit. Mit der Umsetzung nicht allzu lange zu zögern hat noch einen weiteren Grund: In der Regel können beantragte Fördermittel auch nur innerhalb einen Kalenderjahres abgerufen werden.

Ein positiver "Nebeneffekt" bei der Einrichtung eines ISMS ist, dass sich IT-Sicherheit mit einem zusätzlichen Nutzen verbinden lässt. So wurde bei Schoder beispielsweise der oben erwähnte zentrale Verwaltungsmechanismus für Passwörter eingeführt, mit dessen Hilfe Mitarbeiter für gemeinsame Aufgaben eine gemeinsame Passwortdatenbank nutzen. Dies erhöht die Sicherheit und macht dem Prozess zugleich effizienter. Natürlich ist der Gesamtprozess mit der Einführung des Systems nicht abgeschlossen, spricht man doch beim Informationssicherheitsmanagement von einem kontinuierlichen Verbesserungsprozess. Doch der Grundstein ist gelegt, neue Anforderungen rechtzeitig und ressourcenschonend umzusetzen.

Abschließend lässt sich sagen, dass so schlank umsetzbare Richtlinien wie VdS 3473 den Unternehmen die Angst vor der Auseinandersetzung mit der IT Security nehmen kann. So ist das Ganze - auch dank der Fördermöglichkeiten für KMU - mit überschaubarem finanziellem und zeitlichem Aufwand zu realisieren. So wird die IT-Sicherheit zum soliden Fundament der Unternehmensstruktur, statt zum Fass ohne Boden. (fm)