Information Security Management System

ISMS passt auch für den Mittelstand

| Autor / Redakteur: Marius Brüggemann / Peter Schmitz

Planen Unternehmen ein ISMS auf Basis bereits bestehender Managementsystems, lassen sich Aufwand und Kosten deutlich reduzieren.
Planen Unternehmen ein ISMS auf Basis bereits bestehender Managementsystems, lassen sich Aufwand und Kosten deutlich reduzieren. (Bild: Pixabay / CC0)

In mittelständischen Betrieben wird es mit zunehmender Digitalisierung immer wichtiger, für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) hilft, notwendige Maßnahmen und Richtlinien eines Sicherheitskonzeptes zu definieren, zu steuern und zu kontrollieren. Die Einführung eines ISMS ist je nach Vorgehensweise jedoch verhältnismäßig aufwändig. Es lohnt sich deshalb, die verschiedenen Rahmenwerke näher zu betrachten.

Die Angriffe auf das Router-Netz der Deutschen Telekom im November 2016 haben erneut gezeigt, dass Cyber-Attacken kein Szenario aus einem Science-Fiction-Film sind. Und sie verursachen einen hohen Schaden: Der Branchenverband BITKOM beziffert den Schaden der deutschen Wirtschaft im Jahr 2015, verursacht durch digitale Wirtschaftsspionage, Sabotage und Diebstahl, auf 51 Milliarden Euro. Aber nicht nur Großkonzerne werden Opfer von Angriffen. Security-Experten warnen seit Jahren besonders mittelständische Betriebe vor der zunehmenden Gefahr durch Sicherheitsrisiken ihrer IT. Zwar ist inzwischen ein Bewusstsein für die Bedrohungslage entstanden, doch häufig ziehen Unternehmen noch keine Konsequenzen daraus.

Ein Sicherheitskonzept darf nicht statisch sein. Es muss sich immer wieder den wechselnden Anforderungen an die Informationssicherheit anpassen. Eine gute Ausgangsbasis für Security-Maßnahmen ist daher ein ISMS. Es stellt im Unternehmen ein angemessenes Sicherheitsniveau her, macht Risiken transparent und spart langfristig Kosten. Auf der einen Seite kanalisiert das Managementsystem alle relevanten Verfahren und Regeln, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen. Auf der anderen Seite ist das Einführen eines solchen Rahmenwerks allerdings mit zusätzlichem Aufwand für das Unternehmen verbunden.

Vorschriften und was man daraus macht

Seitens des Gesetzgebers gibt es einige Vorgaben bezüglich der Informationssicherheit in Unternehmen. Dazu gehören zum Beispiel das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Bundesdatenschutzgesetz (BDSG) oder das IT-Sicherheitsgesetz (ITSiG).

Besonders das 2015 in Kraft getretene ITSiG stellt Mittelständler, die kritische Infrastrukturen betreiben (KRITIS), unter Handlungszwang. Gemeint sind in diesem Zusammenhang beispielsweise Betriebe aus den Sektoren Energie, Transport und Verkehr oder Gesundheit. Diese müssen ihre Informationssicherheit nachweislich regulieren – im besten Fall in Form eines anerkannten Zertifikats. Zwar spricht das ITSiG nicht wörtlich von einem Information Security Management System, der Ausdruck „aktueller Stand der Technik“ impliziert dies jedoch. Das Gesetz schreibt vor, dass Unternehmen gerade einmal zwei Jahre Zeit haben, die geforderten Maßnahmen umzusetzen. Auch kooperierende Großkonzerne üben mehr und mehr Druck auf mittelständische Betriebe aus: Sie schließen immer häufiger Unternehmen von Ausschreibungsverfahren aus, die kein zertifiziertes ISMS vorweisen können.

Nicht selten fühlen sich insbesondere kleinere und mittlere Unternehmen von diesen gesetzlichen Regularien überfordert. Das zeigt eine aktuelle Studie der Bundesdruckerei zur IT-Sicherheit und Digitalisierung. Dabei profitieren diese Unternehmen durchaus von der Einführung eines ISMS. Denn ein gelebtes Managementsystem unterstützt sie bei der Einhaltung von Gesetzen, Vorgaben und Normen. Und es sorgt für effektive Sicherheitsprozesse und schützt vor Angriffen wie Datendiebstahl, die hohe monetäre Schäden verursachen können.

Das passende ISMS finden

Die Zahl der Regelwerke, an denen sich mittelständische Unternehmen heute orientieren können, ist groß. Es gibt eher übersichtliche Rahmenwerke wie ISIS12, den umfangreichen IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die international anerkannte ISO 27001. Jedes Rahmenwerk hat allerdings auch eine Zielgruppe. Das Informationssicherheits-Managementsystem in 12 Schritten (ISIS12) ist speziell für den Mittelstand konzipiert. Sehr knapp formuliert es die grundlegendsten Maßnahmen und Prozesse und kann als Grundlage für ein zertifizierbares ISMS dienen.

Das geeignetste Rahmenwerk ist in diesem Fall jedoch die ISO 27001. Zwar schrecken mittelständische Unternehmen häufig aufgrund des Umfangs vor ihr zurück, doch der darin beschriebene Standard lässt sich auf jede Unternehmensgröße skalieren. Zudem räumt das Rahmenwerk einen großen Spielraum bei der Umsetzung der erforderlichen Maßnahmen ein. Es ist also problemlos möglich, die vorgeschriebenen Regeln den eigenen Bedürfnissen anzupassen. Ein Beispiel: Kommt ein Unternehmen gänzlich ohne mobile Endgeräte aus, spielen die Maßnahmen zum Mobile Device Management und zur Mobile Security keine Rolle. Kann die eigene IT diese Anpassungs-Arbeit nicht leisten, ist es ratsam, auf einen spezialisierten Berater zurückzugreifen. Oft zeigt sich dann schnell, wie leicht ein Managementsystem nach ISO 27001 tatsächlich umzusetzen ist.

Schritt für Schritt das ISMS implementieren

Der erste Schritt, ein ISMS zu implementieren, ist die Risikoanalyse. Zunächst bestimmen Unternehmen dafür ihren aktuellen Stand der Informationssicherheit und potenzielle IT-Risiken. Sie analysieren außerdem, welche Daten und Informationen für das Unternehmen wertvoll beziehungsweise schützenswert sind. Diese Recherche stellt die Basis dar, um Gegenmaßnahmen auszuarbeiten, die es möglich machen, Bedrohungsszenarien zu minimieren und darauf zu reagieren. Der nächste Schritt ist das Erstellen eines Soll-Konzeptes. Dieses beschränkt sich nicht auf die IT-Abteilung, sondern geht darüber hinaus. Es bezieht auch die Werkssicherheit bzw. das Facility Management mit ein. Denn Informationssicherheit schließt nicht nur digitale oder virtuelle Sicherheitsaspekte ein, sondern auch physische. Eine anschließende Gap-Analyse zeigt die Differenz zwischen Soll und Ist auf.

Häufig folgt der Implementierung eines ISMS die Einführung eines Risikomanagements. Für Mittelständler macht das – neben einem Notfallmanagement und Sensibilisierungsmaßnahmen für die Mitarbeiter – durchaus Sinn. Bei allen Maßnahmen gilt es, auf Augenmaß zu achten. Oft lassen sich Ressourcen einsparen, wenn die Projektverantwortlichen die Einführung der Sicherheitsmaßnahmen mit anstehenden Aufgaben verknüpfen. Warum nicht die Migration auf ein neues Betriebssystem mit dem Stichtag für weitere Sicherheits-Tasks verbinden? Behalten Unternehmen dies im Hinterkopf und planen ein ISMS auf Basis des bestehenden Managementsystems, lassen sich Aufwand und Kosten reduzieren. Die Zusammenarbeit mit einem externen Berater empfiehlt sich darüber hinaus, um die individuellen Gegebenheiten im Unternehmen optimal anzupassen.

Der Autor Marius Brüggemann ist IT-Sicherheitsexperte bei AirITSystems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44576402 / Sicherheits-Policies)