Sehr geehrte Leserinnen und Leser,
wenn Informationen genauso wertvoll sein sollen wie Kronjuwelen, sollte ihr Schutz dementsprechend auch oberste Priorität haben!
Die Businesswelt ist im Wandel – und wird in gesteigertem Maße von multimedialen Geschäftsabläufen, plattformabhängigen Businesskonzepten, „intelligenten“ Geräten und Betriebsanlagen ebenso wie vernetzten IT-Systemen wie auch Anwendungen ausgemacht.
Allerdings birgt die zunehmend digitalisierte, vernetzte und mobile Geschäftswelt große Gefahren:
Internetangriffe, Datendiebstähle und Erpressungsversuche auf mittelständische Unternehmen nehmen nicht nur konstant zu, sie sind auch eine ernstzunehmende Bedrohung für die Informationssicherheit und den Datenschutz der Unternehmen.
Nur im Kalenderjahr 2020 wurden nach dem Bundeslagebild Cybercrime 2020 des Bundeskriminalamtes 108.000 Straftaten im virtuellen Sektor registriert, wobei von einer immensen Dunkelzahl durch nicht aufgedeckte wie auch nicht gemeldete Angriffe auszugehen ist. Ausgesprochen häufig wurden gemäß dem BKA Kryptotrojaner- sowie Distributed Denial of Service-Angriffe sowie der Diebstahl digitaler Identitäten registriert.
Auf Grund der zunehmenden online Kriminalität sollte die Implementation eines gut strukturierten Informationssicherheitsmanagementsystem, abgekürzt ISMS, in den Fokus rücken.
Denn als wichtiger Teil einer ganzheitlichen Sicherheitskonzeption zielt ein Information Security Management System darauf ab, die IT-Gefahren der heutigen Zeit mit wirksamen Regularien, Vorgehensweisen, Maßnahmen sowie Tools beherrschbar zu machen und im Zuge dessen die IT-Security sowie den Datenschutz stets zu garantieren.
Kronjuwelen in den Tower!
Informationen bilden seit jeher den Grundstein für den betriebswirtschaftlichen ebenso wie personenbezogenen Gewinn. Egal ob technisches Fachwissen, Kundeninformationen oder Produktions- und Herstellungsverfahren – ohne spezifische Informationen kann ein Unternehmen weder eine objektiv abgewogene Entscheidung treffen noch Wettbewerbsvorteile gegenüber der Konkurrenz sichern. Daher stellen Informationen wertvolle Vermögensgegenstände dar, welche mit geeigneten IT-Sicherheitsmaßnahmen geschützt werden sollten.
Während der Datenschutz entsprechend der Europäischen Datenschutzgrundverordnung den Schutz personenbezogener Daten sowie vornehmlich die Wahrung der informationellen Selbstbestimmung zum Gegenstand hat, geht es in der Informationssicherheit um die Erhaltung des Schutzes von Informationen, Daten und Systemen.
Entsprechend beschäftigt sich die IT-Sicherheit mit allen technologischen und organisatorischen Maßnahmen zur Gewährleistung von Vertraulichkeit, Nutzbarkeit, Integrität und mitunter von Echtheit und Verbindlichkeit jeglicher schutzwürdigen Informationen in einem Geschäftsbetrieb. Angesichts dessen ist es unwichtig, ob sich solche Informationen digital auf einem Server, analog auf einem Geschäftspapier oder in einem „Gehirn“ befinden. Zur Information Security gehört folglich genauso die Datensicherheit: Also der Schutz von allen Daten, auch denen, die keinen Bezug zu personenbezogenen Daten gemäß der Europaweiten Datenschutzgrundverordnung haben.
In der Bundesrepublik Deutschland orientiert sich die Informationssicherheit meistens nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Gemeinsam mit den länderübergreifenden Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet er Unternehmen einen strukturorientierten und systematischen Ansatz für den Aufbau und die Inbetriebnahme eines Information Security Management Systems.
Schutz durch klar definierte Prozesse!
Ein Information Security Management System ist simpel formuliert ein Managementsystem für die Informationssicherheit. Durch die Implementation eines Informationssicherheitmanagementsystems auf Grundlage des IT-Grundschutzes oder den länderübergreifenden Richtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollverfahren festgelegt, um die Informationssicherheit in einem Geschäftsbetrieb beständig zu garantieren.
Das übergeordnete Ziel eines Informationssicherheitsmanagementsystems ist es, mögliche Gefahren bezüglich der Informationssicherheit zu finden, analysieren und zu minimieren ebenso wie im Zuge dessen für ein adäquates Schutzniveau von Informationen innerhalb eines Betriebes zu sorgen. Dieses Sicherheitsmanagementsystem bildet also die Prämisse für eine systematische Implementierung von Informationssicherheit innerhalb eines Unternehmens.
Aus der Blickrichtung des Datenschutzes ist es wichtig, dass ein Informationssicherheitsmanagementsystem alle schützenswerten Informationen in einem Unternehmen absichert, ganz unabhängig, ob es sich um persönliche Daten handelt oder nicht.
In wenigen Steps zu mehr Sicherheit!
Die effiziente und effektive Verwirklichung eines solchen Managementsystems ist ein sehr komplexer Vorgang. Prinzipiell wird die Implementierung in diverse Schritte untergliedert.
Die nachfolgenden Prozessschritte sollten dabei beachtet werden:
1. Prozessschritt: Zieldefinition und Festlegung des Leistungsumfanges
Im ersten Prozessschritt müssen die Zielsetzungen des Sicherheitsmanagementsystems definiert werden. Dabei solten sowohl die Bereiche der Anwendungen als auch Grenzen des Systems eindeutig geregelt werden. Ebenfalls sollte klar definiert werden, was das System vollbringen soll bzw. welche Werte und Informationen des Unternehmens gesichert werden sollen.
2. Prozessschritt: Bedrohungen identifizieren sowie bewerten
Im zweiten Prozessschritt sollte eine umfängliche Tiefenanalyse der Anwendungsbereiche gemacht werden. Hierbei sollte der gegenwärtige Stand der Informationssicherheit ermittelt werden, um so denkbare Gefahren zu erkennen und einzuordnen. Für die Evaluation der Bedrohungen können mehrere Techniken benutzt werden. Die bedeutsamsten Kriterien sind eine klare Übersicht, welche Konsequenzen und Folgen die verschiedenen Gefahren haben können und eine Evaluierung ihrer Wahrscheinlichkeit des Eintrittes.
3. Prozessschritt: Auswahl und Implementierung der Gegenmaßnahmen
Im dritten Schritt werden auf Grundlage der Risikoeinschätzung Gegenmaßnahmen erarbeitet, welche die Verringerung von Bedrohungsszenarien zum Ziel haben und so eine angemessene Antwort auf Sicherheitsvorfälle erlauben. Diese haben dann Gültigkeit für alle Sektoren und Abteilungen des Geschäftsbetriebes und beziehen nicht nur digitale und virtuelle, sondern auch physische Angelegenheiten mit ein.
4. Prozessschritt: Leistungsfähigkeit überprüfen und Optimierungen verwirklichen
Im vierten Prozessschritt sollten die definierten und implementierten Strategien in einem kontinuierlichen Prozess überwacht, überprüft sowie weiter abgestimmt werden. Werden im Zuge dessen Variationen des Soll Zustandes oder weitere Risiken entdeckt, so wird der gesamte Information Security-Prozess von Neuem gestartet.
Informationssicherheitsmanagementsysteme als Gewähr für hohe Informationssicherheit!
Der cyberkriminelle Handel mit Informationen boomt. Kein Geschäftsbetrieb kann es sich dieser Tage aus diesem Grund noch leisten, den Schutz von Informationen und Daten zu vernachlässigen. Durch die Implementation eines Sicherheitsmanagementsystems können Unternehmen mit effektiven Regeln, Herangehensweisen, Prozeduren und Techniken sämtliche IT-Gefahren mit Blick auf ihre Informationssicherheit und den Datenschutz minimieren und geeignet auf Bedrohungsszenarien reagieren.
Im Übrigen fordert die EU-Datenschutzgrundverordnung in Artikel 32 der EU-DSGVO Unternehmen dazu auf, ein dem Risiko angemessenes Sicherheitsniveau für persönliche Daten zu etablieren. Sonst können hohe Strafen verhängt werden.
Allerdings muss man einplanen, dass ein Information Security Management System kein komplettes Datenschutzmanagementsystem ersetzen, sondern nur um technologische und organisatorische Instrumente gemäß datenschutzrechtlichen Bedingungen erweitern kann.
Somit empfiehlt sich eine engmaschige Zusammenarbeit zwischen einem Informationssicherheitsbeauftragten und einem Datenschutzbeauftragten, um eine große Informationssicherheit und einen hohen Datenschutz sicherstellen zu können.
Möchten auch Sie ein Informationssicherheitsmanagementsystem nach BSI IT-Grundschutz, DIN EN ISO/IEC 27001 oder ISIS12 einführen? Oder haben Sie noch Fragen zu den Themen Informationssicherheit und Datenschutz? Sprechen Sie uns an.
