Mit Risikoanalyse zu umfassender Informationssicherheit Das leistet ein Information Security Management System
Anbieter zum Thema
Unternehmen, die sich für die Einführung eines Information Security Management Systems (ISMS) entscheiden, profitieren nicht nur von mehr Sicherheit. Sie erhalten auch einen frischen Blick auf ihre Geschäftsprozesse – und verbessern ihr Image.

Eine lange Erfolgsbilanz in Sachen Sicherheit verzeichnet die 100x Group laut ihrem CEO Alex Höpfner. Das ist kaum eine Überraschung, ist doch das Unternehmen die Holding der BitMEX, einer führenden Handelsplattform für Kryptowährungs-Derivate. Dank dezentraler Speicherung der Daten und Partitionierung der Netzwerke gilt die Blockchain-Technologie, die auch BitMEX anwendet, als äußerst sicher. Eher überrascht, dass sich das Unternehmen darüber hinaus um lückenlose Informationssicherheit bemüht und erst vor Kurzem die Zertifizierung nach ISO/ IEC 27001 erhalten hat – womit den Kunden und Partnern belegt wird, dass die Sicherheitsrisiken stets im Blick sind. Dass ein Unternehmen, dessen Cyber Security bereits wasserdicht ist, zusätzlich eine hohe Informationssicherheit anstrebt, macht deutlich, wie wichtig ein Information Security Management System (ISMS) ist. Schließlich bieten alle Geschäftsprozesse und -daten eine Angriffsfläche für Attacken von Unbefugten. Ein ISMS hilft, die damit verbundenen Risiken zu verringern. Es erhöht die Sicherheit zusätzlich, steigert die Transparenz in Prozessen und Geschäftsbereichen und verbessert zudem das Vertrauen, das Kunden und Geschäftspartner einem Unternehmen entgegenbringen.
Des Unternehmens Kern finden
Trotz aller Vorteile scheuen vor allem kleinere Unternehmen davor zurück, sich mit der Einführung eines ISMS zu beschäftigen. Die Einhaltung von Datenschutzbestimmungen oder auch der Einstieg in die Cloud und begleitende Digitalisierungsprojekte erscheinen dringender und nehmen die Ressourcen der IT-Abteilungen bereits voll in Anspruch. Hinzu kommt, dass sich der Aufwand für den Aufbau eines ISMS schwer pauschal abschätzen lässt. Das hängt auch damit zusammen, dass in Unternehmen oft Unklarheit über die Cyberrisiken und ihre wirklichen Kronjuwelen herrscht, die priorisiert abgesichert werden sollten. Sie sind zwar gut darin, ihre Geschäftsrisiken zu bestimmen, haben jedoch in Bezug auf Cyber-Security-Risiken einen blinden Fleck. Sie wissen zwar, was ihr neues Produkt einzigartig macht, sind sich jedoch selten bewusst, welche diesem Produkt zugrundeliegenden Daten am engsten mit ihrem Kerngeschäft verknüpft sind. So sind es vielleicht nicht die Baupläne der Produktionsstraße, auf die es Hacker abgesehen haben, sondern die Rezept- oder Steuerungsdaten der Produktion. Greifen Kriminelle auf diese Kerninformationen zu, können Unternehmen schwerwiegende wirtschaftliche Verluste erleiden – oder ihre Handlungsfähigkeit wird empfindlich gestört. Hier liefert ein ISMS ein strukturiertes Vorgehen, mit dem sich Cyberrisiken ermitteln und bewerten lassen, um auf dieser Basis die passenden Sicherheitsmechanismen zu implementieren. Wie umfangreich ein ISMS sein sollte, hängt letztlich davon ab, wie vielfältig die bestehenden Risiken sind und wie viele Risiken ein Unternehmen bereit ist zu akzeptieren.
Akzeptanz für das Projekt einholen
Ein ISMS sichert den Schutz aller Informationswerte im Unternehmen und ist damit ein Projekt, das alle Unternehmensbereiche und -prozesse umfasst. Das ist wichtig zu bedenken, wenn man ein ISMS plant, denn Unternehmen tendieren dazu, parzelliert zu arbeiten. In den einzelnen Abteilungen vom Marketing über die Produktion bis hin zum Vertrieb herrschen in der Regel sehr unterschiedliche Auffassungen darüber, welche Werte abgesichert werden müssen. Für eine umfassende Betrachtung ist ein Perspektivenwechsel dringend notwendig. Es braucht einen Top-Down-Ansatz, für den der Impuls zwingend von der Unternehmensführung ausgehen muss. Diese muss sich auf das Projekt committen und es gemeinsam mit den Verantwortlichen aus allen relevanten Bereichen vorantreiben. So entsteht ein Konzept, das unternehmensweit ausgerollt und akzeptiert wird. Dabei hilft es, von Beginn an einen externen IT-Dienstleister mit ins Boot zu holen, der die nötige Projekterfahrung und das technische Know-how für ein solches Projekt mitbringt. Dieser kann als neutrale Instanz Bedrohungsszenarien und die Einführung von Sicherungsmaßnahmen unbelastet von Investitions- und innerbetrieblichen Aspekten betrachten und zwischen verschiedenen Interessenslagen vermitteln. Ebenso kann er interne Prozesse und Anforderungen unabhängig evaluieren. In der gemeinsamen Diskussion lässt sich analysieren, wo die größten Risiken liegen, bevor eine umfassende Betrachtung weiterer bestehender Risiken folgt. Dabei werden die Fragen beantwortet, wo das Hauptrisiko liegt und welche Risiken um jeden Preis gesenkt werden müssen, bzw. toleriert werden können. In dieser Einführungsphase werden die Risiken nicht nur identifiziert (etwa anhand einer Risikomatrix), sie werden dokumentiert und nach ihrer Eintrittswahrscheinlichkeit und potentiellen Schadenshöhe klassifiziert. Damit steht ein strukturiertes Vorgehen zur Verfügung, das sich dem Umgang mit allen Arten von Risiken zugrunde legen lässt und hilft, diese auf ein akzeptables Maß zu reduzieren.
Nicht nur sicher, sondern auch produktiver und aufgeräumter
Auch wenn die Bedrohungen durch Cyberkriminalität und Hackerattacken allgegenwärtig sind – das Risiko, das mit einer Bedrohung einhergeht, hängt letztlich davon ab, wie wahrscheinlich es ist, dass der Ernstfall eintritt. Mit Hilfe eines ISMS lässt sich diese Eintrittswahrscheinlichkeit abschätzen. Es leistet jedoch viel mehr als nur Risiken zu reduzieren. Da innerhalb des ISMS Geschäftsprozesse permanent in Bezug auf Cyber-Risiken und Schwachstellen analysiert und bewertet werden, liegt der Fokus nun auf den kritischen Prozessen. Veraltete und unsichere Prozesse werden sichtbar, was nicht nur mehr Sicherheit, sondern auch Raum für mehr Produktivität schafft und Geschäftsprozesse verbessert. Die Belegschaft wird auf Risiken sensibilisiert und weiß, was im Ernstfall zu tun ist. So lassen sich Sicherheitsmaßnahmen in kurzer Zeit implementieren und Bedrohungen überall im Unternehmen erfolgreich bekämpfen – bei Daten, in Prozessen und Strukturen. Die dazu nötigen Regeln und Abläufe fasst ein ganzheitliches Information Security Management System individuell passend für die Unternehmens-Workflows zusammen. Damit wird es ein Teil des großen Ganzen. Damit dies gelingt, stehen Experten für Sicherheitsthemen bereit, um Unternehmen bei der Umsetzung von ISMS-Projekten zu unterstützen. Sie können dank ihrer breit angelegten Erfahrung und als unbeteiligter Dritter dem Projektteam in allen Phasen der Umsetzung zur Seite stehen. Auch danach übernehmen sie weitere Aufgaben, etwa die Schulung der Mitarbeiter oder das komplette Outsourcing des ISMS. Unternehmen, die sich wie in dem oben genannten Beispiel für eine Zertifizierung nach ISO entscheiden, erwerben dadurch ein zusätzliches Qualitätsmerkmal. Sie zeigen ihre Kompetenz bezüglich der Informationssicherheit – und können der Bedrohungslandschaft der Zukunft ruhig ins Auge sehen.
Über den Autor: Der studierte Elektrotechnik-Ingenieur Ulf-Gerrit Weber begann seine Karriere als Netzwerk-Entwickler bei der Eltec Elektronik, einem Hersteller für Industrierechner und Industrial Imaging-Lösungen, bevor er in den Vertrieb des Unternehmens wechselte. Bei dem Systemintegrator Controlware Communicationssystems arbeitete der Security-Experte anschließend überwiegend als Vertriebsbeauftragter für IT-Security-Lösungen. Seit 2004 ist er Senior Security Consultant bei Axians IT Security, wo er die Konzeption und Implementierung technischer und organisatorischer Security-Projekte verantwortet. Durch den kontinuierlichen Kundenkontakt kennt er aktuelle Security-Bedrohungen aus erster Hand und verfügt über umfangreiches Praxiswissen.
(ID:47826966)