ISMS unkompliziert Erfolgreiches ISMS in 4 Schritten

Von Nadja Müller

Anbieter zum Thema

Unternehmen müssen ihre Daten schützen und kommen dabei am Thema Informations­sicherheits­management nicht vorbei. Ein gutes Information Security Management System (ISMS) berücksichtigt immer auch den Faktor Mensch. Mit einer richtigen Strategie ist es aber möglich, ein ISMS ohne Reibungsverluste in bereits bestehende Abläufe zu integrieren und eine Kultur zu schaffen, die die Sicherheit der Informationen priorisiert.

Mitarbeiter sind ein wichtiger Bestandteil des Informations­sicherheits­management.
Mitarbeiter sind ein wichtiger Bestandteil des Informations­sicherheits­management.
(Bild: gemeinfrei / Pixabay)

Die Sicherheit der Firmen- und Geschäftsdaten hat in den vergangenen Jahren deutlich an Bedeutung gewonnen: Es dreht sich alles um Informationen, die für Unternehmen die Geschäftsbasis und USP darstellen; seien es Kunden- und Produktdaten, Daten aus Forschung und Entwicklung oder Patente. Datensicherheit geht aber nicht nur das Unternehmen etwas an, zunehmend nimmt auch der Gesetzgeber Einfluss und übt eine Kontrollfunktion aus. Mit der DSGVO werden personenbezogene Daten stärker geschützt und mit der KRITIS Verordnung reguliert der Gesetzgeber den Umgang mit IT-Sicherheit. Die gesamte Gesellschaft fordert einen sensiblen Umgang mit dem Thema Datensicherheit.

Mehrere Faktoren beeinflussen Schutzbedarfsfeststellung

Schützenswerte Informationen im Unternehmen hängen von mehreren Faktoren ab, die alle die Schutzbedarfsfeststellung beeinflussen. Zum einen gibt es regulatorische Rahmenbedingungen wie Gesetze und Verordnungen, auch der Zeitpunkt der Betrachtung spielt eine wichtige Rolle sowie die Perspektive des Beurteilenden. Mit der DSGVO dagegen wurde die Definition personenbezogener Daten ausgeweitet und ihr Schutz erhöht: Daten, die ursprünglich keinen hohen Schutz genossen, haben nun einen anderen Stellenwert bekommen.

Da Unternehmen besonders in ihren Kernprozessen zunehmend abhängig von der IT in der Verarbeitung der Informationen werden, ist zum Beispiel das Wissen um Schwachstellen der IT-Infrastruktur zunächst hochbrisant. Mit der Kenntnis um das Problem wird der Hersteller die Sicherheitslücken jedoch schließen. Früh im Prozess ist die Kenntnis der Schwachstelle noch kritisch für die Sicherheit und erfordert ggfs. kurzfristig umzusetzende Maßnahmen, aber im weiteren zeitlichen Verlauf verliert sie an Bedeutung, sofern die vom Hersteller bereitgestellten Patches „eingespielt“ wurden.

Drei Grundwerte sind zentral bei der Evaluierung des Schutzbedarfs: Verfügbarkeit, Vertraulichkeit und Integrität von Informationen. Sie gewährleisten, dass Daten immer zur Verfügung stehen, wenn sie benötigt werden, dass nur Berechtigte Zugriff haben und dass sie nur von Berechtigten verändert werden können.

Nicht nur die Technologie löst das Sicherheitsproblem

Dass ein Informationssicherheitsmanagementsystem perfekt funktioniert, hängt nicht nur von der verwendeten Technik ab. Nicht nur die IT-Sicherheit und die digital gespeicherte und verarbeitete Information stehen im Vordergrund. Auch physische Informationen, etwa schriftliche Dokumente wie Verträge oder die Inhalte von Kundengesprächen oder E-Mails, können schützenswert sein. Oft wissen Mitarbeiter zwar um das Risiko, dass ein Dateianhang in einer Email bergen kann, dennoch werden auf der Dienstreise im Flugzeug vertrauliche Dokumente gelesen, sensible Informationen auf dem Notebook angezeigt oder in der Lounge laut telefoniert. Dieser Umgang mit vertraulichen Informationen stellt ein noch größeres Sicherheitsrisiko dar als die klassischen Gefährdungen wie Schadsoftware in IT-Strukturen oder nicht zerstörte Dokumente aus der Personalabteilung.

Mitarbeitern Alternativen aufzeigen

Auf der Tagesordnung für die Einführung eines ISMS sollte also zuerst die Sensibilisierung der Mitarbeiter stehen, denn oft wissen diese zwar, dass ihr Umgang mit Informationen nicht korrekt ist, sehen aber keine andere Alternative. Im Mittelpunkt sollte daher das Aufzeigen von Verhaltensalternativen stehen, um eine Kultur und ein Bewusstsein dafür zu schaffen. Mitarbeiter müssen die Regeln und ihre Gründe verstehen, denn nur wenn sie motiviert sind, werden sie den Prozess auch unterstützen und sich aktiv daran beteiligen. . Die Mitarbeiter im Unternehmen tragen die Informationssicherheit deswegen entscheidend, ISB, CSO oder Management haben es in der Hand, diese förderliche Kultur entstehen zu lassen.

Erfolgreiches ISMS in 4 Schritten

Eine detaillierte Planung ist Voraussetzung dafür, dass das Informationssicherheitsmanagementsystem funktioniert. Bewährt hat sich die sogenannte Plan – do – check – act -Methode in vier Schritten.

  • 1. Ziele definieren: Welche Sicherheitsniveaus sollen erreicht werden? Die Definition ist sehr komplex, da das Niveau vom Unternehmensbereich und betroffenen Informationen abhängig ist. Der Schutzstatus der Informationen muss zuerst erfasst und bewertet werden.
  • 2. Risikoanalyse und -assessment. Umfasst das Durchspielen von Szenarien, die das Erreichen des angestrebten Sicherheitsniveaus verhindern könnten.
  • 3. Maßnahmenplanung: Mit welchen Maßnahmen können mit den zur Verfügung stehenden Ressourcen diese Risiken vermieden werden?
  • 4. Messung: Es wird überprüft, ob die Sicherheitsziele noch relevant sind oder angepasst werden müssen, im gleichen Zug werden Ergebnisse und Wirksamkeit der Maßnahmen validiert.

Alle diese vier Schritte fallen auf die Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität zurück. Ein Informationssicherheitsmanagementsystem ist immer ein Kreislauf, keine einmalige Kraftanstrengung. Der Prozess endet nicht – und in der Folge der stetigen Optimierung des Systems steigt auch das Sicherheitsniveau im Unternehmen.

Für viele Unternehmen stellt sich ein ISMS als eine unerreichbare und komplizierte Herkulesaufgabe dar. Mit der Schritt für Schritt Methode wird dieser Prozess um einiges leichter. Außerdem gilt, nicht gleich das ganze Unternehmen „umkrempeln“ zu wollen, sondern das ISMS langsam zu implementieren, ausgehend von einem Teilbereich, einer Abteilung oder einem Prozess. Mit diesem iterativen Ansatz statt einer globalen Lösung wird der Reifegrad natürlich weiterentwickelt und das System nicht künstlich „aufgebläht“.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Welche Informationen dürfen nicht verändert werden?

Die Herausforderung bei der Implementierung liegt oft darin, die richtigen Fragen zu stellen. Um das neutral betrachten zu können, kann eine externe Unterstützung helfen. Gefragt werden sollte: Welche Informationen sind unerlässlich, um das Geschäft am Laufen zu halten? Welche Information darf auf keinen Fall verändert werden? Und welche Information darf kein Unberechtigter zu Gesicht bekommen? Mit diesen Antworten kann aus der Vielzahl der möglichen Informationen eine erste Einschränkung vorgenommen werden. Wichtig ist es, die richtigen Fragen zu stellen, da die unterschiedlichen Perspektiven zu unterschiedlichen Antworten führen können. Begonnen wird bei der Unternehmensleitung, dann geht es Schritt für Schritt auf die tieferen Unternehmensebenen. Sind die schützenswerten Informationen erst einmal identifiziert, ist durch diese Art des Vorgehens auch das Warum geklärt.

ISMS in bestehende Abläufe integrieren

Unternehmen verfügen bereits über Systeme, Richtlinien und Prozesse, die externe gut kennen müssen, um zu wissen, wie das ISMS auf natürliche Weise in die bestehenden Strukturen eingebettet werden kann. Die Lösungen werden so zusätzlich in ein Managementsystem integriert und verpuffen nicht als einmalige Maßnahme. Nur so gelingt es, die Mitarbeiter zu motivieren, eine aktive Rolle zu übernehmen. Wer sofort alles ändern möchte, überfordert seine Belegschaft und demotiviert sie.

Randolf Heiko Skerka, zuständig für das IS-Management bei der SRC Security Research & Consulting GmbH, ermahnt zur Gelassenheit und Angemessenheit. Risiken und Maßnahmen müssen in einer adäquaten Relation stehen, damit die Prävention am Ende nicht teurer wird als die Auswirkungen eines Schadensfalls.

Fazit

Die Implementierung eines erfolgreichen Informationssicherheitsmanagementsystems hängt von Ausgangslage, Rahmenbedingungen und Zielvorstellungen des Unternehmens ab. Es gibt kein Standardrezept. Dem Thema sollte sich Schritt für Schritt angenähert werden. Wichtig dafür ist ein Partner, der dabei hilft, die richtigen Fragen zu stellen. Ein weiterer wichtiger Faktor: Die Belegschaft muss mit ins Boot geholt werden, um eine Kultur zu schaffen, die die Informationssicherheit in allen Tätigkeitsbereichen fördert.

(ID:46371316)