SiKoSH

SiKoSH (Sicherheit für Kommunen in Schleswig-Holstein)  hilft beim Aufbau eines professionellen Informationssicherheitsmanagements (ISMS) und ermöglicht auch kleineren Organisationen den gesetzlichen Verpflichtungen nachzukommen und die Daten der Bürgerinnen und Bürger zu schützen.

gemeinsam. effektiv. sicher.

Auf viele Organisationen wirkt ein ISMS wie eine unlösbar komplizierte und nicht bewältigbar aufwendige Herkulesaufgabe. Das liegt unter anderem daran, dass der von vielen ISMS-Frameworks nahegelegte Top-Down Ansatz an den Mitarbeitern vorbei geht und nicht die richtigen Fragen gestellt werden.

SiKoSH wählt aus diesem Grund einen Bottom-Up Ansatz, stellt mit seinen Quickchecks von Anfang an die richtigen Fragen und holt die Mitarbeiter ins Boot, für eine Kultur, die Informationssicherheit in allen Bereichen und bei allen Tätigkeiten fördert.

SiKoSH ist ein allgemein verfügbares Angebot des ITV.SH. Um SiKoSH nutzen zu können, müssen Sie sich einmalig registrieren – hier geht es zur Registrierung und zum Onboarding.

Willkommen beim SiKoSH Onboarding Guide – dem schnellsten Weg, um
SiKoSHSicherheit für Kommunen in Schleswig-Holstein – effektiv nutzen zu können.

Wir möchten Ihnen während des Onboarding – Prozesses gerne zur Seite stehen und Sie bestmöglich unterstützen. Wir werden Voraussetzungen und Einrichtungsschritte erklären und alle nötigen Informationen zur Verfügung stellen.

SiKoSH ist ein einfaches und praktisches Einstiegsframework, das beim Aufbau eines professionellen Informationssicherheitsmanagements (ISMS) hilft.

SiKoSH ist auf die Praxis ausgerichtet und dabei bemüht, den Einstieg in den Aufbau und Betrieb eines nachhaltigen und effektiven ISMS so klar und einfach wie möglich zu gestalten.

SiKoSH in Kürze

  • Der „SiKoSH Standard“ macht den Weg zur Basisabsicherung nach IT-Grundschutz leicht und sicher.
  • SiKoSH ist ein Angebot des ITV.SH und steht allen Interessierten kostenfrei zur Verfügung.
  • SiKoSH ist praxisbezogen und gibt dem Anwender Vorlagen, Materialien, Hilfestellungen und bei jedem Schritt praxiserprobte Werkzeuge zur Hand.
  • Der SiKoSH-Prozess teilt sich in neun Schritte und sieben Phasen auf. Die einzelnen Phasen werden durch Quickchecks eingeleitet. Zu den Phasen drei, vier und fünf gehören mehrere Quickckecks.

Eine Querschnittprüfung – die „Phase Z“ – kann vor dem ISMS-Aufbau einen Gesamtüberblick über das Sicherheitsniveau bieten beziehungsweise den ISMS-Aufbauprozess abrunden.

Insgesamt besteht SiKoSH aus circa 72 Dateien, die allen registrierten Benutzern in stets aktualisierter Form auf https://netzwerk.itvsh.de zur Verfügung stehen.

Nutzer müssen sich registrieren, um SiKoSH nutzen zu können .

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de. Wir schicken Ihnen Ihre Kennung baldmöglichst zu.

Mit dieser Kennung haben Sie Zugang zur zentralen Austauschplattform https://netzwerk.itvsh.de

Nach der Registrierung haben Sie Zugang zum Netzwerk. Nach einem Klick auf der Übersichtsseite auf „SiKoSH ISMS“ in der Spalte „Gruppen und Projekte“ kommen Sie auf https://netzwerk.itvsh.de/project/sikosh-isms und haben somit Zugriff auf alle SiKoSH-Dokumente – Einführungen, Vorlagen, Materialien, Hilfestellungen und Werkzeuge.

Konkrete erste Schritte: am Anfang des Aufbauprozesses steht für die temporäre Arbeitsgruppe – das „Kick Off – Team“ (Behördenleiter, Datenschutzbeauftragte, Informationssicherheitsbeauftragte (ISB) und andere Verantwortliche) insbesondere die Lektüre der „Wesentlichen Hilfsmittel“ (zu finden unter dem Punkt „Start mit SiKoSH“ weiter unten auf dieser Seite).

Das zentrale Dokument für den Aufbau und die Pflege eines ISMS ist als Teil der „Wesentlichen Hilfsmittel“ der SiKoSH-Standard_SiKoSH_Vorgehensweise zur Einführung eines ISMS

SiKoSH ist zwar als do–it–yourself–ISMS konzipiert, was bedeutet, dass man nicht auf teure Berater angewiesen ist, dass Hilfsmittel für die Umsetzung vorhanden sind und es kommunale Praktiker gibt, die mit Rat und Tat zur Seite stehen.

Trotz aller einführenden Maßnahmen und des „do-it-yourself“-Ansatzes können Fragen und Unsicherheiten zum Umgang mit SiKoSH auftauchen. Für diesen Fall bieten wir allen Trägern des ITV.SH Unterstützung und Beratung an – schreiben Sie an sikosh@itvsh.de !

Wir sind an einer stetigen Weiterentwicklung interessiert – bitte richten Sie Ihre Anregungen, Wünsche und Kommentare an sikosh@itvsh.de. Bitte melden Sie sich auch bei uns, wenn Sie sich an der Weiterentwicklung von SiKoSH beteiligen möchten. Wir freuen uns auch sehr über die Überlassung passender Hilfsmittel, die wir gerne mit Nennung des Spenders in den Standard übernehmen.

SiKoSH ISMS – Aufbau, Betrieb und Weiterentwicklung

Mit SiKoSH haben Sie einen einfachen Einstieg in den Aufbau und den Betrieb eines entwicklungsfähigen Informations-Sicherheits-Management-Systems (ISMS). SiKoSH wurde von Sicherheitspraktikern für kommunale Einrichtungen entwickelt, ist aber auch für KMUs und Kleinst-Unternehmen geeignet.

SiKoSH ist ein Gemeinschaftsprojekt von Informationssicherheitsbeauftragten (ISB) und Sicherheitspraktikern unter der Schirmherrschaft des ITVSH und steht allen Interessierten kostenfrei zur Verfügung. Die SiKoSH-Vorgehensweise entwickelt das ISMS aus der praktischen Arbeit an der Informationssicherheit der Einrichtung oder Organisation, die erforderliche Dokumentation entsteht dabei wie von selbst.

Mit dem SiKoSH-Standard kann ein ISMS entwickelt und betrieben werden, das einen Mindestsicherheitsschutz gewährleistet. Für Kommunalverwaltungen ist das die Basisabsicherung nach BSI Grundschutz auf der Grundlage des kommunalen Grundschutzprofils der kommunalen Arbeitsgruppe „Modernisierung IT-Grundschutz“.

SiKoSH ist ein Projekt des ITV.SH und wurde in Zusammenarbeit mit kommunalen Praktikern aus Schleswig-Holstein und anderen Bundesländern erarbeitet. Ziel von SiKoSH ist eine Basisabsicherung über alle Geschäftsprozesse hinweg – mit geringem finanziellen, personellen und zeitlichen Aufwand.

SiKoSH ist einfach zu benutzen und im kommunalen Arbeitsalltag einsetzbar. Es ist ein einfaches und praktisches Einstiegsframework, das speziell auf die Anforderungen kommunaler Anwender zugeschnitten ist – mit klaren Rezepten und Hilfsmitteln zur praktischen Anwendung.

SiKoSH ist zu 100% kompatibel mit dem BSI-Grundschutz, führt erläuternd durch die Umsetzungsphasen, verweist auf die jeweils für den Aufbau des ISMS benötigen Hilfsmittel und Mustervorlagen und bietet konkrete Handlungsanweisungen zur Gewährleistung von Informationssicherheit und Datenschutz.

Der SiKoSH-Standard ist eine Vorgehensweise für den Aufbau und Pflege eines ISMS. Er macht durch Quickchecks, Mustervorlagen und viele Hilfsmittel den Weg zur Basisabsicherung nach IT-Grundschutz leicht und sicher. Der SiKoSH-Standard gibt den Rollenträgern im Informationssicherheitsmanagement einen Überblick in die Verwendung der Hilfsmittel und dient als Wegweiser durch die Hilfsmittel und Musterdokumente für den Aufbau des ISMS. Der SiKoSH-Standard ersetzt nicht etablierte Standards wie ISO27001 oder BSI IT-Grundschutz.

Das SiKoSH-Rahmenwerk ist besonders. Es wird am besten durch diese Eigenschaften beschrieben:

  • Praxisbezogenheit
  • frei verfügbare Vorlagen und Materialien
  • Hilfestellungen bei jedem Schritt
  • praxiserprobte Werkzeuge

Mehr Informationen.

SiKoSH

Ziel: Etablierung eines angemessenen und einheitlichen Sicherheitsniveaus in kommunalen Einrichtungen.

Sicherheit für Kommunen in Schleswig-Holstein“ bietet Unterstützung beim Aufbau eines vollständigen, nachhaltigen und zertifizierbaren Informations-Sicherheits-Management-Systems (ISMS) mit einfachen und übersichtlichen Mitteln und ermöglicht den unkomplizierten und handlungsorientierten Einstieg in die Grundschutzmethodik mit kommunalem Schwerpunkt.

Teilziele:

  • Unterstützung beim Aufbau eines ISMS
  • Auf- und Ausbau einer Sicherheitskultur
  • Unterstützung des Datenschutzmanagements
  • Unterstützung beim Sicherheitskonzept
  • Sicherung der Nachhaltigkeit

Das „Grundsatzpapier zum Informationssicherheits-Management“ der Rechnungshöfe des Bundes und der Länder stellt fest:

  • Die Informationssysteme staatlicher Organisationen sind kritische Infrastrukturen für das Gemeinwesen.
  • Ohne gute Sicherheitsstrategie und Betrieb eines effizienten Informationssicherheits-Managementsystems bleibt eine Organisation früher oder später auf der Datenautobahn liegen und nimmt Schaden.

Die Feststellungen der Rechnungshöfe des Bundes und der Länder treffen auf alle Organisationen zu, die Informationssysteme für ihre Aufgaben verwenden.
Diese Feststellungen gelten für die Privatwirtschaft ebenso wie für öffentliche Einrichtungen. Bei öffentlichen Einrichtungen kommt allerdings hinzu, dass die Sicherheit von Informationssystemen auf allen Ebenen eine Grundvoraussetzung für gesetzeskonformes Handeln ist.

Die Ausübung der verfassungsrechtlichen Aufgaben der judikativen, legislativen und exekutiven Staatsgewalten setzt einen sicheren und zuverlässigen Betrieb der Informationssysteme des Staates voraus„, schreiben die Rechnungshöfe und markieren damit einen Meilenstein in der Diskussion über Informationssicherheit:

  • Informationssicherheit ist wichtig,
  • ohne professionelles ISMS hat eine Organisation keine Informationssicherheit.

Die für Bund und Länder verbindliche Informationssicherheitsleitlinie des IT-Planungsrats sieht ein einheitliches und einvernehmliches Mindestsicherheitsniveau als Voraussetzung für die Nutzung gemeinsamer Netzinfrastrukturen und ebenen-übergreifender IT-Verfahren, für eine gesicherte Kommunikation und für die gemeinsame Abwehr von Angriffen auf die IT-Infrastruktur. Die Notwendigkeit der Anpassung an die Bedürfnisse kommunaler Einrichtungen ergibt sich aus der Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

„Eins – Sieben – Eins“

Die SiKoSH-Vorgehensweise fasst die notwendigen Aktivitäten für die Erstellung eines ISMS in sieben Phasen zusammen. Dazu kommen die Vorbereitung der Arbeit am ISMS und die zusammenfassende Prüfung des bisher Erreichten: „1 – 7 – 1“.

Start:  Vorbereitung

  1. Phase 1: Organisatorische Grundlagen
  2. Phase 2: Sensibilisierung und Schulung
  3. Phase 3: Standardregelungen
  4. Phase 4: Allgemeine Musterregelungen
  5. Phase 5: Technische Musterregelungen
  6. Phase 6: Regelungen für Verfahren
  7. Phase 7: Notfallmanagement

Ziel: Querschnittsprüfung

Aus den Ergebnissen der Arbeit am ISMS kann am Ende das Sicherheitskonzept erzeugt werden.

Die frei verfügbaren SiKoSH-Unterlagen können und sollen für die Bedürfnisse, Anforderungen und Möglichkeiten der eigenen Organisation angepasst werden.

Für jede Phase der ISMS-Entwicklung stehen Quickchecks zur Verfügung, mit dem der jeweilige bisher erreichte Sachstand beurteilt werden kann. Quickchecks geben auch wichtige Hinweise für die Priorisierung der Sicherheitsaufgaben.

Im letzten Schritt „Ziel“ wird der insgesamt erreichte Sachstand über alle SiKoSH-Phasen mit einer Querschnittsprüfung bewertet und auch der Reifegrad des ISMS festgestellt.

Die Querschnittsprüfung kann auch vor dem Aufbau eines SiKoSH-ISMS zur Feststellung des allgemeinen Sicherheitsniveaus verwendet werden.

Sieben Phasen.

Der Aufbau eines ISMS ist ein Wettlauf gegen die Zeitein Cyber-Angriff auf eine unvorbereitete IT-Infrastruktur oder Fahrfehler auf der Datenautobahn können schlimme Folgen haben. Mit SiKoSH wird ein ISMS in sieben Phasen aufgebaut:

  • Vorbereitung („ISMS Arbeitsgruppe“) über die
  • Bearbeitung der sieben SiKoSH Phasen bis zur
  • Prüfung des Erreichten („Querschnittsprüfung“)

In den sieben SiKoSH-Phasen sind logisch zusammengehörende Sicherheitsaspekte zusammengefasst.

Den Phasen 1, 2, 6 und 7 sind einzelne Quickchecks („QC“) zugeordnet, den Phasen 3, 4 und 5 mehrere Quickchecks

Prüfpunkte und Prüffragen: Jede SiKoSH-Phase beginnt mit mindestens einem Quickcheck mit Prüffragen zu Aspekten der Informationssicherheit der in einer Phase zusammengefassten Zielobjekte.

Können Prüffragen nicht positiv beantwortet werden, stellt SiKoSH Hilfsmittel zur Verfügung, die bei der Bearbeitung und Verbesserung der entsprechenden Aspekte der Informationssicherheit helfen.

Anwendung von SiKoSH: einfach wie ein Kochbuch
Man kann sich SiKoSH wie ein Kochbuch vorstellen: es gibt eine Anleitung, die Zutaten werden genannt und Beispiele gezeigt, wie das ISMS am Ende aussehen soll.
Und wenn trotzdem einmal etwas schwierig wird oder gar anbrennt, dann gibt es guten Rat von den „Spitzenköchen“.

Sicherheitskonzept Start Organisatorische Grundlagen Sensibilisierung und Schulung Standardregelungen Allgemeine Musterregelungen Technische Musterregelungen Regelungen für Verfahren Notfallmanagement Querschnittsprüfung Sicherheitskonzept

Es gibt keinen Anfang und kein Ende:

ständige Anpassung und kontinuierliche Verbesserung

Auch Organisationen ohne ISMS haben ein ISMS.
In Organisationen ohne dokumentiertes ISMS sind die Regeln für den Umgang mit Informationssicherheit und Datenschutz lediglich nicht aufgeschrieben. Es gibt eine Art „orale Sicherheitskultur“ und das ist bekanntermaßen kein guter Weg, die Herausforderungen der Digitalisierung zu bewältigen.

Einer der wichtigsten Zwecke eines ISMS ist die Dokumentation der Regeln und Maßnahmen, mit denen in einer Organisation Informationssicherheit hergestellt werden soll.

Ein ISMS soll auch dazu dienen, das Sicherheitsniveau ständig zu verbessern und die Organisation immer besser an die Bedingungen einer sich verändernden digitalen Welt anzupassen.

Planung, Umsetzung, Überprüfung und Anpassung des ISMS sind ein fortdauernder Prozess. Gefährdungslage, technische Entwicklungen, organisatorische Prozesse, Verhalten von Mitarbeitern und Nutzern, Aufgaben der Organisation, Zahl der Mitarbeiter, Art und Zahl der Nutzer der Dienstleistungen der Organisation, Gesetzeslagen: das Umfeld, das Ökosystem in dem sich eine Organisation behaupten muss, alles ändert sich ständig.

Sieht sich der ISMS-Betreiber am Ziel, steht er wieder am Anfang. Manchmal muss er auch mitten in der Arbeit an einer SiKoSH-Phase neu anfangen, weil sich Unvorhergesehenes und Unvorhersehbares ereignet hat. Cyberspace, Datenautobahn, Digitalisierung haben ihre eigenen Gesetze und kümmern sich nicht um die Befindlichkeiten der Organisationen, die in der digitalen Welt unterwegs sind.

Ein ISMS ist ein Ziel und zugleich ein Weg, die Organisation immer besser an die Bedingungen der digitalen Welt anzupassen und mit ihren Schattenseiten zurecht zu kommen. Der Deming-Kreis – der PDCA-Zyklus kontinuierlicher Verbesserung – ist ein grundlegender Bestandteil aller ISMS. Der PDCA-Zyklus ist im „lean manufacturing“ Japans gereift und praxisorientiert. „Gemba“ – der „Ort der Wertschöpfung“ ist ein integraler Bestandteil der Arbeitsphilosophie.

Gemba in der Informationssicherheit heißt, dass ISBs bei Problemen direkt vor Ort aktiv werden müssen, um die Ursachen des Problems zu erkennen und zu verstehen. Gemba impliziert „management by walking around“ und ist in diesem Sinne nichts anderes als ein professionell durchgeführter Sicherheitsaudit oder ein Penetrationstest.

Start mit SiKoSH.

Der Aufbau eines ISMS beginnt mit der Einrichtung einer ISMS-Arbeitsgruppe. Die Arbeitsgruppe hat die Aufgabe, die organisatorischen Grundlagen für die Einführung und den Betrieb des ISMS zu schaffen.

Idealerweise sind in der ISMS-Arbeitsgruppe alle für die Informationssicherheit wichtigen Abteilungen und Gruppen repräsentiert, wie

  • Organisationsleitung
  • Datenschutz
  • IT-Verantwortliche
  • Personalabteilung
  • Personalrat/Betriebsrat
  • Gebäudemanagement
  • und andere für die Informationssicherheit wichtige Abteilungen, Gruppen und Rollen.

Ein ISMS beginnt mit der Grundeinstellung zur Informationssicherheit in der Organisation. Die Verantwortlichen müssen begreifen, dass sie für die Informationssicherheit verantwortlich sind und es muss ihnen bewusst werden, dass Informationssicherheit ein fortdauernder Prozess der Anpassung an interne und externe Anforderungen ist.

  1. Entwicklung einer passenden Einstellung zur Informationssicherheit
    Das Bemühen in Informationssicherheit greift in etablierte Arbeitsprozesse ein und eine Organisation muss den Entschluss fassen eine Sicherheitskultur zu entwickeln. Grundsätzlich kann man die Aufgabe auf drei idealtypische Arten angehen: spartanisch, kosteneffizient oder risikokompetent.
    Der erste Schritt ist in jedem Fall die Entwicklung dokumentierter und anerkannter Regeln und Vorgehensweisen (ISMS – Informationssicherheitsmanagementsystem) mit denen definierte Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit)  erreicht werden können. Die initiale ISMS-Arbeitsgruppe definiert die Rahmenbedingungen unter denen sich das ISMS entwickeln kann.
  2. SiKoSH-Handreichung: „Informationssicherheit für Behördenleiter“
    Die Organisationsleitung trägt neben der Verantwortung für die Umsetzung bestehender Gesetze (z.B. Datenschutz) auch die Verantwortung für die Gewährleistung der Informationssicherheit. Die Handreichung gibt Hinweise zu strategischen und organisatorischen Einordnung der Informationssicherheit in das organisatorische Entscheidungshandeln (Lesezeit ca. 3 Minuten).
  3. SiKoSH-Standard: „SiKoSH Vorgehensweise zur Einführung eines ISMS“
    Der SiKoSH Standard beschreibt auf etwas über 40 Seiten die Vorgehensweise und verweist auf die meisten Hilfsmittel für den problemarmen Aufbau des ISMS.
  4. SiKoSH-Empfehlung:„Rollenbesetzung im Informationssicherheitsmanagement“
    Die Empfehlung beschreibt die Rollen und Verantwortlichkeiten für den reibungsfreien Betrieb eines ISMS.
  5. SiKoSH-Handreichung: Bearbeiten der Quickchecks
    Quickchecks sind ein zentrales Element der SiKoSH-Vorgehensweise. Die Handreichung beschreibt, wie man die Quickchecks am besten einsetzt. Es empfiehlt sich, beispielsweise den „Quickcheck 1“ zur Ansicht parallel zu öffnen.

Der erste konkrete Schritt der temporären Arbeitsgruppe beim Aufbau des ISMS ist die Anwendung der allgemeinen Querschnittprüfung als Selbstaudit, um sich über den aktuellen Zustand des Sicherheitsniveaus zu informieren. Diese Querschnittsprüfung kann aber jedoch im Verlauf des SiKoSH-Prozesses jederzeit durchgeführt werden.

Die temporäre Arbeitsgruppe gründet zudem die offizielle ISMS – Arbeitsgruppe, die das eigentliche ISMS aufbaut und im Anschluss den damit verbundenen, permanent ablaufenden Informationssicherheits-Prozess durchführt und überwacht.

Im Folgenden beschäftigt sich die ISMS-Arbeitsgruppe mit der Beseitigung der im Selbstaudit aufgedeckten eklatantesten und gefährlichsten Sicherheitsgefährdungen bzw. arbeitet die Phasen der SiKoSH-Vorgehensweise planmäßig ab, beginnend mit Phase 1 („Organisatorische Grundlagen“) – je nach aktueller Sachlage.

Die Bildung eines ISMS ist – besonders in der Anfangsphase – ein Projekt mit vielen verschiedenen kleinen Baustellen, bevor es zu einem routinierten Phasendurchlauf (die sieben „SiKoSH-Phasen“) kommt, der das ISMS ständig an eine sich permanent ändernde Sicherheitslage anpasst.

Der Schritt „Start mit SiKoSH“ ist erfolgreich abgeschlossen, wenn

  1. die ISMS-Arbeitgruppe zusammen gestellt ist
  2. alle nötigen Rollen und Interessen verstanden und in der Arbeitsgruppe abgebildet sind
  3. die Mitglieder sich für einen definierten Zeitraum zur Mitarbeit verpflichtet haben und
  4. die Arbeitsgruppe und ihre Mitglieder mit nötigen Ressourcen ausgestattet sind.

SiKoSH-Phase 1
Organisatorische Grundlagen

Die Aufgabe der ISMS-Arbeitsgruppe ist die Bearbeitung der SiKoSH-Phase 1, das ist erstens das Schaffen der organisatorischen Grundlagen für Aufbau und Betrieb des ISMS und eine erste Bestandsaufnahme „Informationssicherheit“

Die SiKoSH-Phase 1 startet mit dem Quickcheck 1: „Sachstandsaufnahme Informationssicherheit / ISMS“

Der Quickcheck 1

  • beurteilt die aktuelle Sicherheitslage (Technik, Organisation, Dokumentation),
  • stellt die besonders schützenwerte Objekte fest und
  • gibt Hinweise auf die wichtigsten Maßnahmen zur Verbesserung der Informationssicherheit.

Grundlagen für die effiziente Durchführung des Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“

Für die Bearbeitung der SiKoSH-Phase 1 gibt es u.a. diese Hilfsmittel

  1. SiKoSH-Handreichung: „Informationssicherheit für Organisationsleiter“
    Die Organisationsleitung trägt neben der Verantwortung für die Umsetzung bestehender Gesetze (z.B. Datenschutz) auch die Verantwortung für die Gewährleistung der Informationssicherheit. Die Handreichung gibt Hinweise zu strategischen und organisatorischen Einordnung der Informationssicherheit in das organisatorische Entscheidungshandeln.
  2. SiKoSH-Leitlinie: „Informationssicherheitsleitlinie“
    Die Informationssicherheitsleitlinie (ISLL) schafft die Grundlage für die Herstellung und den Erhalt des erforderlichen Sicherheitsniveaus aller Objekte und Daten im Verantwortungsbereich der Organisation. Die SiKoSH-Leitlinie ist eine Musterleitlinie mit zahlreichen Bearbeitungshinweisen zur Anpassung an die eigene Organisation.
  3. SiKoSH-Beispiel: „Bestellung eines Informationssicherheitsbeauftragten (ISB)“
    Der ISB ist der zentrale Ansprechpartner für alle Fragen rund um die Informationssicherheit. Er ist für den Aufbau und die Pflege des ISMS verantwortlich, für die Pflege des Sicherheitskonzepts und oft auch für die Notfalldokumentation. Das SiKoSH-Beispiel beschreibt die Rechte und die Pflichten des ISB und kann für die Bestellung des ISB verwendet werden.
  4. SiKoSH-Leitlinie: „Datenschutz- und Informationssicherheitsmanagement“
    Die Leitlinie beschreibt Organisationsstruktur, Rollenträger und Kernprozesse des Informationssicherheitsmanagements (ISM) und ihr Zusammenwirken mit anderen Abläufen in der Organisation. Sie ist die zentrale Regelung für das Sicherheitsmanagement und legt die formalen Grundlagen für Aufbau, Ausbau und Verankerung der Informationssicherheit fest.
  5. SiKoSH-Empfehlung: „Rollenbesetzung im Informationssicherheitsmanagement“
    Die Empfehlung beschreibt die Rollen und Verantwortlichkeiten für den reibungsfreien Betrieb eines ISMS.
  6. SiKoSH-Richtlinie: „ISMS-Betrieb“
    Die Richtlinie beschreibt die technischen und organisatorischen Grundlagen für den effizienten Betrieb eines ISMS.

Die Arbeitsgruppe ISMS hat ihre Aufgabe erfüllt und die SiKoSH-Phase 1 erfolgreich abgeschlossen, wenn

  • die Sachbestandsaufnahme „Informationssicherheit“ als Sicherheitsstatus schriftlich fixiert ist
  • die Informationssicherheitsleitlinie (ISLL) der Organisation formuliert und in Kraft gesetzt ist
  • der Informationssicherheitsbeauftragte (ISB) benannt ist und
  • alle anderen für das Informationssicherheitsmanagement der Organisation notwendigen Rollen benannt und die Rollenträger auf die Wahrnehmung ihrer Aufgaben verpflichtet sind.

Sinnvollerweise löst sich die ISMS Arbeitsgruppe nach der Bearbeitung der Phase 1 nicht auf, sondern bleibt als eine Art Aufsichtsrat in Bereitschaft.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

SiKoSH-Phase 2
Sensibilisierung und Schulung

Die Regelungen eines ISMS sind nur wirksam, wenn sie den Benutzern der IT-Umgebung bekannt sind und die Nutzer die entsprechenden Verhaltensweisen zeigen, immer und auch unter schwierigen Bedingungen. Benutzer und Betreiber von IT-Geräten müssen deshalb ausreichend und regelmäßig geschult und trainiert werden.

Die Phase 2 startet mit Quickcheck 2

Der Quickcheck 2

  • beurteilt den aktuellen Kenntnisstand der Mitarbeiter in Bezug auf Informationssicherheit und Cyberhygiene,
  • beurteilt die Standards und Konzepte der Organisation in Bezug auf Sensibilisierung, Training und Schulung der Mitarbeiter und
  • schätzt die Sicherheitsreife der Organisation auf verschiedenen Ebenen.

Grundlagen für die effiziente Durchführung des Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“

Für die Bearbeitung der SiKoSH-Phase 2 gibt es diese Hilfsmittel

  1. SiKoSH-Konzept: „Schulung Informationssicherheit und Datenschutz“
    Das Schulungskonzept regelt die Planung, Vorbereitung, Teilnahmeverpflichtungen und Durchführung von Schulungsveranstaltungen zur Informationssicherheit für Rollenträger innerhalb des Informationssicherheitsmanagementsystems (ISMS).
  2. SiKoSH-Beispiel: „Sensibilisierung Informationssicherheit und Datenschutz“
    In diesem Dokument werden die Grundlagen für eine erfolgreiche Sensibilisierungskampagne beschrieben.
  3. SiKoSH- Konzept: „Sensibilisierung Informationssicherheit und Datenschutz für die Leitungsebene in der öffentlichen Verwaltung“
    Die Regelung erläutert, wie die Geschäftsleitung zur klaren Sicht auf ihre Verantwortung für Informationssicherheit und die Abwendung von Gefahren sensibilisiert werden kann.

Nach dem erfolgreichen Abschluss der SiKoSH-Phase 2

  • ist der Stand der Sensibilisierung für Fragen der Informationssicherheit festgestellt,
  • gibt es ein Schulungskonzept, das die Aufgaben und Bedürfnisse verschiedener Mitarbeitergruppen berücksichtigt,
  • sind Maßnahmen für Sensibilisierung, Training und Schulung der Mitarbeiter eingerichtet und es gibt
  • Vorkehrungen, mit denen ein Sicherheitsvorfall schnell erkannt und beherrscht werden kann.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

SiKoSH-Phase 3
Standardregelungen

Standardregelungen sorgen für die Verankerung der Informationssicherheit in den bestehenden betrieblichen Prozessen und Arbeitsabläufen der Fach- und Querschnittsabteilungen. SiKoSH stellt dafür zahlreiche Musterregelungen bereit. Die Prüffragen für Phase 3 sind auf die Quickchecks 3 und 4 aufgeteilt.

Die Prüffragen der SiKoSH-Phase 3 sind auf die Quickchecks 3 und 4 aufgeteilt.

  1. Quickcheck 3: Standardregelungen und
  2. Quickcheck 4: Internetzugang/Nutzung

Der Quickcheck 3: Standardregelungen

  • stellt fest, ob die notwendigen Regelungen für die informationssichere Bewältigung des Arbeitsalltags vorliegen und
  • fragt, ob die Regeln im Arbeitsalltag auch gelebt werden

Der Quickcheck 4: Internetzugang und -nutzung

  • überprüft, ob Zugang und Nutzung des Internet durch ein Sicherheitskonzept geregelt sind,
  • überprüft, ob die entsprechenden technischen und organisatorischen Vorkehrungen für eine sichere Nutzung gegeben sind,
  • fragt, wie die Benutzer auf Informationssicherheit und Datenschutz bei der betrieblichen und privaten Nutzung von E-Mail und Social Media vorbereitet und geschult werden.

Grundlagen für die effiziente Durchführung der Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“
  1. SiKoSH-Richtlinie „Bürokommunikationssysteme (BKS)“
    Die Richtlinie regelt den grundsätzlichen und fachverfahrensunabhängigen Umgang mit Verwaltungs-IT und damit zusammenhängenden Aspekten. Dies reicht von Regelungen zur Telearbeit, Vorgaben zur Mailkommunikation, den Umgang mit mobilen Datenträgern, allgemeine Vorgaben zur Datenablage etc. Diese Regelung stellt eine wesentliche Säule für die Absicherung der Standard-IT-Ausstattung bereit.
  2. SiKoSH-Beispiel „ Datensicherung“
    Datensicherung soll gewährleisten, dass durch einen redundanten Datenbestand (Backup) der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen.
  3. SiKoSH-Richtlinie „Freigaberichtlinie“
    Die Freigaberichtlinie definiert, unter welchen Rahmenbedingungen (welche Rollen/Personen, Dokumentationsanforderungen, etc.) Verfahren oder Infrastrukturen in der Verwaltung freigeben werden dürfen. Diese Regelung setzt wesentliche Anforderungen aus dem Datenschutz um.
    Die Richtlinie stellt ebenfalls ein Muster für verschiedene Freigabevermerke inklusive eines Glossars zur Verfügung.
  4. SiKoSH-Richtlinie „Mobile Endgeräte“
    Die Richtlinie ergänzt bzw. konkretisiert die Regelungen einer Bürokommunikationsrichtlinie bzgl. des Einsatzes von mobilen Geräten. Dies umfasst beispielsweise dienstliche Notebooks oder Tabletts als auch – sofern relevant – den Einsatz privater Geräte im Kontext Bring Your Own Device (BYOD).
  5. SiKoSH-Richtlinie „Passwortrichtlinie“
    Die Regelung legt grundsätzliche Aspekte beim Einsatz von Passwörtern fest (Komplexität, Lebensdauer). Sofern nicht in der Bürokommunikationsregelung oder vergleichbaren Regelungen enthalten, sollten auch das Prozedere zum Zurücksetzen von Passworten festgelegt werden.
  6. SiKoSH-Richtlinie „Patchmanagement“
    Das Richtlinienmuster „Patchmanagement“ legt Rahmenbedingungen für das Patchen von Infrastruktur- und Fachanwendungskomponenten sowie den Bezug von sicherheitsrelevanten Meldungen (z.B. über ein CERT) fest. Dies umfasst ferner Verantwortlichkeiten sowie Fristen für das Einspielen von Patches in Abhängigkeit der Kritikalität etwaiger Fehler oder Lücken der jeweiligen Komponenten. Die Kritikalität wird hier ebenfalls definiert.
  7. SiKoSH-Richtlinie  „Virenschutz“
    Diese Richtlinie definiert Anforderungen und Regelungen an Virenschutzlösungen und Virenschutzmanagementprozesse.

Nach dem erfolgreichen Abschluss der SiKoSH-Phase 3

  • liegen alle notwendigen Standardregelungen vor,
  • ist bzgl. der Standardregelungen ein Konzept für die Schulung, Zertifizierung und Re-Zertifizierung der Mitarbeiter entwickelt und
  • technisch und organisatorisch umgesetzt,
  • ist ein Verfahren für das Review und die Weiterentwicklung der Standardregelungen etabliert.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

SiKoSH-Phase 4
Allgemeine Musterregelungen

In den Musterregelungen der SiKoSH-Phase 4 werden insbesondere die Aspekte der physikalischen Infrastruktur (Gebäudesicherheit), die Prozesse der Beschaffung und Entsorgung sowie das Outsourcing mit den Quickchecks 5, 6 und 7 behandelt.

Der Bereich Gebäudesicherheit ist wegen seiner vielfältigen Schnittstellen zu vielen anderen Sicherheitsaspekten von zentraler Bedeutung. Die Prozesse der  Entsorgung stehen in engem Zusammenhang mit dem Schutzziel „Vertraulichkeit“ der verarbeiteten Daten.

Die Prüffragen der SiKoSH-Phase 4 sind auf drei Quickchecks aufgeteilt: Nr. 5, 6 und 7

  1. Quickcheck 5: Gebäudesicherheit
  2. Quickcheck 6: Beschaffung / Entsorgung
  3. Quickcheck 7: Outsourcing

Der Quickcheck 5: Gebäudesicherheit

  • stellt fest, ob die notwendigen Regelungen für die Absicherung von Gebäuden und Räumen gegen Gefährdungen durch Natur (z.B. Brandschutz) und Menschen (z.B. Einbruch, Vandalismus) getroffen sind
  • fragt, ob die Arbeitsplätze und der Umgang der Mitarbeiter mit den Arbeitsplätzen den Anforderungen der Informationssicherheit entsprechen.

Der Quickcheck 6: Beschaffung / Entsorgung

  • überprüft, ob die allgemeinen Regelungen zur Beschaffung die Anforderungen der Informationssicherheit berücksichtigen,
  • stellt fest, ob die besonderen Sicherheitsanforderungen für informationstechische Geräte bei der Beschaffung berücksichtigt werden,
  • fragt, ob die Regelungen für die Außerbetriebnahme und Entsorgung von Geräten, Datenträgern und Dokumenten die Anforderungen der Informationssicherheit berücksichtigen

Der Quickcheck 7: Outsourcing

  • überprüft, ob die konzeptionellen, strategischen und operativen Aspekte von Outsourcing geregelt sind,
  • fragt nach den Regelungen für die Verträge mit dem Outsourcing-Partner und die Sicherheitsüberprüfungen
  • stellt fest, ob und wie die Informationssicherheit im laufenden Outsourcingbetrieb kontrolliert und angepasst wird

Die Grundlagen für die effiziente Durchführung aller drei Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)“
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“
  1. SiKoSH-Richtlinie „Aussonderung schützenswerter Betriebsmittel“
    Diese Richtlinie regelt  den Umgang mit aussonderungsbedürftiger Hardware
  2. SiKoSH-Richtlinie „Gebäudesicherheit“
    Die Richtlinie regelt grundsätzliche Aspekte der Raum- und Gebäudesicherheit (Einsatz von Sicherheitszonen, Einsatz eines Zutrittskontrollsystems, Raumsicherheit etc.)
Nach dem erfolgreichen Abschluss der SiKoSH-Phase 4
  • sind die für die Informationssicherheit relevanten Aspekte der Sicherheit von Gebäuden und Räumen geregelt,
  • ist festgelegt wie Geräte und Datenträger (digital und analog) beschafft und entsorgt werden,
  • sind die Modalitäten der Auftragsdatenverarbeitung und der Zusammenarbeit mit Outsourcing-Partner informationssicher geregelt.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Downloads Hilfsmittel

SiKoSH-Phase 5
Technische Musterregelungen

Die Technischen Musterregelungen der SiKoSH Phase 5 und die dazugehörigen Quickchecks 8 bis 11 regeln die Informationssicherheit der internen und externen IT-Infrastruktur und ihrer Administration.

SiKoSH unterteilt die IT-Infrastruktur in Endgeräte (Clientsicherheit) und Server (Serverbetrieb), dazu gibt es Checks und Hilfsmittel für den Betrieb der beiden primären IT-Infrastrukturdienste Active Directory und E-Mail.

Die Prüffragen der SiKoSH-Phase 5 sind auf vier Quickchecks  (8 bis 11) aufgeteilt

  1. Quickcheck 8: Clientsicherheit
  2. Quickcheck 9: Serverbetrieb / Zentrale Systeme
  3. Quickcheck 10: Active Directory
  4. Quickcheck 11: E-Mail

Quickcheck 8: Clientsicherheit

  • stellt fest, ob Clientrechner nach dem Stand der Entwicklung gehärtet sind,
  • die nötigen Schutzmechanismen eingerichtet und aktiv sind,
  • Browser und Zugriff auf das Internet informationssicher eingerichtet sind,
  • sensible Daten verschlüsselt sind,
  • Richtlinien für BYOD und Telearbeit vorhanden und in Kraft gesetzt sind.

Quickcheck 9: Serverbetrieb / Zentrale Systeme

  • überprüft, ob Server nach dem Stand der Kunst gehärtet sind und ihre physikalische Sicherheit gewährleistet ist,
  • stellt fest, ob das Virtualisierungskonzept zeitgemäß und sicher ist,
  • stellt fest, ob die kryptographischen Aspekte des Serverbetriebs und der Datenübermittlung zeitgemäß geregelt und umgesetzt sind,
  • fragt, ob das informationssichere Verhalten von Administratoren geregelt ist und Schulung und Training der Administratoren sichergestellt ist
  • überprüft, ob Regelungen für Notfälle vorhanden sind und geübt werden.

Quickcheck 10: Active Directory

  • überprüft, ob ein Architektur- und Prozesskonzept für den Betrieb der Active Directory Infrastruktur vorhanden und umgesetzt ist,
  • stellt fest, ob Konzepte für Active Directory Richtlinien (z.B. Gruppenrichtlinien, Domänencontroller, etc.) vorhanden und folgerichtig implementiert sind,
  • stellt fest, ob Active Directory technisch sicher betrieben wird,
  • fragt, ob die Administration von Active Directory sicher geregelt ist und Administratoren regelmäßig geschult werden.

Quickcheck 11: E-Mail

  • überprüft, ob Konzepte für den sicheren Betrieb der E-Mail Infrastruktur und der E-Mail Clients vorhanden und umgesetzt sind,
  • fragt, ob grundlegende Sicherheitsaspekte bei der Planung und Konfiguration der E-Mail Infrastruktur beachtet wurden,
  • stellt fest, ob die Dokumentationsanforderungen ausreichend erfüllt wurden.

Grundlagen für die effiziente Durchführung des Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)“
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“
  1. SiKoSH-Richtlinie „Fernzugriff und Fernwartung“
    Diese Richtlinie regelt die Voraussetzungen für den Fernzugriff auf alle im eigenen Verantwortungsbereich betriebenen IT-Systeme und Verfahren. Neben dem Eigenbetrieb schließt dies auch Fernzugriffe auf externe (im Auftrag betriebene) Systeme ein
  2. SiKoSH-Richtlinie „Multifunktionsgeräte“
    Diese Technische Richtlinie regelt die Einsatzrahmenbedingungen für Multifunktionsgeräte (typischerweise Multifunktionsdrucker). Es umfasst Vorgaben zu Aufstellort und Authentisierung (z.B. bei Follow Me Print) sowie der Administration der Geräte.
  3. SiKoSH-Richtlinie „Administration von Verzeichnisdiensten“
    Die Richtlinie beschreibt den sicheren Umgang mit dem Verzeichnisdienst „Microsoft Active Directory“, der aktuell in den meisten kommunalen Einrichtungen zur Verwaltung von Benutzerkonten eingesetzt wird.
  4. SiKoSH-Richtlinie „Virtualisierung“
    Die Richtlinie regelt die Voraussetzungen für den Betrieb von Virtualisierungsumgebungen.
  5. SiKoSH- Richtlinie „Webserverbetrieb“
    Die Richtlinie legt Rahmenbedingungen zum Betrieb von Webservern fest. Dies reicht von der Planung, dem Aufbau bis zu betriebsnahen Aspekten wie der Absicherung der Kommunikation.
Nach dem erfolgreichen Abschluss der SiKoSH-Phase 5

  • sind die für die Informationssicherheit relevanten Aspekte der Sicherheit der technischen Server- und Client-Infrastruktur geregelt,
  • entspricht der Betrieb von Active Directory den Anforderungen der Informationssicherheit
  • ist der E-Mail Betrieb technisch und prozedural sicher.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

SiKoSH-Phase 6
Regelungen für Verfahren

Die Informationssicherheit von Fachverfahren muss konzipiert, geregelt und umgesetzt werden. SiKoSH stellt dafür verfahrensbezogene Hilfsmittel und den Quickcheck 12 „Anwendungssicherheit“ bereit.

Der Quickcheck 12

  • stellt fest, ob die für Fachverfahren und Fachanwendungen formalen und rechtlichen Aspekte berücksichtigt und umgesetzt sind,
  • fragt, ob alle für die Anwendungsentwicklung und den Anwendungsbetrieb notwendigen Konzepte erstellt sind,
  • prüft, ob bei Fachanwendungen im Web die notwendigen und dem Stand der Technik entsprechenden Sicherheitsmaßnahmen implementiert sind
  • stellt fest, ob für alle Anwendungen und Komponenten ein Prozess für das Schwachstellenmanagement implementiert ist.

Grundlagen für die effiziente Durchführung des Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)“
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“
  1. SiKoSH-Konzept „Rollen- und Rechte“
    Diese Vorlage für ein Rechte und Rollenkonzept setzt die Anforderungen des BSI IT-Grundschutz sowie datenschutzrechtlichen Anforderungen im Hinblick auf die Dokumentation von Fachverfahren um.
  2. SiKoSH-Konzept „Rollen- und Rechte – Anlage Berechtigungsmanagement“
    Das Muster für ein Berechtigungskonzept enthält Empfehlungen zur Gliederung und zur inhaltlichen Ausgestaltung. In diesem Konzept werden Rollen und deren Berechtigungen definiert. Das Berechtigungskonzept adressiert immer ein konkretes Verfahren.
Nach dem erfolgreichen Abschluss der SiKoSH-Phase 6

  • sind die für Fachverfahren relevanten Aspekte der Informationssicherheit dokumentiert, geregelt und implementiert,
  • sind Fachanwendungen im Web gehärtet und besonders abgesichert,
  • unterliegen alle Fachanwendungen einem definierten Prozess des Schwachstellenmanagements.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

SiKoSH-Phase 7
Notfallmanagement

Trotz aller Vorsichtsmaßnahmen können vorhersehbare und unvorhersehbare Probleme auftreten und die Informationssicherheit gefährden oder aushebeln. Notfallmanagement regelt das Verhalten der Organisation und ihrer Mitarbeiter in diesen Situationen mit dem Quickcheck 13.

Der Quickcheck 13: Notfallmanagement

  • stellt fest, ob es Konzepte und Regelungen für das Notfallmanagement gibt,
  • prüft, ob Notfallkonzepte mit Notfallvorsorgekonzept und Notfallhandbuch für alle kritischen Einrichtungen und Abläufe vorhanden und getestet sind,
  • fragt, ob die Mitarbeiter ausreichend in den Notfallmanagementprozess eingebunden sind,
  • prüft, ob alle Vorkehrungen auch und gerade im Notfall umgesetzt werden können.

Grundlagen für die effiziente Durchführung des Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)“
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks
  1. SiKoSH-Leitlinie „Handbuch Notfallmanagement“
    Das „Handbuch Notfallmanagement“ unterstützt Sie beim Aufbau Ihres Notfallmanagements.
  2. SiKoSH-Quickcheck „Notfallmanagement“
    Der Quickcheck „Notfallmanagement“ dient als Checkliste der notwendigen Vorkehrungen und beurteilt gleichzeitig die Reife Ihres Notfallmanagements.
Nach dem erfolgreichen Abschluss der SiKoSH-Phase 7

  • kann der Betrieb auch nach dem Eintritt eines Notfalls in definierter Weise weiterlaufen,
  • ist die Notfallkommunikation nach innen und nach außen geregelt,
  • sind Prioritäten und Verfahren für die Wiederaufnahme des Normalbetriebs dokumentiert.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

Ziel erreicht
Querschnittsprüfung

Nach der Bearbeitung der sieben SiKoSH-Phasen wird im letzten Schritt mit der Bearbeitung des SiKoSH-Quickchecks 14 „Querschnittsfragen“ der Erfolg der ISMS Einführung bewertet.

SiKoSH-Schritt 9: Querschnittprüfung

  • liefert eine erste kennzahlenbasierte Messung des Erfolgs der ISMS Einführung und
  • weist auf noch offene Prüfpunkte hin, die im weiteren Verlauf der ISMS-Inbetriebnahme bearbeitet werden müssen,
  • fragt, ob die Mitarbeiter ausreichend in den Notfallmanagementprozess eingebunden sind,
  • prüft, ob alle Vorkehrungen auch und gerade im Notfall umgesetzt werden können.

Grundlagen für die effiziente Durchführung des Quickchecks sind

  • SiKoSH-Standard: „Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)“
  • SiKoSH-Handreichung: „Anleitung zum Bearbeiten der SiKoSH-Quickchecks“

Zum Quickcheck 14 gibt es zur Zeit keine besonderen Hilfsmittel.

Nach dem erfolgreichen Abschluss der Querschnittsprüfung (Schritt 9)

  • hat das ISMS seine erste Iteration durchlaufen,
  • kann das Sicherheitskonzept der Organisation finalisiert werden.

Wichtige Downloads und Links

Weitere Informationen zu SiKoSH finden Sie bei https://netzwerk.itvsh.de/

Zur Registrierung senden Sie bitte eine E-Mail an sikosh@itvsh.de

Download Hilfsmittel

Über SiKoSH.

Das Projekt SiKoSH wurde von erfahrenen Sicherheitspraktikern für kommunale Einrichtungen entwickelt, ist aber auch für Kleinstunternehmen und KMUs allgemein geeignet.

Es ist ein Gemeinschaftsprojekt von Informationssicherheitsbeauftragten (ISB) und Sicherheitspraktikern unter der Schirmherrschaft des ITVSH. Informationen zur SiKoSH-Vorgehensweise, ihrer Entwicklung und Erfahrungen von Anwendern finden Sie hier.

Informationssicherheit und Datenschutz sind wichtig für kommunale Einrichtungen. Der Oberbürgermeister der Landeshauptstadt Kiel, Dr. Ulf Kämpfer, die Landesdatenschutzbeauftragte Dr. h.c. Marit Hansen und Dr. Werner Degenhardt von Code and Concept sprechen in diesem Video über SiKoSH als Unterstützung des Aufbaus eines kommunalen ISMS und gehen dabei insbesondere auf die Problematik der Sensibilisierung von Mitarbeiterinnen und Mitarbeitern ein.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Ausführliche Beschreibung der SiKoSH Phishing-Simulation in der Landeshauptstadt Kiel.

Arbeitsbericht zur Entwicklung von SiKoSH und wie das SiKoSH-Framework für jede Ebene des OSI-Modells festlegt, was zu einem gegebenen Zeitpunkt als „ausreichend sicher“ verstanden wird und umgesetzt werden muss.

Zusammenfassung einer Evaluation von SiKoSH durch eine Abschlussarbeit an LRZ (Leibniz Rechenzentrum) und LMU München und die weitere Entwicklung des SiKoSH-Werkzeugkastens.

Evaluation von SiKoSH: Abschlussarbeit an LRZ LRZ (Leibniz Rechenzentrum) und LMU München

I. Allgemeines

SiKoSH ist ein Projekt des ITVSH (IT-Verbund Schleswig-Holstein) in enger Kooperation mit der Staatskanzlei Schleswig-Holstein, dem ULD (Unabhängiges Landeszentrum für Datenschutz), dem Landesrechnungshof und den Trägern des ITVSH.

Nachstehende Bedingungen regeln die zulässige Nutzung, Verwendung und Weitergabe von Inhalten des SiKoSH ISMS, darunter Website, Dokumente und Werkzeuge. SiKoSH begrüßt grundsätzlich die Verwendung seiner Inhalte für nicht kommerzielle, legale Zwecke, die der Sicherheit in der Informationstechnik dienen. Die Nutzung der Inhalte steht für diese Zwecke und nach Maßgabe der nachfolgenden Bedingungen zur freien Verfügung – eine separate lizenzrechtliche Vereinbarung mit dem ITVSH ist in diesem Rahmen nicht erforderlich.

Internetpräsenzen und andere Medien, in denen SiKoSH-Inhalte verwendet werden, dürfen keine strafbaren, gewalttätigen oder sexuellen Inhalte darbieten oder auf solche Inhalte verweisen.

II. Nutzungsrechte

SiKoSH basiert auf der IT – Grundschutz-Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hierzu verweist SiKoSH auf zahlreiche Inhalte des  BSI IT-Grundschutzes (v.a. Bausteine und –Anforderungen). Analog zu den BSI-Nutzungsbestimmungen (https://www.bsi.bund.de/DE/Service/Nutzungsbedingungen/Nutzungsbedingungen_node.html) dürfen auch die SiKoSH-Hilfsmittel für nicht-kommerzielle, legale Zwecke, die der Sicherheit in der Informationstechnik dienen, heruntergeladen und verwendet werden. Eine kommerzielle Nutzung ist ausnahmsweise zulässig, wenn Zitate deutlich als solche gekennzeichnet werden. Die von SiKoSH zum Download zur Verfügung gestellten Inhalte dürfen – wenn nicht anders vermerkt – im Rahmen der gestatteten Verwendung zur Umsetzung interner Sicherheitsmaßnahmen verändert und angepasst werden.

III. Links

Die Einrichtung von Links auf und in Web-Seiten von SiKoSH ist grundsätzlich zulässig, ohne dass es der vorherigen Zustimmung des ITVSH bedarf, sofern es sich um Links auf Inhalte der Internetpräsenz von SiKoSH handelt.

IV. Logos

SiKoSH-Inhalte enthalten Bildmarken (Logos) des ITVSH und von SiKoSH. Die Bildmarken sind geschützt und dürfen nur mit schriftlicher Zustimmung der jeweiligen Rechteinhaber weiterverwendet werden. Die Freigabe für die Nutzung von SiKoSH-Webinhalten umfasst nicht die Verwendung der Logos.

V. Disclaimer

Alle SiKoSH-Dokumente beinhalten die Anforderungen ausgewählter BSI-IT-Grundschutz-Bausteine und -Anforderungen zur Gewährleistung eines kommunalen Schutzniveaus auf Grundlage der Basis-Absicherung nach BSI-IT-Grundschutz-Methodik und des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“, das auf der BSI-Webseite im Downloadbereich gefunden werden kann.

Wir weisen darauf hin, dass die „Basisabsicherung Kommunalverwaltung“ einen gezielten Einstieg in ein geregeltes Informationssicherheitsmanagement ermöglicht. In Abhängigkeit vom jeweils erforderlichen Schutzniveau sind in Absprache mit dem Informationssicherheitsbeauftragten weitergehende Maßnahmen umzusetzen.

Für Organisationen außerhalb von Kommunalverwaltungen können andere Anforderungen an einen Mindestsicherheitsstandard gelten.

VI. Haftungsausschuss

Die Dokumente des SiKoSH ISMS durchlaufen einen mehrstufigen Prozess des Qualitätssicherung. Trotzdem können Fehler und unscharfe Formulierungen in den Dokumenten nicht ausgeschlossen werden, ebenso wenig Missverständnisse durch die Nutzer und Übernehmer.

VII. Feedback

Das Projekt versteht sich als Gemeinschaftsaufgabe seiner Anwender. Informationen zu Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Dokumente an sikosh@itvsh.de verbessern die Dokumente und ihre Verfügbarkeit.

Frank Weidemann

Frank Weidemann

Projektleiter, behördlicher Datenschutzbeauftragter