DIE Gretchenfrage (falls es in der Informationssicherheit eine gibt)
Die Frage ist plakativ gestellt und die Antwort eines jeden Consultant in der Informationssicherheit wird immer sein: es kommt darauf an…
Szenario
Wir nehmen ein fiktives Szenario: es sei ein Industrie-Betrieb mit eigener Produkt-Entwicklung (Maschinen & Software) und rund 250 Mitarbeitern. Die IT-Abteilung besteht aus 3 Personen, eine Stelle ist unbesetzt.
Man hat Dienstleister für manche Services, hat einige Cloud-Dienste.
An Dokumentation gibt es nur ein Betriebsführungs-Handbuch für die operative IT; es ist eher eine Sammlung von Arbeitsanweisungen und Checklisten.
Den ersten Ransomware-Angriff hat man mit Blessuren überstanden.
Man ist NIS-2 betroffen und liebäugelt mit einer ISMS-Einführung – eine Ahnung davon hat man nicht (ISB ist nicht vorhanden, es gbt nur einen DSB)1
Für die ISMS-Einführung ist die Unterstützung der Organisationsleitung völlig unabdingbar. Wir nehmen an, sie ist vorhanden; man ist bereit, Initialkosten und den laufenden Betrieb des ISMS zu tragen.
Methodik
Das Standard-Vorgehen bei der Einführung ist, das Grundgerüst für das Management-System mit seinen Basis-Dokumenten wie Leitlinie, Umfeld-Analyse/Scope, Rollen & Verantwortlichkeiten oder SoA zu erstellen, die Risiko-Methodik zu etablieren und dann die Einzel-Maßnahmen (ISO 27001 Anhang A) anzugehen.
Sehr viele Dienstleister sehen als Einstiegt eine Gap-Analyse oder dergleichen vor. Diese dient dazu, sich einen Überblick über Vorarbeiten zu verschaffen und den Aufwand besser abzuschätzen. Sie kann für die Angebotserstellung wervolle Informationen liefern – aber für die Einführung selbst ist sie nicht zwingen notwendig.
Das ist prinzipiell kein Hexenwerk, trotzdem gibt es dabei viel zu beachten und es ist entweder für einen bestehenden Mitarbeiter eine „tüchtige“ Schulung und ein erheblicher Zeitaufwand nötig – oder man sucht sich einen externen Dienstleister.
Faustregel: Was der Dienstleister aufwendet, legt die Organisation nachmal an internem Aufwand obendrauf (auch wenn Fachkollegen das gerne mal kleinreden).
Aufwandsschätzung
Die Aufwände für einzelne Arbeitsschritte hängen von vielen Faktoren ab.
Dazu zählen Branche, andere Regulierungen (zusätzlich zur NIS-2), Zeitbudget der Projektmitarbeiter sowie von Fachabteilungen, die man unbedingt hinzuziehen muss. Das sind neben „der IT“ (mit allen eventuell vorhandenen Teams) insbesondere Personal und Einkauf/Lieferanten-Management sowie die Rechtsabteilung.
Daher sind in der folgenden Tabelle nur grobe „Daumenwerte“ zu finden.
Wir rechnen in Personentagen (PT), die Angaben sind Schätzungen für den Dienstleister und das oben genannte Szenario. Die Prioritäten im Anhang A wurden auch nach NIS-2-Gesichtspunkten gewählt.
| Arbeitsschritt | Aufwand PT |
|---|---|
| Einführungs-Workshops zur Information und Analyse | 5 |
| Basisdokumente Management-System wie Leitlinie, Umfeld-Analyse/Scope, Rollen & Verantwortlichkeiten | 10 |
| Prozesse, Inventar, Bedrohungen, Risikoanalyse, Maßnahmenplanung | 10 |
| Anhang A, 5/8: Vorfallsbewältigung, Backup, Notfallplanung, Wiederherstellung | 5 |
| Anhang A, 5: Sicherheit bei Lieferanten/Dienstleistern und Lieferkette | 2 |
| Anhang A, 5: Zutritts/Zugangs/Zugriffsrechte (auch privilegierte rechte), Authentisierung, Autorisierung | 3 |
| Anhang A, 8: Netzwerkdesign und Netzwerksicherheit | 3 |
| Anhang A, 6: Personal, Awareness und Schulungen | 2 |
| Anhang A, 8: Schwachstellen-Management, Patchen, Malware-Abwehr | 5 |
| Anhang A, 8: Kryptographie | 2 |
| Anhang A, 5: Sicherheit bei Entwicklung und Wartung von Systemen (und Software), Änderungsverwaltung | 5 |
| Anhang A, 7: Physische Sicherheit | |
| Messung der Wirksamenkeit von Managementsystem und Maßnahmen | 2 |
| Audits und Management-Bewertung | 5 |
| Diverse kleinere Themen (Achtung: dies ist kein „Puffer“ – die obige Aufzählung ist nicht bis ins Detail vollständig) | 10% |
Mit unserem kleinen Szenario kommen wir also auf 59 PT + 10% also rund 65 PT externen Aufwand – ohne Zertifizierung, also eventuell damit einhergehende zusätzliche Unterstützung und Kosten der Prüfstelle.
Betrieb
Der Betrieb eines ISMS, klingt trivial und folgendes steckt dahinter: die Pflege der Dokumente (Richtlinien), die Risikoverwaltung (angefangen bei Prozessen bis zur Maßnahmenliste), die Prüfung der Maßnahmenumsetzung und Messung der Wirksamkeit (von ISMS und Maßnahmen) sowie das „Reporting“ an die Organisationsleitung… dazu kommen viele Gespräche und Abstimmungsrunden. All dies ist die Aufgabe des ISB; er führt eventuell auch Awareness-Maßnahmen durch und ist in Vorfallsbehandlungen eingebunden.
In unserem Szenario kostet das NACH der Einführung des ISMS vermutlich mindestens eine halbe Mitarbeiterstelle; eher aber eine ganze Stelle. Natürlich kann man diese Rolle externalisieren.
Hierfür gilt: es gibt gute externe ISBs, aber sie sind niemals so gut (erreichbar, mit Interna vertraut, als Kollege so akzeptiert) wie eine interne Person.
Fazit
Das wären für die ISMS-Einführung allein bei 1.200€ pro PT also in etwa 78.000€ Kosten für Consulting (nochmal: interne Aufwände sind nicht berücksichtigt; bitte nicht das „eh-da“-Prinzip anwenden).
Dazu kommt derselbe jährliche Betrag für den Betrieb.
Für einen Mittelständler sind das schon stolze Summen – vor allen Dingen ist man „hinterher ja nicht einmal sicher, dass man sicher ist“.
Aber solche Überlegungen setzen von der falschen Seite an – wer ernsthaft so denkt, hat Informationssicherheit (leider, sorry!) noch nicht verstanden.
- ISB = Informationssicherheits-Beauftragter; DSB… raten Sie mal 😉 ↩︎