Informationssicherheit gewinnt in Unternehmen immer mehr an Bedeutung. Mit zunehmender Digitalisierung wird es für Betriebe immer wichtiger, sich vor Cyber-Angriffen zu schützen und für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) definiert die Regeln und Maßnahmen dafür und ist wesentliches Element eines unternehmensweiten Risikomanagements.
Die Gefahr durch Cyber-Attacken nimmt weiter zu und verursacht hohe Kosten
Mit der Digitalisierung, neuen technischen Möglichkeiten und zunehmender Vernetzung nimmt die Bedrohungslage durch Cyber-Attacken zu. Kleine und mittelständische Unternehmen sind ebenso gefährdet wie Großkonzerne, dass Sicherheitsrisiken ihrer IT von Cyberkriminellen ausgenutzt werden. Solche Angriffe verursachen hohe wirtschaftliche Schäden. Die Wirtschaftsschutzstudie 2018 von Bitkom hat z.B. ergeben, dass der deutschen Industrie durch Sabotage, Datendiebstahl oder Spionage innerhalb von zwei Jahren ein Gesamtschaden von rund 43,4 Milliarden Euro entstanden ist.
Der so bezifferte Schaden geht auf verschiedene Faktoren zurück, wie Ausfälle oder Schädigung von Betriebsabläufen, Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen oder Plagiaten, Kosten für Ermittlungen und Folgemaßnahmen und mit der größten Schadenssumme von 8,8 Milliarden Euro: Imageschaden bei Kunden und Lieferanten sowie negative Medienberichte. Ein solcher Reputationsverlust ist für Unternehmen schädlich und kann im schlimmsten Fall die Existenz gefährden.
ISMS: Ein flexibles Sicherheitskonzept für die Informationssicherheit
Aufgrund dieser Bedrohungslage wird die Informationssicherheit immer wichtiger. Ein ganzheitliches, unternehmensweites Sicherheitskonzept ist der Schlüssel, um potenzielle Sicherheitsrisiken einzugrenzen und sich gegen mögliche Cyber-Angriffe zu schützen. Es reicht jedoch nicht, einmalig ein statisches Sicherheitskonzept aufzustellen und umzusetzen, denn die Anforderungen an die Informationssicherheit wechseln ständig.
Um diesen wechselnden Anforderungen gerecht zu werden, braucht es ein flexibles Sicherheitskonzept. Ein ISMS (Information Security Management System) bietet die Grundlage für entsprechende Security-Maßnahmen. Im ISMS werden Regeln, Verfahren und Maßnahmen definiert, mit denen die Informationssicherheit kontrolliert, gesteuert, sichergestellt und optimiert werden kann. Dadurch werden Risiken transparent gemacht und ein angemessenes Sicherheitsniveau im Unternehmen gesichert.
Gesetzliche Vorgaben für die Informationssicherheit in Unternehmen
Es gibt einige Vorgaben seitens des Gesetzgebers, die die Informationssicherheit in Unternehmen regeln. Ein ISMS stellt einen wesentlichen Baustein für ein unternehmensweites Risikomanagement dar, wie es in unterschiedlichen Richtlinien und Gesetzen vorgeschrieben ist. Für die Einführung eines ISMS gibt es verschiedene Regelwerke, an denen Unternehmen sich orientieren können. ISIS12 ist beispielsweise ein Modell, das speziell für Kommunen und KMU entwickelt wurde und die Einführung eines ISMS in zwölf Schritten vollzieht.
Ein höheres Sicherheitsniveau und mehr Flexibilität bietet jedoch die ISO 27001. Der darin beschriebene Standard lässt sich auf jede Unternehmensgröße skalieren und bietet einen größeren Spielraum bei der Umsetzung der erforderlichen Maßnahmen. Die internationale Normenreihe ISO/IEC 27001 beinhaltet die Standards für die Entwicklung und Implementierung des ISMS und regelt außerdem die Zertifizierungsanforderungen.
Einen grundlegenden, praxisnahen Überblick über diese Normenreihe geben wir in unserem Grundlagenwissen-Seminar „ISMS Foundation nach ISO/IEC 27001 (TÜV)“.
Die wichtigsten Schritte zur Umsetzung eines ISMS
Die Implementierung des ISMS ist prozessorientiert, das bedeutet sowohl die Planung, Umsetzung als auch Aufrechterhaltung wird in einzelne Prozessschritte unterteilt.
1) Zieldefinition
Im ersten Schritt sind die Ziele des ISMS festzulegen. Es muss klar definiert werden, was das Information Security Management System leisten soll und welche Werte und Informationen des Unternehmens geschützt werden sollen. Sowohl die Anwendungsbereiche als auch Grenzen des ISMS sind eindeutig festzulegen.
2) Risikoanalyse
Der zweite Schritt besteht in einer umfangreichen Analyse dieses Anwendungsbereiches. Der aktuelle Stand der Informationssicherheit muss bestimmt werden, um mögliche Risiken zu identifizieren und einzuordnen. Für die Einschätzung der Risiken können verschiedene Methoden herangezogen werden. Die wichtigsten Kriterien sind eine klare Übersicht, welche Auswirkungen und Folgen die einzelnen Risiken haben können und eine Bewertung ihrer Eintrittswahrscheinlichkeit.
3) Auswahl und Umsetzung der Maßnahmen
Auf der Basis der Risikoeinschätzung werden Gegenmaßnahmen ausgearbeitet, die die Minimierung von Bedrohungsszenarien zum Ziel haben und eine angemessene Reaktion auf Sicherheitsvorfälle ermöglichen. Diese Gegenmaßnahmen beschränken sich nicht auf die IT-Abteilung, sondern gelten für alle Ebenen und Bereiche des Unternehmens und beziehen nicht nur digitale und virtuelle, sondern auch physische Sicherheitsaspekte mit ein.
4) Wartung und Optimierung des ISMS
Die beschlossenen und umgesetzten Maßnahmen müssen in einem kontinuierlichen Prozess geprüft und optimiert werden. Überwachungstechniken, die das ISMS konstant prüfen, erhalten die Flexibilität des Systems. Werden in diesem Prozess Mängel oder neue Risiken erkannt, wird der gesamte ISMS-Prozess erneut durchlaufen.
Rollen und Verantwortlichkeiten im Information Security Management System
Als ganzheitliches Sicherheitskonzept folgt die IT-Sicherheit dem Top-Down-Ansatz. Das Information Security Management System fällt somit in den Verantwortungsbereich der Unternehmensführung. Die Aufstellung und der Beschluss von Sicherheitsrichtlinien erfolgen auf Ebene der Unternehmensleitung. Die Ausarbeitung der Details und die Umsetzung kann an weitere Führungskräfte oder Mitarbeiter übertragen werden.
Eine Aufgabe innerhalb des ISMS ist die Benennung eines Informationssicherheitsbeauftragten durch den Vorstand oder das oberste Management. Dieser ist direkt dem Vorgesetzten unterstellt und berichtet an diesen. Ein IT-Sicherheitsbeauftragter ist außerdem direkt in den ISMS-Prozess integriert und arbeitet eng mit den IT-Verantwortlichen zusammen.
Ein ganzheitliches, unternehmensweites Sicherheitskonzept ist jedoch nicht auf die IT-Abteilung beschränkt und verlangt die Umsetzung in allen Bereichen. Um Informationssicherheit zu gewährleisten, spielt die Sensibilisierung und Information der Mitarbeiter eine essenzielle Rolle. Denn sie sind diejenigen, die im Arbeitsalltag mit den Daten und Informationen arbeiten und somit ein wichtiges Glied in der Sicherheitskette bilden. Die Mitarbeitersensibilisierung sollte daher ein fester Bestanteil des Sicherheitskonzepts sein.
ISMS als wesentlicher Baustein für unternehmensweite Informationssicherheit
Aufgrund der zunehmenden Gefährdung durch Cyber-Attacken gewinnt die Informationssicherheit in Unternehmen an Bedeutung. Sie gewährleistet die Verfügbarkeit von Geschäftsprozessen und bildet eine wichtige Grundlage für Vertrauen und Akzeptanz des Unternehmens bei Geschäftspartnern und Kunden. Ein ISMS definiert das Risikopotenzial im Unternehmen und legt die Regeln und Maßnahmen fest, um diese Risiken zu vermeiden, verringern und auf Bedrohungsszenarien angemessen reagieren zu können.
Für viele Unternehmen ist der Nachweis über ein zertifiziertes ISMS überdies verpflichtend – beispielsweise wenn sie kritische Infrastrukturen betreiben (KRITIS). Die Zertifizierung erfolgt durch Zertifizierungsstellen wie den TÜV. Für einen Überblick über den Aufbau und Betrieb eines zertifizierungsfähigen ISMS bieten wir unsere Schulung „Implementierung eines zertifizierungsfähigen ISMS nach ISO/IEC 27001“ an.
Darin werden Ihnen die in diesem Beitrag angesprochenen Aspekte fundiert und praxisnah vermittelt, sodass Sie anschließend in der Lage sind, die IT-Sicherheit für Ihr Unternehmen zu bewerten, entsprechende Sicherheitsrichtlinien zu erstellen und die Umsetzung der ISO/IEC 27001 Norm zu organisieren. Für den nächsten Termin im April sind noch Plätze frei, und wir bieten all unsere Schulungen auch Inhouse an. Melden Sie sich bei Interesse, wir freuen uns auf Sie!
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security