Bei einem Information Security Management System handelt es sich um ein Managementsystem, das in der Regel aus einer Sammlung von Prozessen, Regeln, Methoden und Tools besteht, um die Informationssicherheit in einem Unternehmen zu messen und verbessern zu können. Das Managementsystem für Informationssicherheit hat das Ziel Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
IT-Risiken sollen dadurch frühzeitig erkannt und entsprechend behandelt werden. Das Management stellt zu diesem Zweck Richtlinien auf, die von Führungs- oder IT-Kräften im Detail definiert und umgesetzt werden. Für die Planung, Umsetzung und Aufrechterhaltung des Systems sollte ein konsekutiver Vorgang eingehalten werden.
Warum ist ein Managementsystem für Informationssicherheit zu empfehlen?
Die Infrastruktur und vor allem die IT in einem Unternehmen werden immer umfassender. Dies liegt an immer neuen und innovativen Technologien sowie der fortschreitenden Digitalisierung. Die Absicherung des gesamten Unternehmens wird durch Remote-Working erschwert.
Zusätzlich werden IT-Sicherheitssysteme immer umfangreicher und komplexer. In den letzten Jahren haben sich daher international anerkannte Managementsysteme, die über alle Branchen und Unternehmensgrößen hinweg Anwendung finden können, durchgesetzt. Diese stellen High-Level Anforderungen auf, mit deren Hilfe Unternehmen ein maßgeschneidertes Information Security Management System aufgebaut und gepflegt werden kann. Der bekannteste internationale Standard ist die ISO/IEC 27001. Die Zertifizierung des ISMS ist für immer mehr Unternehmen die Voraussetzung für eine Kooperation.
Ziele eines Information Security Management System
Ein wirksames ISMS dient dem Ziel Informationssicherheit zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Dabei sind die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zu beachten:
- Vertraulichkeit bedeutet, dass nur Personen mit einer entsprechenden Berechtigung die Informationen einsehen oder verarbeiten können. Einfach formuliert müssen in diesem Bereich deutliche Zugriffsrechte aufgestellt und konsequent umgesetzt werden.
- Bei der Verfügbarkeit geht es um die Funktionsfähigkeit der Systeme und die Erreichbarkeit der Datenbestände. Damit sollen die Gefahren von Systemausfällen minimiert und das Schadenpotenzial sowie die Ausfallzeiten möglichst gering gehalten werden.
- Integrität wird fälschlicherweise oftmals mit der Vertraulichkeit von Informationen verwechselt. Es geht hier jedoch darum, dass Daten nicht unbemerkt verändert werden können. Das Stichwort bei diesem Schutzziel lautet Revisionssicherheit.
Aufwand zur Einführung eines ISMS
Der Aufwand für die Einführung eines Information Security Management System ist nicht zu unterschätzen und stark abhängig von der Unternehmenskultur, bestehenden Richt- und Leitlinien sowie der Möglichkeit auf vorhandenes Know-How zurückzugreifen. Dennoch überwiegen die Vorteile, wenn das ISMS eines Unternehmens nach ISO 27001 zertifiziert ist. Ein wirksames System hat durch die nachweisliche Informationssicherheit ein gestärktes Vertrauensverhältnis zu Bestandskunden und potenziellen Neukunden zur Folge.
Sales-Zyklen werden beschleunigt und die Neukundenakquise erleichtert. Ein weiterer Vorteil besteht in der Handlungs- und Rechtssicherheit. Regulatorische, geschäftliche und vertragliche Anforderungen können leichter eingehalten und überwacht werden. Wiederkehrende Kundenaudits werden verkürzt und reduziert. Haftungsrisiken für das Management werden verringert. Eine zentrale Koordination und Ressourcenallokation führt zu Kostenreduzierung und mehr Wirtschaftlichkeit.
Relevanz in der Wirtschaft
Generell ist ein funktionierendes ISMS für alle Unternehmen von großer Bedeutung, die Umgang mit vertraulichen Informationen haben. Im Moment ist es jedoch nur für die Betreiber kritischer Infrastrukturen verpflichtend. Dies bedeutet jedoch nicht, dass die Etablierung in anderen Wirtschaftszweigen nicht relevant ist. Unternehmen sollten sich, auch wenn es keine Verpflichtung gibt, generell schützen, bevor ein Schaden entsteht.
Fakt ist aber, dass allein in Deutschland bereits fast jedes zweite Unternehmen das Opfer von Cyberkriminalität geworden ist. Die Folgen einer umfangreichen Attacke sind verheerend. Auf der anderen Seite schreitet die Digitalisierung stets voran. Sensible Daten und Informationen werden von immer mehr Unternehmen gespeichert und verarbeitet, um der Belegschaft flexible Arbeitsmodelle wie Remote-Working zu ermöglichen. Aufgrund der vermehrten Fälle von Cyberangriffen und der damit verbundenen Regularien wollen immer mehr Unternehmen von ihren Kooperationspartnern einen Nachweis über eine wirksames und zertifiziertes Informationssicherheits-Managementsystem. Das ISO/IEC 27001 Zertifikat wird so immer mehr zum Standard in der Industrie und Wirtschaft.
Das Management für die Informationssicherheit (ISMS)
Das ISMS dient dazu, verschiedene Regeln, Verhaltensweisen und Definitionen festzulegen, welche die IT-Sicherheit in einem Unternehmen nicht nur verbessern lassen soll, sondern auch transparenter macht. Denn das System sorgt dafür, dass die Informationssicherheit gesteuert und kontrolliert werden kann. Ein ISMS fällt in den Verantwortungsbereich der Unternehmensführung, einzelne Aspekte können aber „von oben herab“ an verschiedene Mitarbeiter weitergeleitet werden.
Weiter soll ein IT-Sicherheitsbeauftragter ernannt werden. Der IT-Sicherheitsbeauftragte ist zwingend notwendig, da er im Rahmen des ISMS Ansprechpartner für alle IT-Sicherheitsfragen wird und direkt dem Vorstand unterstellt ist. Dieser soll regelmäßig ein Statusupdate an den Vorstand geben, damit dieser möglichst dauerhaft über den Stand der IT-Sicherheit im Unternehmen informiert bleibt.
Sicherheitsmaßnahmen die im Unternehmen getroffen werden sollten
Im Unternehmen liegen zu schützende Daten sowohl in digitaler als auch in physikalischer Form vor. Beispielsweise kann es sich hierbei um vertraulichen Programmiercode oder Dokumente im PDF Format handeln. Aber auch Ordner mit Verträgen, Kundenlisten oder Aufträgen zählen zur Informationssicherheit.
Daran ist zu erkennen, dass es viele Schutzmaßnahmen gibt, die unter das ISMS fallen. Zu einem ganzheitlichen System gehören abschließbare Tresore, Schränke, Türschlösser und eine Alarmanlage genauso wie Anti-Viren-Programme, Hardware-Verschlüsselung und Backup-Routinen.
Aufbau und Pflege eines ISMS
Planung, Aufrechterhaltung und Umsetzung des ISMS können in einzelne Prozessschritte ein- bzw. unterteilt werden. Zu Anfang ist Geltungsbereich, die Grenzen und Schnittstellen des Systems klar und deutlich zu bestimmen.
Im zweiten Schritt sind die Risiken innerhalb des Anwendungsbereiches zu identifizieren und einzuordnen. So soll eine realistische Einschätzung über vertretbare Risiken aufgestellt werden. Die Auswirkungen der einzelnen Risiken müssen klar erkennbar sein. Dabei sind die Folgen des Verlustes von Verfügbarkeit, Integrität und Vertraulichkeit zu berücksichtigen. Zu der Risikobeurteilung gehört auch die Bestimmung der Eintrittswahrscheinlichkeiten der einzelnen Risiken.
Auf Grundlage dieser Bewertung erfolgt die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikosteuerung. Diese sind in einem fortlaufenden Prozess zu überwachen und zu optimieren. Werden dabei Schwächen aufgedeckt, ist der Prozess von Beginn an neu zu starten.
Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht zur Umsetzung des IT-Grundschutzes entsprechende Kataloge, die konkrete Umsetzungshinweise beinhalten. Wer jedoch die native ISO 27001 zertifizieren lassen möchte, kann das Kompendium zum Teil als Inspiration für mögliche Maßnahmen nutzen.
Ein zentraler Teil des ISMS ist die Bestimmung von Geschäftswerten. Die sogenannten Assets – die sich von Organisation zu Organisation unterscheiden können – nehmen einen erheblichen Teil der Arbeit beim Aufbau eines ISMS in Anspruch. Im Anschluss müssen. Die Entwicklung von Schadens- bzw. Risikoszenarien sollte ebenfalls umgesetzt werden. Diese Beschreibungen können helfen, die abstrakten Anforderungen in den Arbeitsalltag der betroffenen Personen zu überführen.
Ein klassisches Beispiel wäre die Wahrscheinlichkeit einzuschätzen, dass ein Mitarbeiter auf eine Phishing-Mail stößt und diese aufruft. Für diesen Fall sollte der IT-Sicherheitsbeauftragte konsultiert werden, damit dieser die durch die Phishing-Mail eingetretenen Gefahren rückgängig machen kann. Abschließend soll Risikovermeidung vollzogen werden. Am Beispiel der Phishing-Mail könnte eine Unified Threat Management (UTM) Appliance helfen, welche bereits vor dem Empfang einer eigentlichen Nachricht die E-Mail anhand verschiedener Aspekte technisch analysiert und einem Mitarbeiter ggf. zunächst nicht zustellt.
Ein geschulter anderer Mitarbeiter könnte sich die Gründe ansehen, warum eine E-Mail von einer UTM blockiert wurde und anhand von diesen Aspekten entscheiden, ob die Nachricht zugestellt wird oder nicht. Wichtig ist dabei, dass generelle Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvorfälle. Um die Anzahl an Öffnungen und Klicks einer möglichen Phishing E-Mail zu messen bietet sich die Durchführung von Phishing Simulationen an.
Die Rolle eines IT-Sicherheitsbeauftragten
Zu den erforderlichen Maßnahmen gehört zusätzlich die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in alle Prozesse integriert, die das Thema Informationssicherheit betreffen und arbeitet eng mit der IT Abteilung zusammen. Der IT-Beauftragte eines Sicherheitssystems im Unternehmen ist Ansprechpartner für alle wichtigen Fragen, die mit der IT-und Informationssicherheit in Verbindung stehen.
Der Vorstand oder das obere Management haben diese Position zu besetzen. Er ist in der Regel dem Vorstand direkt unterstellt und gibt regelmäßig seinen Bericht an diesen ab. Um seine Aufgaben zu erfüllen, wird der IT-Sicherheitsbeauftragte mit einem eigenen finanziellen Budget ausgestattet.
Beachtung des Datenschutzes
Innerhalb des ISMS genießen personenbezogene Daten keine Sonderbehandlung. Alle vertrauenswürdigen Daten sind schützenswert zu behandeln. Ein ISMS beleuchtet daher auch Aspekte des Datenschutzes und sollte keineswegs stiefmütterlich behandelt werden. Das Vorhandensein eines Datenschutz-Managementsystems kann von Vorteil sein.