Unkategorisiert

ENTWURF – Was ist ein Information Security Management System (ISMS)?

Veröffentlicht am

Bei einem Information Security Management System handelt es sich um eine Sammlung von Prozessen, Regeln, Methoden und Tools um die Informationssicherheit in einem Unternehmen sicherzustellen. IT-Risiken sollen dadurch frühzeitig erkannt und entsprechend behandelt werden. Das Management stellt zu diesem Zweck IT-Richtlinien auf, die von Führungs- oder IT-Kräften im Detail definiert und umgesetzt werden. Für das planen, umsetzen und aufrechterhalten des Systems sollte ein konsekutiver Vorgang eingehalten werden.

Die Infrastruktur und vor allem die IT in einem Unternehmen werden immer umfassender. Dies liegt an immer neuen und innovativen Technologien sowie der fortschreitenden Digitalisierung. Zum absoluten Standard gehören Tools wie Zoom und AWS. Die Absicherung des gesamten Unternehmens wird durch Remote-Working erschwert.

Sicherheitssysteme werden immer komplexer. In den letzten Jahren haben sich daher international anerkannte Informationssicherheitssysteme durchgesetzt. Diese stellen klar definierte Bedingungen auf, mit deren Hilfe Unternehmen ein maßgeschneidertes Information Security Management System aufbauen und kontinuierliche pflegen können. Die bekanntesten Standards sind in Deutschland und Europa ISO 27001 und in den USA SOC2. Unternehmen mit einem zertifizierten System können einen vertraulichen Umgang mit Informationssicherheit ohne Probleme garantieren. Die Zertifizierung des ISMS ist für immer mehr Unternehmen die Voraussetzung für eine Kooperation.

Ziele eines Information Security Management System

Ein wirksames ISMS dient allgemein dem Schutz von Daten und Informationen in einem Unternehmen. Dabei sind die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zu beachten:

  • Vertraulichkeit bedeutet, dass nur Personen mit einer entsprechenden Berechtigung die Informationen einsehen oder verarbeiten können. Einfach formuliert müssen in diesem Bereich deutliche Zugriffsrechte aufgestellt und konsequent umgesetzt werden.
  • Bei der Verfügbarkeit geht es um die Funktionsfähigkeit der Systeme und die Erreichbarkeit der Datenbestände. Damit sollen die Gefahren von Systemausfällen minimiert und das Schadenpotenzial sowie die Ausfallzeiten möglichst geringgehalten werden.
  • Integrität wird fälschlicherweise oftmals mit der Vertraulichkeit von Informationen verwechselt. Es geht hier jedoch darum, dass Daten nicht unbemerkt verändert werden können. Das Stichwort bei diesem Schutzziel lautet Revisionssicherheit.

Sicherheitsmaßnahmen die im Unternehmen getroffen werden sollten

Im Unternehmen liegen zu schützende Daten sowohl in digitaler, als auch in physischer Form vor. Beispielsweise kann es sich hierbei um vertrauliche Quellencodes, JPEGs und PDFs auf der digitalen Seite, oder Ordner mit Verträgen, Kundenlisten oder Aufträgen auf der physischen Seite handeln. Daran ist zu erkennen, dass es viele Schutzmaßnahmen gibt, die unter das ISMS fallen. Zu einem ganzheitlichen System gehören abschließbare Tresore, Schränke, Türschlösser und eine Alarmanlage genauso wie Anti-Viren-Programme, Hardware-Verschlüsselung und Backup-Routinen.

Verantwortlichkeiten in einem Unternehmen

Zusammenfassend sind also technische, organisatorische, rechtliche, physische, und mitarbeiterschützende Sicherheitsmaßnahmen einzuhalten. Daran lässt sich die Komplexität des Themas erkennen. In größeren Unternehmen ist es daher zwingend erforderlich, einen Informationssicherheitsbeauftragten zu bestimmen. Die Verantwortlichkeiten in Start-ups und kleineren Unternehmen sind meist nicht besonders konkret.

Dennoch ist es wichtig, auch hier klare Verantwortlichkeiten festzulegen. Rahmenbedingungen und Sicherheitsziele sollten durch die obere Leitungsebene definiert werden. Dazu gehört es, Leitlinien vorzugeben und entsprechende Ressourcen zu schaffen. Die konkrete Ausgestaltung und Umsetzung sind dann auf Führungskräfte und anderes Personal zu übertragen.

Vorteile der Einführung Sicherheitssystems

Der Aufwand für die Einführung eines Information Security Management System ist nicht zu unterschätzen. Dennoch überwiegen die Vorteile, wenn das ISMS eines Unternehmens nach ISO 27001 zertifiziert ist. Ein wirksames System hat durch die nachweisliche Informationssicherheit ein gestärktes Vertrauensverhältnis zu Bestandskunden und potenziellen Neukunden zur Folge. Der Business Continuity, also die Aufrechterhaltung der Geschäftstätigkeit ist durch Sicherheitsrisiken nicht so stark gefährdet.

Sales-Zyklen werden beschleunigt und die Neukundenakquise erleichtert. Es drohen im Zusammenhang mit Datenverstößen keine Geldstrafen. Ein weiterer Vorteil besteht in der Handlungs- und Rechtsicherheit. Regulatorische, geschäftliche und vertragliche Anforderungen können leichter eingehalten und überwacht werden. Wiederkehrende Kundenaudits werden verkürzt und reduziert. Haftungsrisiken für das Management werden verringert. Eine zentrale Koordination und Ressourcenallokation führt zu Kostenreduzierung und mehr Wirtschaftlichkeit.

Relevanz in der Wirtschaft

Generell ist ein funktionierendes ISMS für alle Unternehmen von großer Bedeutung, die Umgang mit vertraulichen Informationen haben. Im Moment ist es jedoch nur für die Betreiber kritischer Infrastrukturen verpflichtend. Dies bedeutet wiederum jedoch nicht, dass die Etablierung in anderen Wirtschaftszweigen nicht relevant ist. Unternehmen sollten sich auch wenn es keine Verpflichtung gibt generell schützen, bevor ein Schaden entsteht. Die Themen Informationssicherheit und Cyberkriminalität werden von vielen Unternehmen bislang vor sich hergeschoben. Viele denken immer noch, dass Cyberangriffe oder jegliche Form von Datendiebstählen nur die großen Unternehmen treffen.

Fakt ist aber, dass allein in Deutschland bereits fast jedes zweit Unternehmen Cyberkriminalität erlebt hat. Die Folgen sind meist verheerend. Auf der anderen Seite schreitet die Digitalisierung immer weiter voran. Sensible Daten und Informationen werden von immer mehr Unternehmen gespeichert und verarbeitet, um der Belegschaft flexible Arbeitsmodelle wie Remote-Working zu ermöglichen. Aufgrund der vermehrten Fälle von Cyberangriffen und der damit verbundenen Regularien der Europäischen Union wollen immer mehr Unternehmen von ihren Kooperationspartnern einen Nachweis über eine wirksames und zertifiziertes Informationssicherheits-Managementsystem. Das ISO 27001 Zertifikat wird so immer mehr zum Standard in der Industrie und Wirtschaft.

Umsetzung eines ISMS

Planung, Aufrechterhaltung und Umsetzung des ISMS können in einzelne Prozessschritte eingeteilt werden. Zuerst ist festzulegen, was das System leisten soll und welche Informationen und Werte zu schützen sind. Dabei sind der Anwendungsbereich und die Grenzen des Systems klar und deutlich zu bestimmen.

Im zweiten Schritt sind die Risiken innerhalb des Anwendungsbereiches zu identifizieren und einzuordnen. So soll eine realistische Einschätzung über vertretbare Risiken aufgestellt werden. Die Auswirkungen der einzelnen Risiken müssen klar erkennbar sein. Dabei sind die Folgen des Verlustes von Verfügbarkeit, Integrität und Vertraulichkeit zu berücksichtigen. Zu der Risikobeurteilung gehört auch die Bestimmung der Eintrittswahrscheinlichkeiten der einzelnen Risiken.

Auf Grundlage dieser Bewertung erfolgt die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikosteuerung. Diese sind in einem fortlaufenden Prozess zu überwachen und zu optimieren. Werden dabei Schwächen aufgedeckt, ist der Prozess von Beginn an neu zu starten.

Die Rolle eines IT-Beauftragten

Zu den erforderlichen Maßnahmen gehört ebenfalls die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in alle Prozesse integriert und arbeitet eng mit der IT bei Aufgaben wie der Wahl neuer Anwendungen und Komponenten zusammen. Der IT-Beauftragte eines Sicherheitssystems im Unternehmen ist Ansprechpartner für alle wichtigen Fragen, die mit der IT-Sicherheit in Verbindung stehen. Der Vorstand oder das obere Management haben diese Position zu besetzen. Er ist dem Vorstand direkt unterstellt und gibt regelmäßig seinen Bericht an diesen ab. Um seine Aufgaben zu erfüllen, wird der IT-Sicherheitsbeauftragte mit einem eigenen finanziellen Budget ausgestattet.

Beachtung des Datenschutzes

Innerhalb des ISMS genießen personenbezogene Daten keine Sonderbehandlung. Alle vertrauenswürdigen Daten sind prinzipiell gleich zu behandeln. Ein Information Security Management System im Unternehmen muss aber nicht zwingend den Datenschutz beinhalten. Zwar hilft es generell beim Schutz der Daten, kann aber nicht die Sicherheit der Verarbeitung sämtlicher personenbezogener Daten garantieren und sollte daher separat behandelt werden.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.