Informationssicherheit ist für jedes Unternehmen wichtig

Der Begriff Informationssicherheit ist sehr komplex. Auf die Frage was Informationssicherheit ist, bekommt man immer eine andere Antwort und nahezu alle Antworten sind in irgendeine Art und Weise richtig. Häufig fallen auch andere Begriffe, wie bspw. Datenschutz, Datensicherung oder IT-Sicherheit, um den Begriff Informationssicherheit zu erläutern. Wikipedia definiert den Begriff Informationssicherheit so: „Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.“

Im heutigen Zeitalter sind Informationen und Daten wertvolle Güter, die es zu schützen gilt. Fehleinschätzungen über die Sicherheitszustände im Unternehmen können fatale Auswirkungen auf die Konkurrenzfähigkeit (Wirtschaftsspionage), Partnerschaften oder Kundenbeziehungen haben. Für die Implementierung eines ISMS (Information Security Management System) benötigt man Verfahren und Regeln im Unternehmen, um die Informationssicherheit und die Sicherheitsstandards einzuhalten. Diese Verfahren bilden die Grundlage für die Umsetzung des ISMS im Unternehmen.

Die Verantwortung liegt hierbei nicht in der IT-Abteilung eines Unternehmens, sondern bei der obersten Führungsetage. Ohne dessen volle Rückendeckung wäre das Vorhaben ein ISMS aufzubauen und es zu betreiben von Anfang an zum Scheitern verurteilt. Zumal der Aufbau und Betrieb eines ISMS kein Vorhaben ist, dass an eine einzelne Fachabteilung oder eine Person delegiert werden kann. Alle Unternehmensabteilungen sind von der Implementierung betroffen und müssen die Richtlinien, die im Zuge eines ISMS aufgestellt werden beachten und umsetzen. Des Weiteren benötigt der Aufbau und Betrieb eines ISMS Ressourcen in Form von Personal, Geld und Zeit. Diese Ressourcen sind nicht nur beim Aufbau enorm. Auch der Betrieb und die Weiterentwicklung benötigt die genannten Ressourcen. Besonders wichtig ist die Einbindung der Mitarbeiter in den implementierten Prozessen. Die Prozesse und Verfahren sollen leben und nicht nur beschrieben sein. Aus diesem Grund ist es immens wichtig, dass alle Mitarbeiter des Unternehmens von Anfang an über die Notwendigkeit eines ISMS zu informieren. Die Mitarbeiter müssen alle geschult und sensibilisiert werden, damit die Implementierung und der Betrieb eines ISMS Erfolg hat. Den Mitarbeitern sollten die Richtlinien bekannt und jederzeit verfügbar sein.

Nach dem Aufbau eines ISMS ist es sinnvoll, dass es nach außen kommuniziert wird. Die Zertifizierung durch externe Auditoren bestätigt die entwickelten und implementierten Verfahren. Neben der Tatsache, dass der Umgang und die Verarbeitung mit Informationen weniger risikobehaftet ist, ist die Zertifizierung zugleich auch ein Pluspunkt für das Marketing. Umgangssprachlich ist es ein Siegel für den sicheren Umgang mit Informationen (Kundeninformationen / Lieferanteninformationen).

Alle Standards haben die PDCA Vorgabe, um die Qualität des Prozesses stetig weiter zu verbessern, zumal die Technologie sich immer schneller weiterentwickelt. PDCA steht für Plan, Do, Check und Act. Die PDCA-Methodik sorgt dafür, dass die Prozesse und Werte nicht nur einmal entwickelt und identifiziert werden, sie sorgt auch dafür, dass eine Dynamik entsteht und die neuen oder geänderten Rahmenbedingungen und Anforderungen angepasst werden.

Unternehmen stehen einige Standards zur Verfügung an denen sie sich orientieren können, um die Sicherheitsmaßnahmen zu realisieren. Folgend sind einige Standards aufgelistet und kurz beschrieben:

 

BSI IT-Grundschutz:

Der IT-Grundschutz wurde vom BSI (Bundesamt für Informationssicherheit) entwickelt. Der Grundschutzkatalog umfasst ca. 4000 Seiten, wird jedoch derzeit umfangreich umgestellt. Diese sind gegliedert in Bausteine, Maßnahmen und Gefährdungskatalogen Die Umsetzung erfolgt auf Basis der vom BSI definierten Maßnahmen. Die Standards beschreiben ziemlich genau die Vorgehensweise bei der Implementierung. Des Weiteren geben sie mit ergänzenden Dokumenten Hinweise, wie das System auszusehen hat. Ein Vorteil sind die vorgegebenen Maßnahmen, die wenig Spielraum lassen. National ist der IT-Grundschutz anerkannt, international ist der Standard jedoch weitestgehend unbekannt.

ISO 27001

Der Standard gibt allgemeine Anforderungen an die IT-Sicherheit vor. Die ISO ist im Gegensatz zum IT-Grundschutz ein weltweit anerkannter Standard mit ca. 30 Seiten. Der Standard ist kompatibel mit weiteren ISO-Normen, Unternehmen mit einer QM-Zertifzierung (z.B. ISO 9001) wird die Arbeit mit der 27001 leicht fallen. Die praktische Umsetzung ist komplex, da die Anforderungen an die IT-Sicherheit nicht konkretisiert werden.

ISIS12

ISIS 12 wurde speziell für KMU und Kommunen entwickelt. Die wesentlichen Punkte basieren auf dem Grundschutzkatalog des BSI. Die Implementierung erfolgt, wie der Name es schon sagt in 12 Schritten. Vorteile bieten sich hier für kleine Unternehmen und Kommunen, da geringere Anforderungen an die IT-Sicherheit gestellt wird. Die ISIS 12 betrachtet nur unternehmerische Anwendungen und bietet dementsprechend weniger umfangreiche Maßnahmen. Der Standard ist nicht international anerkannt. Es dient jedoch sehr gut als Vorstufe zur einer Zertifizierung nach BSI IT-Grundschutz und ISO 27001.

VdS 3473

Die Richtlinie enthält Vorgaben und Hilfestellungen speziell für kleine und mittlere Organisationen mit der Zielsetzung ein angemessenes Schutzniveau zu erreichen. Der Standard ist nicht international anerkannt. Der sechsstufige Maßnahmen Katalog bietet jedoch eine einfache Implementierung des Standards. Das Unternehmen VdS Schadenverhütung GmbH hat diesen Standard entwickelt. Da das Unternehmen zum „Gesamtverband der Deutschen Versicherungswirtschaft e.V.“ (GDV) gehört, lassen sich ggf. Vereinfachungen für den Abschluss einer Versicherung im Cybersicherheitsumfeld realisieren.

 

Warum eigentlich Informationssicherheit?

Die zunehmende Digitalisierung in den Unternehmen, steigende Risiken im Bereich der Onlineaktivitäten, steigende Anforderungen an den Datenschutz durch die Datenschutz-Grundverordnung (DS-GVO) und eine zunehmende Wirtschaftsspionage sind nur einige Beispiele für die Notwendigkeit der Informationssicherheit in allen Unternehmen. Ob und wenn ja welcher der vorhandenen Standards und Normen zur Informationssicherheit gewählt wird, hängt von vielen Faktoren ab. Neben einer möglicherweise notwendigen Außendarstellung ist auch die Wirtschaftlichkeit, insbesondere bei kleinen und mittleren Unternehmen, von großer Bedeutung. Die Verwendung eines Standards ist in jedem Fall empfehlenswert, auch wenn keine Zertifizierung angestrebt wird, die Standards können auch als Orientierungsrahmen verwertet werden.

Erfahren Sie mehr über die comdatis auf www.comdatis.de

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.