Informationssicherheit

Wichtige Firmendaten mit System schützen

von - 09.05.2019
ISMS
Foto: LeoWolfert / shutterstock.com
Unternehmen erzielen durch den Betrieb eines ISMS eine höhere Informationssicherheit. Hacker werden immer kreativer und das Angriffsspektrum wird vielfältiger. Dagegen gilt es sich zu schützen.
Entstandener Schaden in Euro
(Quelle: Bitkom )
Die Zahlen sind alarmierend: Sieben von zehn Industrieunternehmen wurden in den vergangenen zwei Jahren Opfer von Cyberangriffen. Das Angriffsspektrum war dabei breit gefächert. Es reicht von digitaler Kleinkriminalität bis zu Hackern im Staatsauftrag. Das zeigt die „Wirtschaftsschutz­studie 2018“ des Digitalverbands Bitkom. Demnach ist den deutschen Firmen in den vergangenen zwei Jahren durch
Sabotage, Datendiebstahl oder Spionage ein Schaden von 43,4 Milliarden Euro entstanden. Kein Wunder, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) entdeckt nach eigenen Angaben täglich rund 390.000 neue Malware-Varianten. Unternehmen benötigen daher eine umfassende Security-Strategie und sollten stetig in Sicherheitslösungen investieren.
Ein grundlegender Aspekt von IT-Sicherheit ist Informationssicherheit. Informationen müssen zuverlässig verfügbar sein, da die meisten Geschäftsprozesse mittlerweile digitalisiert sind. Zudem sind sie vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) zu schützen.

ISMS zum Schutz von Daten

Genau das leistet ein Information Security Management System, ISMS, auf Basis der internationalen Norm ISO/IEC 27001. Ihre offizielle Bezeichnung lautet „Informationstechnik -  Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“. ISO/IEC 27001 beschreibt, mit welchen Prozessen und Maßnahmen Unternehmen eine höhere Informationssicherheit erreichen. Die Norm formuliert Grundsätze zu Implementierung, Betrieb, Überwachung und Verbesserung eines ISMS.
Ein solches ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele und konkrete Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (unter anderem Security-Awareness-Training), Zugriffskontrolle (zum Beispiel Passwort-Management), Kryptografie, Incident Management oder Kommunikationssicherheit (zum Beispiel Netzwerk-Segmentierung). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.

Nachholbedarf

Für die Betreiber kritischer Infrastrukturen (KRITIS), sprich Branchen wie Energie- und Wasserversorgung oder Gesundheit, ist der Aufbau eines ISMS seit 2016 mit dem IT-Sicherheitsgesetz Pflicht. Weiterer wichtiger Treiber sind Anforderungen von Firmen, die von ihren Lieferanten eine ISO-27001-Zertifizierung verlangen. Daher setzen mittlerweile auch viele Unternehmen aus anderen Branchen auf die interne Ausbildung von ISMS-Experten.
Melanie Braunschweig
Melanie Braunschweig
Produktmanagerin Datenschutz und IT bei der TÜV Nord Akademie
www.tuev-nord.de
Foto: TÜV Nord
„Bei der TÜV Nord ­Akademie sind die Teilnehmerzahlen bei den ­Seminaren zum Infor­mation Security Officer von 2017 auf 2018 um 64 Prozent gestiegen.“
„Bei der TÜV Nord Akademie sind die Teilnehmerzahlen bei den Seminaren zum Information Security Officer von 2017 auf 2018 um 64 Prozent gestiegen“, erklärt Melanie Braunschweig, Produktmanagerin Datenschutz und IT bei der TÜV Nord Akademie. Bedarf ist also vorhanden.
„Viele Firmen haben zwar technische Sicherheitsmaßnahmen wie eine Firewall, Antiviren-Software oder Backup-Konzepte umgesetzt, meist aber ohne durchgängige, strukturierte Prozesse“, berichtet Bettina König, Geschäftsführerin von König Consult und ISO 27001 Lead Auditor beim TÜV Süd. Sie hat mittlerweile etwa 40 ISMS in Unternehmen eingeführt und beginnt ihre Beratungsprojekte meist mit einer Analyse zum aktuellen Status des Kunden in Bezug auf Informationssicherheit oder mit den Anforderungen des IT-Sicherheits­katalogs. Häufiges Ergebnis: „Es gibt keine Dokumentation, kein Notfallkonzept, kein Risikomanagement, kein Monitoring oder keine internen Audits. Ein ISMS fordert solche Konzepte und behebt so diese Lücken“, so Bettina König.
Wichtige Aspekte beim Aufbau eines ISMS
Auf dem Weg zum ISMS sollten Organisationen folgende Punkte berücksichtigen:
  • ISMS ist Chefsache: Geschäftsführung und Top-Management müssen den Aufbau und Betrieb eines ISMS unterstützen
  • Verantwortlichkeiten und Zuständigkeiten für den Aufbau des ISMS klar definieren
  • Anwendungsbereich (Scope) des ISMS festlegen
  • Asset-Inventarisierung (Welche Werte hat das Unternehmen?)
  • Risikobewertung: Welche Themen bringen das größte Risiko für die Geschäftsprozesse? Was kann der Organisation und ­ihren Kunden am meisten Schaden bereiten?
  • Maßnahmenliste (Risikobehandlungsplan) und Statement of Applicability (Erklärung zur Anwendbarkeit): Mit welchen Maßnahmen (controls) erhöhen wir die Informationssicherheit? (controls im Anhang A der ISO 27001; ergänzende ­Maßnahmen liefert die ISO 27002)
  • Internes Audit zur Prüfung der Effektivität der Maßnahmen mit anschließender Management-Bewertung
  • Zertifizierungs-Audit (alle drei Jahre)
  • Regelmäßige Überprüfung durch interne und externe Audits (Grundsatz der kontinuierlichen Verbesserung im Rahmen des PDCA-Zyklus)
  • Grundsätzlich: Dokumentation der Richtlinien, Verfahren, ­Prozesse oder Maßnahmen
Seite
  1. Teil: Wichtige Firmendaten mit System schützen
  2. Teil: ISMS ist Chefsache
  3. Teil: Schrittweises Vorgehen
  4. Teil: Risikobehandlungsplan
  5. Teil: Im Gespräch mit Sven Kurzberg von EDAG Engineering
Verwandte Themen

Mehr zum Thema