Zum Newsroom

RS7 – Informationssicherheit für Einsteiger

Die Erstellung von Sicherheitskonzepten ist ein aufwendiger Prozess und erfordert nicht nur technisches, sondern auch umfassendes methodisches Vorwissen über den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Für viele Bereiche ist dieses Vorgehen allerdings zu aufwendig und kompliziert. RS7 - ein schlankes Informationssicherheitsmanagementsystem (ISMS) - bietet eine effiziente Vorstufe zum Grundschutz.

von Irena Irmler

Unsere Gesellschaft ist in wachsendem Maße von Informationen abhängig. Sind bestimmte Daten versehentlich oder absichtlich gelöscht, manipuliert oder offengelegt worden, so kann das erhebliche Folgen für Individuen, Unternehmen und Behörden haben. Um sensible Informationen angemessen und umfassend zu schützen, ist ein systematischer Ansatz unabdingbar. Zu diesem Zweck hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Grundschutz entworfen, der auf die Absicherung von definierten Informationsverbünden zielt. Seine Anwendung ist für Bundesbehörden verpflichtend.

Wer gerade ein Sicherheitskonzept nach IT-Grundschutz umsetzt oder plant, kennt das Problem: Das Erstellungsverfahren des BSI ist zwar solide und verlässlich, aber gleichzeitig langwierig und so komplex, dass in vielen Fällen externe Unterstützung notwendig ist.

Als schlankes und einfaches Informationssicherheitsmanagementsystem (ISMS) richtet sich RS7 an alle, für die eine Anwendung des IT-Grundschutz noch nicht erforderlich ist. Das sind zum Beispiel Kommunen, Verantwortliche für einzelne IT-Verfahren oder Arbeitsbereiche, die laufende Geschäftsprozesse zügig absichern möchten, ohne den komplexen Ansatz des IT-Grundschutz durchlaufen zu müssen. Weitere potenzielle Anwender sind größere Mittelständler, Verbände oder behördenähnliche Organisationen, die dem IT-Grundschutz nicht verpflichtet sind, sondern mit einem erprobten Verfahren schnelle Sicherheitsgewinne erzielen wollen.

RS7 bietet ein leicht verständliches Vorgehen in sieben Schritten mit Erläuterungen und Vorlagen für die Dokumentation. Das System ist modular aufgebaut, um die organisatorischen und technischen Bedingungen vor Ort so realitätsnah wie nötig und so abstrakt wie möglich abzubilden. Auf dieser Basis können notwendige Maßnahmen identifiziert und ohne zeitlichen Verzug umgesetzt werden, sodass mit wenig Aufwand eine spürbare Erhöhung der Informationssicherheit erzielt werden kann.

Abbildung 1: Der RS7-Prozess

Der erste Schritt „Kick-off“ stellt den Startschuss für den RS7-Prozess dar: In einem strukturierten Termin mit allen relevanten Stakeholdern definieren die Anwender explizit, welchen Geschäftsprozess und welchen Informationsverbund sie schützen wollen. Im zweiten Schritt schafft die Organisation grobe Startbedingungen: Die Leitungsebene stellt benötigte Ressourcen bereit, benennt Rollen und standardisiert IT-Service-Prozesse. Ungewöhnlich früh im RS7-Prozess, in Schritt drei, kommt die Sensibilisierung der Mitarbeiter:innen: Aufmerksame Teammitglieder, die Auffälligkeiten erkennen, damit umgehen können und die richtigen Stellen kontaktieren, bringen eine beträchtliche Sicherheitserhöhung mit sich.

Anschließend werden die kritischen Daten identifiziert: Welche Informationen sind so wichtig für den Geschäftsprozess, dass sie nicht verloren, verändert oder offengelegt werden dürfen? Schritt fünf leitet von diesen vorher definierten kritischen Daten Schutzobjekte ab, auf denen die Daten verarbeitet oder gespeichert werden. Für diese Schutzobjekte werden im nächsten Schritt spezifische Sicherheitsmaßnahmen gemäß dem RS7-Maßnahmenkatalog abgeleitet. Im optionalen Schritt sieben folgt ein Zertifikat.

Ein speziell entwickeltes Tool begleitet die Umsetzung von RS7. Es unterstützt alle Schritte mit Erklärungen, Beispielen und Hilfsmitteln, sodass der gesamte Prozess verfolgt und verwaltet werden kann.

Der große Vorteil von RS7? Der Prozess ist schnell, schlicht, kostengünstig und effektiv bei der Konzeptionierung einer Basissicherheit. Jedoch wird mit RS7 nicht das Schutzniveau erreicht, das der IT-Grundschutz bietet. Das erzielbare RS7-Zertifikat ist kein ISO 27000-Zertifikat erreicht. Dafür ist das Konzept in hohem Maße mit dem IT-Grundschutz des BSI kompatibel: Die im RS7-Tool generierten Unterlagen sind BSI-konform, können direkt weiterverwendet und das generierte Sicherheitskonzept kann ohne wesentlichen Mehraufwand auf IT-Grundschutz-Level aufgewertet werden.

Auch bei RS7 ist Sicherheit kein Projekt, sondern ein Prozess. Sind die sieben Schritte durchlaufen, hat sich mindestens das Umfeld verändert, möglicherweise der zu schützende Verbund weiterentwickelt, mit Sicherheit jedoch haben sich relevante Risiken verändert. An dieser Stelle kann das Sicherheitskonzept nach RS7 mit einem zweiten Durchlauf fortgeschrieben werden – oder es kann nahtlos auf IT-Grundschutz umgesattelt werden.

RS7 will keine Alternative zum IT-Grundschutz sein, sondern bietet als Vorstufe einen komfortablen Einstieg in die vielschichtige Thematik der Informationssicherheit. Wichtige und sensible Daten können schnell und mit niedrigem Ressourceneinsatz vor unspezifischen Bedrohungen geschützt werden.