Etablierung eines ISMS Strukturierte Prozesse sind das A und O hoher IT-Sicherheit

Von Andreas Kirsch

Anbieter zum Thema

Cyber-Risiken nehmen unverändert zu und Unternehmen sind gezwungen, ihre IT-Sicherheit zu erhöhen. Elementare Maßnahmen sind dabei die Etablierung strukturierter Security-Prozesse und die Einführung eines Informationssicherheitsmanagementsystems (ISMS).

Bei der Etablierung von Security-Prozessen ist eine strukturierte Vorgehensweise erforderlich, punktuelle Aktivitäten führen kaum zum Erfolg oder zu mehr Sicherheit.
Bei der Etablierung von Security-Prozessen ist eine strukturierte Vorgehensweise erforderlich, punktuelle Aktivitäten führen kaum zum Erfolg oder zu mehr Sicherheit.
(Bild: gemeinfrei / Pixabay)

Viele Unternehmen, vor allem im Mittelstand, investieren unzureichend in die IT-Sicherheit, meist aus Kostengründen. Dieses Vorgehen kann für lange Zeit gut gehen, muss es aber nicht: Es birgt ein hohes Gefahrenpotenzial und kann erhebliche Schäden nach sich ziehen. Insbesondere die gesetzlichen Vorgaben (u.a. IT-Sicherheitsgesetz 2.0 oder DSGVO) setzen den Mittelstand und die Betreiber von Kritischen Infrastrukturen hierbei gehörig unter Druck. Die möglichen Konsequenzen eines fahrlässigen Umgangs mit der Informationssicherheit reichen vom einfachen Datenklau über Industriespionage und Denial-of-Services bis hin zur Erpressung – Stichwort Ransomware. Auch sollten Unternehmen die im Zuge von DSGVO-Verletzungen in immer höherem Ausmaß verhängten Bußgelder nicht außer Acht lassen: noch dieses Jahr soll es zu einer deutlichen Anpassung der Bußgelder im Zusammenhang mit dem IT-Sicherheitsgesetz 2.0 kommen.

Angesichts der hohen Cyber-Risiken und drohender Sanktionen kann kaum ein Unternehmen und erst recht keine staatliche Behörde auf eine umfassende IT-Sicherheitsstrategie mehr verzichten. Diese Erkenntnis setzt sich glücklicherweise immer stärker durch, das heißt, es wird mehr als in der Vergangenheit in IT- und Informationssicherheit, investiert, um das eigene Geschäft und die eigenen Unternehmenswerte nicht zu gefährden.

Die Aufgabe ist klar: Wollen Unternehmen auch zukünftig in der digitalen Welt erfolgreich sein, müssen sie eine effiziente, Ende-zu-Ende Informationssicherheitsstrategie verfolgen und dauerhaft ein Informationssicherheitsmanagementsystem (ISMS) etablieren. Ziel einer solchen Strategie muss sein, unter Berücksichtigung des jeweiligen Risikos geeignete Sicherheitsmaßnahmen zu ergreifen und die eigenen Verfahren und Techniken kontinuierlich zu evaluieren. Sinnvoll angewendete Cyber-Security erfordert eine gesamtorganisatorische und strukturierte Herangehensweise, die auch Veränderungen in der Geschäftsstruktur berücksichtigen kann. Und auch umgekehrt müssen Veränderungen in der Geschäftsstruktur eine gesamtorganisatorische und strukturierte Herangehensweise an die IT-Sicherheit beinhalten beziehungsweise nach sich ziehen.

Die Erfahrung zeigt, dass die Einführung eines ISMS nur erfolgreich ist, wenn sich von Anfang an die Leitungsebene eines Unternehmens wirksam dafür einsetzt: Ohne ein nachhaltiges Management-Buy-In entsteht auch keine nachhaltige Informationssicherheit. Die Beteiligung von Vorstands- beziehungsweise Geschäftsleitungsebene ist allein schon deshalb wichtig, weil für die Umsetzung von Informationssicherheit Investitionen getätigt werden müssen. Außerdem muss das Management natürlich hinter allen etwaigen Veränderungen stehen und die Mitarbeiter von der Notwendigkeit überzeugen. Schließlich kann die Umsetzung von Sicherheitsmaßnahmen auch mühsam sein, Arbeitsabläufe erschweren oder sogar demotivierend wirken. In der Praxis hat sich hierbei als äußerst hilfreich ein sogenannter Basis-Sicherheits-Check (Quick-Check) erwiesen. Anhand dessen kann branchenübergreifend jedes Unternehmen in kurzer Zeit einen guten und für die Praxis brauchbaren Überblick über den eigenen Stand zur Informationssicherheit erlangen.

Handlungsempfehlung von CGI

Nach den Best-Practice Erfahrungswerten von CGI hat sich folgende Vorgehensweise bei der Etablierung eines Informations­sicherheits­management­systems bewährt:

  • Basis-Sicherheits-Check (ISMS-Quick-Check)
  • Durchführung einer Struktur- und Schutzbedarfsanalyse
  • Erstellung einer umfangreichen und detaillierten Risikobewertung
  • Festlegung eines Maßnahmenkatalogs
  • Sicherung kritischer Assets durch geeignete Maßnahmen
  • Ergreifen von Low-Hanging-Fruits-Maßnahmen, um mit wenig Aufwand schnell Erfolg zu erzielen
  • Sicherung der unkritischen Assets in einem weiteren Schritt

Dabei darf ein Punkt nicht außer Acht gelassen werden: Security ist ein Prozess, das heißt, auch eine kontinuierliche Überprüfung der getroffenen Maßnahmen gemäß PDCA-Zyklus ist unverzichtbar. Sie sollte zumindest einmal jährlich erfolgen.

Normen und Standards geben den Weg vor

Das Positive bei der Informationssicherheit ist: Kein Unternehmen muss auf der grünen Wiese beginnen. Es stehen etablierte Normen zur Verfügung, die auch genutzt werden sollten. ISO27001 und der BSI-IT-Grundschutz in seiner modernisierten Form etwa sind hinreichend flexibel, um die Anforderungen unterschiedlichster Unternehmen abzudecken, beispielsweise im Hinblick auf die Unternehmensgröße, die Komplexität der Infrastruktur oder den Schutzbedarf. Speziell für kleinere und mittlere Unternehmen bietet sich vor allem der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ des BSI an. Er enthält reduzierte Anforderungen und unterstützt bei der schnellen Einführung eines ISMS. Neben solchen Standards müssen selbstverständlich auch interne Compliance-Vorgaben beachtet werden.

Risikobewertung ist der Ausgangspunkt

Eine umfassende Risikobewertung – laut BSI eine Struktur- und Schutzbedarfsanalyse oder im Rahmen eines Business-Continuity-Managements eine Business-Impact-Analyse – steht immer am Anfang der Festlegung einer Sicherheitsstrategie und der Implementierung eines ISMS. Es ist nicht sinnvoll, Sicherheitsmaßnahmen zu ergreifen, wenn die Risiken nicht analysiert und bewertet wurden. Das Ergebnis einer Risikoanalyse kann zum Beispiel auch sein, dass bestimmte Sicherheitsmaßnahmen nicht ergriffen werden, weil der Aufwand in keinem Verhältnis zum möglichen Schaden steht – auch hier gilt die Redewendung „Nicht mit Kanonen auf Spatzen schießen“. Andererseits müssen IT-Systeme, die maßgeblich für die Wertschöpfung des Unternehmens sind, unbedingt maximal geschützt werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Eine unverzichtbare Basis für eine effiziente Sicherheitsstrategie ist somit eine ganzheitliche Risikobetrachtung. Zu den Mindestanforderungen gehört die Klärung folgender Fragen

  • Wie sieht mein Informationsverbund aus? Welche IT-Systeme sind überhaupt vorhanden? Welche Geschäftsbereiche nutzen welche Systeme?
  • Wie gefährdet sind die Systeme wirklich? Sind die IT-Systeme nur Ziele von Skriptkiddies oder auch von Kriminellen oder sogar fremden Diensten?
  • An welcher Stelle verlassen Daten das Unternehmen? Wie sehen die Schnittstellen aus?
  • Was passiert mit dem Geschäft, wenn bestimmte IT-Systeme ausfallen?
  • Wie wahrscheinlich ist ein Ausfall – sei es durch einen Angriff oder einen technischen Defekt?
  • Was kostet eine vollständige oder teilweise Wiederinbetriebnahme nach Ausfall?
  • Welche sonstige Kosten zieht ein Ausfall nach sich, etwa im Hinblick auf fällige Bußgelder?
  • Was kostet die umfassende Sicherung aller relevanten Systeme?

Lösungsauswahl und Mitarbeiterqualifikation

Basierend auf der spezifizierten Strategie müssen die erforderlichen Sicherheitslösungen und -tools eingeführt werden. Dabei ist es erforderlich, die in Frage kommenden Lösungen zu evaluieren, Kosten-Nutzen-Betrachtungen anzustellen und Fragen der Installation, des Betriebs und der Wartung zu klären. Unter Umständen kann bei diesem Prozess die Nutzung von Consulting-Services externer Dienstleister sinnvoll sein. Auch ein komplettes Outsourcing des Themas IT-Sicherheit kann für viele Unternehmen aufgrund von Ressourcenengpässen ein empfehlenswerter Weg sein.

Von elementarer Bedeutung ist, dass der vorhandene Mitarbeiterstamm die Sicherheitsstrategie umsetzen kann, es müssen also die erforderlichen Qualifikationen im Unternehmen verfügbar sein. Außerdem muss ein Unternehmen die Verantwortlichkeiten für die Durchsetzung und Kontrolle von organisatorischen Maßnahmen festlegen und Aktivitäten zur Motivation und Sensibilisierung der Mitarbeiter ergreifen. Es ist im Rahmen eines ISMS ein absolutes Muss, ein Schulungs- und Sensibilisierungskonzept zu erstellen und nachzuweisen. Auch hinsichtlich des im Unternehmen verfügbaren Sicherheits-Know-hows stellt sich die Frage nach einem Outsourcing. Dabei sollte ein Unternehmen abwägen, ob es kostengünstiger ist, das eigene Personal zu qualifizieren oder externe Experten zu involvieren.

Insgesamt ist bei der Etablierung von Security-Prozessen eine strukturierte Vorgehensweise erforderlich, punktuelle Aktivitäten führen hingegen kaum zum Erfolg und zu einer durchgängig höheren Sicherheit. Wichtig ist auch, dass die Sicherheitskultur im Unternehmen gelebt wird, Startpunkt ist zwar das Management, aber die anschließende Achtsamkeit der Mitarbeiter ist unerlässlich.

Bei allen Vorbehalten gegenüber den Kosten, die mit Sicherheitsmaßnahmen verbunden sind, darf ein Aspekt zudem nicht zu kurz kommen. Security ist immer auch eine Chance, sich im Markt zu behaupten. Gerade mittelständische Unternehmen, die als Zulieferer von Organisationen oder Einrichtungen mit hoher staatlicher Bedeutung fungieren – Stichwort Kritische Infrastrukturen, müssen in immer stärkerem Maße Nachweise zur Informationssicherheit erbringen. Sicherheit wird damit mehr und mehr zum Wettbewerbsfaktor.

Über den Autor: Andreas Kirsch ist Director Consulting Services und Teamlead für IT-Governance, Risk and Compliance bei CGI in Köln.

(ID:46972247)