Im Rahmen eines BSI-Security-Projektes für ein Dienstleistungsunternehmen wurden jetzt 17 Monate nach Beginn die Arbeiten erfolgreich abgeschlossen. In Absprache mit dem Kunden erfolgte die Arbeit in Anlehnung an den BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise“. Gleichzeitig wurden die Grundlagen für die Einführung eines Managementsystems geschaffen.
Im Rahmen der Istanalyse erfolgte die Aufnahme der Infrastrukturobjekte, Verfahren und Organisationsstrukturen sowie gesetzlicher und interner Richtlinien. Dabei wurden nach Absprache geeignete Dokumentationsmethoden vorgeschlagen bzw. bestehende übernommen. Die Auswahl und Implementierung geeigneter IT-gestützter Verfahren zur Dokumentation der Ergebnisse der Strukturanalysen und der Istaufnahme wurde gemeinsam entwickelt auf Basis von praxiserprobten Systemen. Bereits die Istaufnahme erfolgte unter der Prämisse, dass letztendlich eine Vorgehensweise in Anlehnung an den BSI- Standard 100-2 gewährleistet werden konnte.
Bereits während der Istanalyse wurden für die einzelnen Verfahren und die wichtigsten Gruppen der technischen Infrastruktur die immanenten und aktuellen Gefährdungen und Risiken sowie der Schutzbedarf mit erhoben und dokumentiert. Das dazu notwendige Verfahren und die erforderlichen Kategorisierungen und Methoden zur Dokumentation wurden vorgeschlagen bzw. vom Kunden übernommen.
In dar nachfolgenden Phase der Konzeption und Planung von Sicherheitsprozessen wurden die für das Unternehmen und den vereinbarten zugrundeliegenden Geltungsbereich bestehenden Sicherheitsziele und sonstige Vorgaben für das Sicherheitsniveau der Geschäftsprozesse ermittelt und bewertet. In einigen Fällen erfolgte hier in Absprache mit allen Verantwortlichen eine Anpassung. Unter Einbeziehung von Sicherheitszielen und der vorgenommenen Schutzbedarfsfeststellungen sowie der ermittelten Risiken wurden für das Unternehmen angemessene Leitlinien, Merkblätter und Erklärungen zur Informationssicherheit, zum Datenschutz, zur IT-Sicherheit und zum Krisenmanagement sowie wirtschaftlich relevante Vorgaben für die Sicherheitsprozesse erarbeitet bzw. definiert. Dabei wurden sowohl bestehende gesetzliche Grundlagen gemäß der Datenschutzgesetze, des IT-Sicherheitsgesetzes als auch gemäß der bekannten künftigen gesetzliche Rahmenbedingungen (z. B. EU-DSGV, Datenschutzfolgeabschätzungen etc.). Diese Leitlinien wurden letztendlich verbindlich bekanntgegeben und nach Rückmeldungen entsprechende aktualisiert. Bereits in dieser Phase wurden aus den Ergebnissen der Schutzbedarfsfeststellung und der Planung von Sicherheitsprozessen die grundlegenden Eckpfeiler der Kontinuitätsstrategie und des Kryptokonzepts entwickelt, da Teile dessen in die erforderlichen Richtlinien und Regelwerke einfließen sollten.
Die Leitlinien zu Informationssicherheit und zum Datenschutz wurden in der dritten Phase in die unternehmensweiten Geschäftsprozesse integriert. Dabei konnten Methoden zur Dokumentation der Geschäftsprozesse vorgeschlagen und teilweise bestehende verwendet werden. Es wurden alle für die Organisation der Sicherheitsprozesse notwendigen Kompetenzen und Verantwortlichkeiten benannt sowie notwendige Gremien ins Leben gerufen. Auf dieser Basis wurde auch das auf Informationssicherheit und Datenschutz bezogene Eskalationsmanagementkonzept entwickelt. Im Rahmen der Organisation der Sicherheitsprozesse wurden auf Basis der implementierten und noch zu implementierenden Leitlinien die im Unternehmen erforderlichen Schulungen durchgeführt. Dazu gehörten sowohl fachgruppenspezifische Schulungen zur Informationssicherheit als auch allgemeine Schulungen zum Datenschutz. Es wurden Konzepte für regelmäßig durchzuführende Schulungen/ Belehrungen vorgeschlagen und in Abstimmung durchgeführt. Neue, übergreifende Prozesse, wie z. B. die Meldung, Kommunikation und Bearbeitung von Sicherheits- oder Datenschutzvorfällen wurden in Abstimmung mit den verantwortlichen Leitungskräften und Leitungsgremien implementiert.
Im Abgleich mit dem BSI-Grundschutzkatalog wurden für definierte Bereiche des Unternehmens und der Organisations-/Infrastruktur die bestehenden Maßnahmen zur Informationssicherheit/IT-Sicherheit erfasst und notwendige Maßnahmen durch Soll-/Ist-Vergleiche definiert. Die Umsetzung der noch offenen Maßnahmen wurde unter Berücksichtigung zeitlicher und wirtschaftlicher Rahmenbedingungen geplant.
Unter Berücksichtigung der aufgenommenen Risiken, des Schutzbedarfs, bereits bestehender und noch geplanter Maßnahmen wurde für die erforderlichen Bereiche eine Sicherheits- und Risikoanalyse durchgeführt. Zur Dokumentation und weiteren Fortschreibung der Ergebnisse vorhandenen Methoden im Unternehmen wurden übernommen und teilweise wurden neue angemessene Methoden vorgeschlagen.
Zur laufenden Kontrolle der Sicherheitsprozesse und Maßnahmenumsetzung wurden erforderliche Kontroll-, Bewertungs- und Berichtsmethoden eingeführt, um einen effektiven kontinuierlichen Verbesserungsprozess zu gewährleisten.
Nachdem bereits in der Anfangsphase erste Kontinuitätsstrategien definiert wurden, konnte das erforderliche endgültige Konzept zur Notfallvorsorge und für IT-Notfälle zum Abschluss entwickelt werden.