IT-Sicherheit mit System
Scope festlegen
von Jürgen Mauerer - 28.10.2021
Zentral für den Erfolg des ISMS ist die Unterstützung der Geschäftsführung. „Informationssicherheit ist Chefsache. Das oberste Management legt nicht nur die Leitlinie für Informationssicherheit fest oder gibt das ISMS letztendlich frei, sondern stellt vor allem die notwendigen Ressourcen und finanziellen Mittel bereit“, erläutert Jürgen Bayer von Lösch und Partner. Am Anfang des ISMS-Projekts steht meist eine Gap-Analyse, ein Soll-Ist-Abgleich mit den Forderungen der ISO 27001. Was ist schon vorhanden? Was fehlt noch? Anschließend oder parallel dazu erfolgt die Kontextanalyse zu Geschäftsmodell und Umfeld des Unternehmens, den gesetzlichen Anforderungen, Interessen der Kunden, Risiken und so weiter. Daraus ergibt sich der Anwendungsbereich des ISMS, sein Scope.
„Der Anwendungsbereich des ISMS kann ein Standort, eine Abteilung oder das komplette Unternehmen sein, die IT-gesteuerte Leitstelle bei Stromversorgern oder eine Software wie das ERP-System. Letzteres birgt hohe Risiken, da dort sensible Finanz- und Kundendaten gespeichert sind“, sagt Optimabit-Geschäftsführer Adrian Lambeck.
Risikobewertung, Maßnahmen und Audit
Ein wichtiger Schritt hin zum ISMS ist die Inventarisierung der Assets, also der Werte im Unternehmen wie Informationen, Anlagen, Hardware, Software, Mitarbeiter oder Reputation. Danach folgen die Analyse und Bewertung der Risiken für die Werte und den Geschäftsbetrieb – nach Eintrittswahrscheinlichkeit und Schadenshöhe (meist Stufe 1–4) sowie Kriterien wie „Akzeptabel“ oder „Katastrophal“.
„Im folgenden Risikobehandlungsplan legen die ISMS-Verantwortlichen fest, wie ihr Unternehmen mit diesen Risiken umgeht und mit welchen Maßnahmen es seine Assets vor Missbrauch schützt. Orientierung bieten hier die 114 Maßnahmen in Anhang A der ISO 27001“, erläutert Adrian Lambeck den nächsten Schritt. Ergebnis ist die Erklärung zur Anwendbarkeit der Maßnahmen, das Statement of Applicability (SoA). „Das SoA beschreibt, welche Maßnahmen die Firma warum umgesetzt oder ausgeschlossen hat, um die Risiken zu minimieren. Hier sind nicht alle Maßnahmen sofort umzusetzen, sondern nur diejenigen, die die größten Risiken abmildern“, so Lambeck weiter.
Anschließend folgen das interne Audit, um zu prüfen, ob das ISMS die Vorgaben der ISO 27001 erfüllt, die Bewertung und Freigabe des ISMS durch die Geschäftsführung und am Ende die ISO-27001-Zertifizierung. Diese gilt für drei Jahre. Hier erfolgt bis zum nächsten Zertifizierungs-Audit jedes Jahr ein externes Überprüfungs-Audit, dem erneut ein internes Audit vorausgeht. Diese internen und externen Audits stehen für den PDCA-Zyklus (Plan – Do – Check – Act) und die kontinuierliche Verbesserung.
„Ein ISMS, das nicht weiterentwickelt wird, schafft sich selbst ab. Informationssicherheit ist ein langfristiger Prozess. Es ist wichtig, die Mitarbeiter auf diese Reise mitzunehmen und ihnen den Sinn der Maßnahmen zu erläutern“, betont Jürgen Bayer. „Sie müssen das ISMS akzeptieren und in ihrem Berufsalltag leben, selbst wenn sie im Vergleich zu vorher mehr Sicherheitsregeln einhalten müssen. Nur dann reduziert ein ISMS die Risiken und schafft den Rahmen für eine höhere Informationssicherheit in Unternehmen.“
Tobias Damasko
Prokurist und Leiter IT-Sicherheit & Consulting bei aigner business solutions
Prokurist und Leiter IT-Sicherheit & Consulting bei aigner business solutions
Foto: aigner business solutions
„Informationssicherheit ist kein Sprint, sondern ein Dauerlauf“
Tobias Damasko ist Prokurist und Leiter IT-Sicherheit & Consulting bei aigner business solutions. Im Interview mit com! professional erklärt er, warum sich der Aufbau eines Information Security Management Systems lohnt und worauf Firmen dabei achten sollten.
com! professional: Herr Damasko, die Zahl der Angriffe auf Unternehmen nimmt zu. Um kritische Informationen besser zu schützen, bietet sich der Aufbau eines Information Security Management Systems (ISMS) an. Brauchen auch kleine oder mittlere Unternehmen ein ISMS?
Tobias Damasko: Jedes Unternehmen sollte sich mit dem Thema Informationssicherheit beschäftigen, unabhängig von seiner Größe. Ein ISMS sichert den Fortbestand des Unternehmens und schafft eine Kultur des Vertrauens, weil es das Risikomanagement als zentrales Element etabliert. Was bedroht mein Unternehmen? Firmen sollten sich diese Frage stellen und Pläne entwickeln, wie sie mit potenziellen Bedrohungen umgehen.
Häufig kommt der Druck inzwischen durch regulatorische Vorgaben von außen. Betreiber kritischer Infrastrukturen (KRITIS) etwa in der Energieversorgung sind durch das IT-Sicherheitsgesetz verpflichtet, ein ISMS aufzubauen. Ein weiterer wichtiger Treiber sind Vorgaben von Firmen, die eine Auftragsvergabe an eine ISO-27001-Zertifizierung knüpfen.
com! professional: Lohnt sich der Aufbau eines ISMS auch ohne Zertifizierung? Schließlich ist ein Zertifikat mit nicht geringen Kosten verbunden.
Damasko: IT-Security und Informationssicherheit müssen durchgängig im Unternehmen verankert sein. Ziel des ISMS ist es, das schwächste Glied in der Sicherheitskette zu erkennen, alle Prozesse auf ein möglichst einheitliches Niveau zu bringen sowie eine Sicherheitskultur im Unternehmen zu verankern. Je höher der Reifegrad der IT- und Informationssicherheit, desto geringer ist das Risiko, erfolgreich angegriffen zu werden.
Ein ISMS liefert grundsätzlich einen großen Mehrwert, da es die sicherheitsbezogenen Prozesse optimiert. Es bietet zwar keine 100-prozentige Sicherheit, reduziert aber die Risiken und bildet mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Die Zertifizierung durch eine externe Stelle ist grundsätzlich sinnvoll, da sie belegt, dass in einem Unternehmen IT-Security und Informationssicherheit gelebt werden und diese durch jährliche Re-Audits durch externe Prüfer nachgewiesen werden.
com! professional: Wie lange dauert der Aufbau eines ISMS auf Basis der ISO 27001?
Damasko: Der Aufbau eines ISMS dauert im Regelfall zwischen sechs Monaten und eineinhalb Jahren, abhängig von der Größe des Unternehmens, dem festgelegten Anwendungsbereich (Scope) des ISMS, den verfügbaren Ressourcen und der Zeit, die sich die Verantwortlichen abseits des Tagesgeschäfts für das Projekt nehmen können.
com! professional: Welche Herausforderungen und Fallstricke gibt es bei der Umsetzung und beim Betrieb eines ISMS?
Damasko: Ein ISMS ist kein einmaliges IT-Projekt, das nach der Zertifizierung vorbei ist. Oder anders ausgedrückt: Informationssicherheit ist kein Sprint, sondern ein Dauerlauf. Ein ISMS muss im Unternehmen gelebt und kontinuierlich verbessert werden. Der Erfolg steht und fällt mit der Geschäftsführung. Sie muss die Sicherheitsvorgaben für das Unternehmen definieren und auch von den Mitarbeitern einfordern. Ein spezieller Informationssicherheitsbeauftragter wacht über die Einhaltung des ISMS und sorgt für die Verbesserung. Seine Aufgabe ist es, IT-Sicherheit „sexy“ zu machen und passende Maßnahmen zu finden, um das ISMS zu leben.
com! professional: Gibt es für kleine Mittelständler oder Kommunen Alternativen zur ISO 27001?
Damasko: Eine Vorstufe und Art kleine Schwester der ISO 27001 ist die ISIS12. Sie ist an die ISO 27001 angelehnt, stellt weniger Anforderungen und bietet zwölf klare Handlungsschritte zur Einführung, mit denen Unternehmen oder auch Behörden die Informationssicherheit einführen oder verbessern können. Die Zertifizierung ist allerdings bislang nur wenig verbreitet und eher als erster Schritt zur ISO27001 zu sehen. Kunden, die bei uns nach der ISIS12 fragten, sind am Ende meistens bei der ISO 27001 gelandet, weil diese einfach eine international und branchenübergreifend anerkannte Zertifizierung darstellt.
