Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

ISIS12: Der Einstiegsstandard für Informationssicherheit

ISIS12 ist ein pragmatisches Vorgehensmodell für Informationssicherheit, das speziell für kleine und mittlere Organisationen entwickelt wurde. In 12 Schritten führt es zur Einführung eines ISMS auf Basis des BSI IT-Grundschutzes.

Inhaltsverzeichnis (5 Abschnitte)

ISIS12 (Informationssicherheit in 12 Schritten) ist ein in Bayern entwickeltes Vorgehensmodell zur Einführung von Informationssicherheitsmanagement in kleinen und mittleren Organisationen. Es wurde vom Bayerischen IT-Sicherheitscluster e.V. in Zusammenarbeit mit bayerischen Behörden und dem BSI entwickelt und richtet sich an Unternehmen und Kommunen, die ein strukturiertes Sicherheitsprogramm einführen wollen, ohne den vollen Aufwand einer sofortigen ISO-27001-Zertifizierung zu stemmen.

Entstehungsgeschichte und Zielsetzung

Der BSI IT-Grundschutz und ISO 27001 gelten als internationale Referenzstandards für Informationssicherheitsmanagement. Für viele kleine und mittlere Unternehmen sowie Kommunalverwaltungen ist die direkte Implementierung dieser Standards jedoch eine erhebliche Hürde: Der Aufwand für vollständige Risikoanalysen, umfangreiche Dokumentation und alle erforderlichen Maßnahmen übersteigt oft die verfügbaren Ressourcen.

ISIS12 wurde als pragmatischer Einstiegsweg konzipiert: Es orientiert sich am BSI IT-Grundschutz und an ISO 27001, reduziert aber die Komplexität auf ein für kleinere Organisationen handhabbares Maß. Das Ziel ist nicht die sofortige Zertifizierungsreife, sondern der strukturierte, schrittweise Aufbau einer funktionsfähigen Informationssicherheitsorganisation.

ISIS12 ist besonders verbreitet in:

  • Kommunalverwaltungen und Behörden (besonders in Bayern)
  • Mittelständischen Unternehmen mit 50 bis 500 Mitarbeitern
  • Organisationen, die eine Zertifizierung nach ISO 27001 oder BSI IT-Grundschutz als langfristiges Ziel anstreben

Die 12 Schritte im Detail

ISIS12 gliedert den Aufbauprozess in drei Phasen mit je vier Schritten.

Phase 1: Initialisierung (Schritte 1-4)

Schritt 1: Übernahme der Gesamtverantwortung durch die Leitungsebene

Informationssicherheit kann nicht allein von der IT-Abteilung betrieben werden - sie erfordert ein sichtbares Commitment der Führungsebene. In Schritt 1 wird die Leitungsebene eingebunden und übernimmt formal die Gesamtverantwortung für Informationssicherheit. Dies schließt die Bereitstellung von Ressourcen, die Benennung eines Informationssicherheitsbeauftragten (ISB) und die Genehmigung der Sicherheitspolitik ein.

Schritt 2: Festlegung des Geltungsbereichs

Der Geltungsbereich (Scope) definiert, welche Bereiche der Organisation, welche Geschäftsprozesse und welche IT-Systeme vom Sicherheitsprogramm abgedeckt werden. Ein klar definierter, handhabbarer Scope ist entscheidend für den Erfolg: Zu enger Scope macht das ISMS wenig wirkungsvoll, zu weiter Scope überfordert die verfügbaren Ressourcen.

Schritt 3: Aufbau einer Informationssicherheitsorganisation

Hier werden die organisatorischen Strukturen geschaffen: Die Benennung und Beauftragung des ISB, die Einrichtung eines Informationssicherheitsteams und die Definition von Verantwortlichkeiten für Informationssicherheit in der Linienorganisation. Bei kleinen Organisationen kann der ISB eine Nebentätigkeit sein - wichtig ist, dass die Rolle klar definiert und mit ausreichend Ressourcen ausgestattet ist.

Schritt 4: Erstellung einer Informationssicherheitsleitlinie

Die Informationssicherheitsleitlinie ist das übergeordnete Steuerungsdokument. Sie beschreibt in allgemeiner Form, welche Ziele die Organisation mit Informationssicherheit verfolgt, welche Grundsätze gelten und welchen Stellenwert Sicherheit im Unternehmen hat. Die Leitlinie wird von der Führungsebene verabschiedet und kommuniziert.

Phase 2: Konzeption (Schritte 5-8)

Schritt 5: Erstellung eines IT-Strukturplans

Der IT-Strukturplan ist eine vollständige Inventarisierung der informationsverarbeitenden Systeme: Server, Clients, mobile Geräte, Netzwerkkomponenten, Anwendungen und die relevanten Geschäftsprozesse. Dieser Plan ist die Grundlage für alle weiteren Schritte und muss regelmäßig aktualisiert werden.

Schritt 6: Modellierung nach IT-Grundschutz

In diesem Schritt wird der IT-Strukturplan auf die Bausteine des BSI IT-Grundschutz-Kompendiums abgebildet. Jede IT-Komponente und jeder Prozess wird dem passenden Baustein (z.B. SYS.1.1 Allgemeiner Server, APP.3.1 Webanwendungen) zugeordnet. Die Anforderungen dieser Bausteine definieren, welche Sicherheitsmaßnahmen umzusetzen sind.

Schritt 7: Grundschutz-Check

Der Grundschutz-Check ist eine Soll-Ist-Analyse: Welche der in Schritt 6 identifizierten Anforderungen sind bereits erfüllt? Welche fehlen noch? Das Ergebnis ist eine strukturierte Liste von Sicherheitslücken, nach Priorität bewertet.

Schritt 8: Risikoanalyse für hochschutzbedürftige Bereiche

Für Bereiche mit erhöhtem Schutzbedarf (z.B. kritische Produktionssysteme, besonders sensible Daten) reichen die Standard-Grundschutzmaßnahmen möglicherweise nicht aus. In Schritt 8 werden diese Bereiche identifiziert und einer ergänzenden Risikoanalyse unterzogen.

Phase 3: Umsetzung (Schritte 9-12)

Schritt 9: Umsetzungsplanung

Die in den vorangegangenen Schritten identifizierten Maßnahmen werden in einen konkreten Umsetzungsplan übertragen: Wer ist verantwortlich? Bis wann soll die Maßnahme umgesetzt sein? Welche Ressourcen werden benötigt? Die Priorisierung erfolgt nach Risiko und Aufwand.

Schritt 10: Realisierung der Maßnahmen

Die eigentliche Umsetzung der geplanten Sicherheitsmaßnahmen. Dieser Schritt ist in der Praxis der aufwendigste und umfasst technische Maßnahmen (Härtung von Systemen, Patch-Management, Zugriffskontrollen), organisatorische Maßnahmen (Richtlinien, Prozesse) und personelle Maßnahmen (Schulungen).

Schritt 11: Schulung und Sensibilisierung

Sicherheitsmaßnahmen greifen nur, wenn alle Mitarbeiter sie kennen und anwenden. Schritt 11 umfasst die systematische Schulung und Sensibilisierung aller relevanten Mitarbeiter zu Informationssicherheitsrisiken und ihren Verantwortlichkeiten.

Schritt 12: Aufrechterhaltung und Verbesserung

Informationssicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Schritt 12 etabliert den kontinuierlichen Verbesserungsprozess (KVP): Regelmäßige Überprüfungen des ISMS, Audits, Anpassung an veränderte Bedrohungen und Technologien sowie die Integration von Lessons Learned aus Sicherheitsvorfällen.

ISIS12 im Vergleich zu anderen Standards

ISIS12 vs. BSI IT-Grundschutz

Der BSI IT-Grundschutz ist das inhaltliche Fundament von ISIS12. ISIS12 ist kein eigener Standard, sondern ein Vorgehensmodell zur schrittweisen Implementierung des BSI IT-Grundschutzes. Der Hauptunterschied liegt im Umfang: Eine vollständige BSI-Grundschutz-Zertifizierung erfordert eine tiefergehende Dokumentation und Prüfung, als ISIS12 für kleinere Organisationen vorsieht.

ISIS12 kann als Einstieg auf dem Weg zu einer vollständigen Grundschutz-Zertifizierung verstanden werden - oder als eigenständiges Sicherheitsniveau, das für viele kleinere Organisationen angemessen ist.

ISIS12 vs. ISO 27001

ISO 27001 ist der international anerkannte Standard für ISMS. Die Struktur und Anforderungen der ISO 27001 spiegeln sich in ISIS12 wider - insbesondere die PDCA-Logik (Plan-Do-Check-Act) und die Anforderungen an Führungsverantwortung, Dokumentation und kontinuierliche Verbesserung.

Wer mit ISIS12 beginnt, legt eine solide Grundlage für eine spätere ISO-27001-Zertifizierung. Die im Rahmen von ISIS12 erstellten Dokumente, aufgebauten Prozesse und umgesetzten Maßnahmen sind direkt verwertbar.

ISIS12 und NIS2

Die NIS2-Richtlinie stellt Anforderungen an das Cybersicherheitsmanagement wesentlicher und wichtiger Einrichtungen. Eine ISIS12-Umsetzung erfüllt zwar nicht automatisch alle NIS2-Anforderungen, bildet aber eine gute Grundlage. Insbesondere die Bereiche Risikomanagement, Incident Response, Lieferantensicherheit und Sicherheitsschulungen werden in beiden Rahmenwerken adressiert.

Zertifizierung und Nachweise

ISIS12 sieht formal keine eigene Zertifizierung vor. Organisationen können jedoch eine Selbstauskunft über den Umsetzungsstand erstellen, die als Nachweis gegenüber Kunden, Partnern oder Behörden dienen kann.

Bayern hat ISIS12 als empfohlenen Standard für Kommunalverwaltungen definiert. Im Kontext des KRITIS-Dachgesetzes und der NIS2-Umsetzung in Deutschland wird der Nachweis strukturierter Sicherheitsmaßnahmen zunehmend zur Pflicht für betroffene Organisationen.

Praktische Umsetzungshinweise

Ressourcenplanung: Die Erstumsetzung von ISIS12 erfordert bei einer mittleren Organisation (100 bis 250 Mitarbeiter) realistisch sechs bis zwölf Monate und ein dediziertes Zeitkontingent für den ISB von mindestens 20 bis 30 Prozent einer Vollzeitstelle.

Externe Unterstützung: Viele Organisationen ziehen für die ersten Schritte externe Berater hinzu - insbesondere für die Grundschutz-Modellierung und den Grundschutz-Check, die spezifisches Fachwissen erfordern.

Dokumentation: ISIS12 erfordert eine strukturierte Dokumentation, aber kein übermäßiges "Papiertiger"-Niveau. Pragmatismus ist ausdrücklich erwünscht - wichtig ist, dass die Dokumente gelebt werden, nicht dass sie maximal umfangreich sind.

Awareness als Fundament: Erfahrungsgemäß scheitern ISIS12-Projekte nicht an technischen Maßnahmen, sondern an fehlender Akzeptanz bei Mitarbeitern und unzureichendem Commitment der Führungsebene. Der erste Schritt - die Einbindung der Leitungsebene - ist deshalb nicht nur formal wichtig, sondern entscheidend für den gesamten Projekterfolg.

ISIS12 hat sich in der Praxis als pragmatischer und gut umsetzbarer Einstiegsstandard bewährt. Es schließt die Lücke zwischen dem "wir machen gar nichts Strukturiertes" und einer vollständigen ISO-27001-Zertifizierung - und ist damit besonders für die Breite des deutschen Mittelstands und kommunaler Einrichtungen relevant.

Quellen & Referenzen

  1. [1] ISIS12 Vorgehensmodell - Informationssicherheit in 12 Schritten - Bayern Innovativ / Bayerisches Landesamt für Datenschutzaufsicht
  2. [2] BSI IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik
  3. [3] ISO/IEC 27001:2022 - Information security management systems - International Organization for Standardization

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de