Ob digitale Bauanträge, Sozialleistungen oder Jugendhilfeverfahren – kommunale Verwaltungen arbeiten zunehmend datenbasiert. Gerade aus diesem Grund wächst der Druck, sensible Informationen zuverlässig zu schützen und IT-Sicherheitsanforderungen strukturiert umzusetzen. Für viele Organisationen bedeutet das: Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) wird zur unverzichtbaren Grundlage, um gesetzlichen Vorgaben gerecht zu werden und die eigene IT-Landschaft langfristig auditfähig aufzustellen.

Auch die PROSOZ Herten GmbH, eines der führenden Software- und Beratungshäuser für kommunale Verwaltungen, hat sich dieser Aufgabe gestellt und eine passende Lösung gesucht. Die Wahl fiel auf die softwarebasierte IT-Grundschutz-Lösung von HiScout. Ziel des Projekts: eine zentrale, BSI-konforme Dokumentation aller sicherheitsrelevanten Maßnahmen und ein zuverlässiger Fahrplan für kommende Zertifizierungen.

Die PROSOZ Herten GmbH blickt auf 35 Jahre Erfahrung in der Entwicklung und Implementierung kommunaler Fachverfahren zurück. Mit rund 550 Mitarbeitenden betreut das Unternehmen über 1.500 Verwaltungen bundesweit. Besonders in den Bereichen Arbeit und Soziales, Kinder- und Jugendhilfe sowie Bauen und Umwelt versteht sich Prosoz als Impulsgeber für die Digitalisierung in Städten und Gemeinden. Um der wachsenden Bedeutung der Informationssicherheit gerecht zu werden, hat sich Prosoz für ein professionelles ISMS entschieden.

Auf dem Weg zur strukturierten Informationssicherheit. Prosoz wollte den Aufbau einer strukturierten Sicherheitskonzeption auf Grundlage des BSI-IT-Grundschutzes realisieren. Eine vorherige Lösung gab es nicht, es handelte sich um eine -komplette Neuentwicklung innerhalb der Organisation. Ziel war es, den gestiegenen internen und regulatorischen Anforderungen gerecht zu werden und eine zentrale, einheitliche Dokumentation aller sicherheitsrelevanten Maßnahmen zu etablieren.

Ein wesentliches Kriterium bei der Auswahl einer geeigneten Lösung war die Möglichkeit, mehrere Mitarbeitende in den Dokumentationsprozess einzubinden, ohne ihnen umfassende Systemrechte gewähren zu müssen. Zusätzlich sollte das System so ausgelegt sein, dass es als alleinige, revisionssichere Dokumentationsplattform genutzt werden kann. Ebenso wichtig war die Option, aus dem Tool heraus standardisierte Fragebögen an Interviewpartner innerhalb der Organisation versenden zu können.

Im Auswahlprozess schauten sich die Verantwortlichen bei Prosoz verschiedene Tools an, darunter beispielsweise Verinice und HiScout. Die Wahl fiel auf das deutsche Unternehmen HiScout mit seinem IT-Grundschutz-Modul. Ausschlaggebend war neben der Funktionalität insbesondere die enge Vernetzung mit dem BSI, da Prosoz das Sicherheitskonzept auf Grundlage des BSI-IT-Grundschutzes umsetzen wollte. Das Vertrauen in die Lösung war somit von Anfang an hoch. Zusätzlich überzeugte Prosoz die langjährige Erfahrung des Unternehmens. »Als IT-Grundschutz-Auditor habe ich bei Kunden schon sehr oft das Tool bzw. die davon erzeugten Referenzdokumente gesehen, das war ein weiteres Argument für uns, da diese IT-Grundschutz-konform sind«, sagt Tobias Kippert, Informationssicherheitsbeauftragter bei Prosoz.

Technischer Support auf hohem Niveau. Der Projektverlauf wurde von Anfang an eng durch das Team von HiScout begleitet. Besonders die Phase der Erstinstallation und -konfiguration wurde vom technischen Support professionell unterstützt. Auch bei den ersten Schritten der Umsetzung stand das Team beratend zur Seite und half dabei, eine strukturierte und zielführende Anwendung des Systems zu gewährleisten. »Wir wollten einen guten und organisierten Start mit dem Tool sicherstellen. Hierbei hat uns die Beratung sehr weitergeholfen«, sagt Tobias Kippert.

Technisch wurde die IT-Grundschutz-Lösung auf einer Test- und einer Produktivumgebung implementiert. Kleinere Herausforderungen, etwa bei der Systemintegration, konnten durch den schnellen Support problemlos gelöst werden.

»Uns ist wichtig, dass das Tool im kontinuierlichen Verbesserungsprozess mit uns mitwächst«, sagt Tobias Kippert. »Auch die Anzeige der Änderungen im BSI IT-Grundschutz und die damit fokussierte Bearbeitung ist uns zukünftig sehr wichtig. Das Projekt befindet sich derzeit noch in der Umsetzungsphase – erste Verbesserungen im Arbeitsalltag sind bereits sichtbar.«

Einheitliche IT-Grundschutz-Dokumentation und -Auditfähigkeit. Mit dem Einsatz von HiScout IT-Grundschutz wurde ein zentraler Ort geschaffen, an dem sämtliche sicherheitsrelevanten Maßnahmen dokumentiert werden können. Die klare Struktur des Tools, die BSI-konforme Umsetzung und die benutzerfreundliche Oberfläche erleichtern den Einstieg ebenso wie die laufende Arbeit. »Besonders hilfreich ist die Möglichkeit, gezielt Fragebögen an Interviewpartner zu versenden, ohne diesen umfassende Zugriffsrechte auf das System einräumen zu müssen«, sagt Tobias Kippert. »Dies vereinfacht die Informationssammlung im Arbeitsalltag erheblich.«

Auch im Hinblick auf die Vorbereitung kommender Audits oder Zertifizierungen dient das IT-Grundschutz-Tool als Basis. Die Umsetzung der BSI-Anforderungen wird durch das System gezielt unterstützt und nachvollziehbar dokumentiert. In der aktuellen Projektphase, in der die Lösung schrittweise in den praktischen Betrieb überführt wird, werden die vorgesehenen Funktionen bereits gezielt eingesetzt.

Zukunftssicher durch enge Anbindung an das BSI. Die Einführung eines ISMS ist für viele Organisationen ein langfristiger Prozess – so auch bei Prosoz. Obwohl sich das Projekt derzeit noch in der Umsetzung befindet, zeichnet sich bereits ab, dass HiScout IT-Grundschutz die definierten Anforderungen erfüllt. Die Einführung des ISMS stellt für Prosoz einen wichtigen Schritt dar, um das Thema Informationssicherheit strukturiert weiterzuentwickeln. Auch mit Blick auf kommende Anforderungen bleibt das eingesetzte Tool eine mögliche Lösung für den weiteren Ausbau der Sicherheitsstrategie.

Lisa Dillmann, freie Journalistin

Illustration: © Natalya Kosarevich | shutterstock.com

108 Artikel zu „IT-Grundschutz“

News | IT-Security | Marketing | Produktmeldung

Best Practice Passwort Manager: IT-Grundschutz für Unternehmen

5. August 2021

Mit modernen Berechtigungsmanagement-Lösungen IT-Sicherheit erhöhen und gleichzeitig die Durchführung von Audits erleichtern. Wer als IT-Consultant seine Kunden erfolgreich beraten möchte, tut gut daran, empfohlene Lösungen auch selbst im Unternehmen umzusetzen. Diesen pragmatischen Ansatz hat sich das Straubinger IT-Beratungsunternehmen TAP.DE Solutions zu eigen gemacht und deshalb das Projekt »Passwort Management« gestartet. Die Zielsetzung war, kritische Punkte…