ISMS

IT-Sicherheit braucht eine gute Organisation

IT-Sicherheit
Foto: Wright Studio / Shutterstock.com
Um Unternehmen zu sichern, gibt es diverse Konzepte von BSI-Grundschutz bis ITIL. Für die Verwaltung sind daher Managementsysteme für Informationssicherheit (ISMS) unbedingt erforderlich.
ISMS-Software: Programme wie das Open-Source-Tool Verinice helfen IT-Verantwortlichen dabei, die Gefährdungen und die IT-Sicherheitsmaßnahmen im Blick zu behalten.
Viele kluge Köpfe haben sich Gedanken gemacht, wie eine Organisation mit starkem IT-Anteil seine Abläufe und Konzepte auf IT-Sicherheit hin ausrichten kann. Gerade in kleinen bis mittelgroßen Firmen kommt es im Zusammenspiel von IT, Security und Management nicht selten zu unterschiedlichen Prioritäten. Admins, IT-Support und IT-Leiter neigen dabei häufig zu einer primär technischen Betrachtung von Sicherheitsanforderungen. Selbst bei einem erhöhten Finanz- und Ressourcen­einsatz kann das aber nur zu einer geringen Verbesserung der Sicherheit führen. Denn ein Sicherheitskonzept muss auf das Unternehmen und seine Ziele abgestimmt sein. Und das macht es erforderlich, die Unternehmensleitung als Teil der Sicherheitsstrategie zu begreifen statt sie auf die Rolle des Finanziers zu reduzieren. Vor diesem Hintergrund tun Führungskräfte gut daran, sich mit den Konzepten hinter den verschiedenen Information Security Management Systems (ISMS, Managementsysteme für Informationssicherheit) vertraut zu machen.

Was leistet ein ISMS?

Ein Managementsystem umfasst ganz allgemein eine Vielzahl von Regelungen, die für die Steuerung und Lenkung einer Organisation und das Erreichen der Unternehmensziele notwendig sind. Ein ISMS ist folglich ein System, mit dem ein Managementprozess systematisch implementiert werden kann, dessen Ziel der umfassende Schutz von Informationen gleich welcher Art ist. Das ISMS stellt sicher, dass alle erdenklichen Bestandteile der IT-Organisation in einem sicherheitsrelevanten Kontext betrachtet werden.
So ist es zum Beispiel grundsätzlich sehr sinnvoll, eine leistungsstarke, moderne Firewall der neuesten Generation im Netzwerk zu betreiben. Um jedoch das Maximum an Sicherheit aus einer solchen Anschaffung zu ziehen, ist es notwendig, das System korrekt zu konfigurieren und die Protokolle regelmäßig zu sichten.
Dafür wäre noch nicht zwingend ein ISMS notwendig, doch spielt es gerade hier seine Stärken aus. Ein ISMS beschreibt nämlich, an was der IT-Leiter noch alles denken sollte, wenn eine solche Firewall in Betrieb geht. Wurden wirklich alle Verbindungswege so gewählt, dass sie durch die neue An­lage fließen? Welche Auswirkungen hat es auf die Konfiguration, wenn im Außenstandort etwas verändert wird? Entspricht die gewählte Konfiguration den üblichen Sicherheitsanforderungen oder hat der hinzugezogene externe Berater nur seine Lieblingsvariante eingestellt? Wie sollte die Qualifikation der Mitarbeiter entwickelt werden oder welches Rollenkonzept sollte der verantwortliche Bereichsleiter wählen?
Cyber Ark
Quelle: Cyber Ark „Global Advanced Threat Landscape Report 2018“ (n = 1300)
Viele ISMS-Modelle beginnen mit einer Betrachtung des Inventars und der Gegebenheiten. Ergebnis dieses Assessments ist eine zusammenfassende Beurteilung aller Bestandteile unter Sicherheitsgesichtspunkten. Hier fließen beispielsweise System- und Datensicherheitsabläufe, Server- und Netzwerkinfrastruktur, administrative Richtlinien oder das Client- und Mobile-Device-Management zusammen. Im nächsten Schritt findet zum Beispiel ein Abgleich mit den Gefährdungskatalogen im IT-Grundschutz des BSI statt, gefolgt von der Auswahl der zu ergreifenden Maßnahmen. Auf dieser Grundlage werden die Sicherheitsvorkehrungen getroffen und dokumentiert.
ISMS helfen Verantwortlichen somit, eine am Unternehmen ausgerichtete, in den Prozessen verwurzelte, technisch zeitgemäße IT-Sicherheitskonzeption auf den Weg zu bringen. Angesichts der Fülle von Parametern und deren Wechselwirkungen ist die Unterstützung durch ein ISMS zwingend erforderlich.
Im Folgenden skizziert com! professional zunächst zwei Arten von Standards, die Unternehmen für ein ISMS heranziehen können: zum einen dediziert als ISMS ausgelegte Sicherheitsstandards, zum anderen klassische IT-Standards mit starkem Sicherheitsbezug. Anschließend geben wir Tipps für die erfolgreiche Umsetzung eines ISMS.
Verwandte Themen