Informationssicherheit
Wichtige Firmendaten mit System schützen
von
Jürgen
Mauerer - 09.05.2019
Foto: LeoWolfert / shutterstock.com
Unternehmen erzielen durch den Betrieb eines ISMS eine höhere Informationssicherheit. Hacker werden immer kreativer und das Angriffsspektrum wird vielfältiger. Dagegen gilt es sich zu schützen.
Die Zahlen sind alarmierend: Sieben von zehn Industrieunternehmen wurden in den vergangenen zwei Jahren Opfer von Cyberangriffen. Das Angriffsspektrum war dabei breit gefächert. Es reicht von digitaler Kleinkriminalität bis zu Hackern im Staatsauftrag. Das zeigt die „Wirtschaftsschutzstudie 2018“ des Digitalverbands Bitkom. Demnach ist den deutschen Firmen in den vergangenen zwei Jahren durch
Sabotage, Datendiebstahl oder Spionage ein Schaden von 43,4 Milliarden Euro entstanden. Kein Wunder, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) entdeckt nach eigenen Angaben täglich rund 390.000 neue Malware-Varianten. Unternehmen benötigen daher eine umfassende Security-Strategie und sollten stetig in Sicherheitslösungen investieren.
Sabotage, Datendiebstahl oder Spionage ein Schaden von 43,4 Milliarden Euro entstanden. Kein Wunder, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) entdeckt nach eigenen Angaben täglich rund 390.000 neue Malware-Varianten. Unternehmen benötigen daher eine umfassende Security-Strategie und sollten stetig in Sicherheitslösungen investieren.
Ein grundlegender Aspekt von IT-Sicherheit ist Informationssicherheit. Informationen müssen zuverlässig verfügbar sein, da die meisten Geschäftsprozesse mittlerweile digitalisiert sind. Zudem sind sie vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) zu schützen.
ISMS zum Schutz von Daten
Genau das leistet ein Information Security Management System, ISMS, auf Basis der internationalen Norm ISO/IEC 27001. Ihre offizielle Bezeichnung lautet „Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“. ISO/IEC 27001 beschreibt, mit welchen Prozessen und Maßnahmen Unternehmen eine höhere Informationssicherheit erreichen. Die Norm formuliert Grundsätze zu Implementierung, Betrieb, Überwachung und Verbesserung eines ISMS.
Ein solches ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele und konkrete Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (unter anderem Security-Awareness-Training), Zugriffskontrolle (zum Beispiel Passwort-Management), Kryptografie, Incident Management oder Kommunikationssicherheit (zum Beispiel Netzwerk-Segmentierung). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.
Nachholbedarf
Für die Betreiber kritischer Infrastrukturen (KRITIS), sprich Branchen wie Energie- und Wasserversorgung oder Gesundheit, ist der Aufbau eines ISMS seit 2016 mit dem IT-Sicherheitsgesetz Pflicht. Weiterer wichtiger Treiber sind Anforderungen von Firmen, die von ihren Lieferanten eine ISO-27001-Zertifizierung verlangen. Daher setzen mittlerweile auch viele Unternehmen aus anderen Branchen auf die interne Ausbildung von ISMS-Experten.
„Bei der TÜV Nord Akademie sind die Teilnehmerzahlen bei den Seminaren zum Information Security Officer von 2017 auf 2018 um 64 Prozent gestiegen“, erklärt Melanie Braunschweig, Produktmanagerin Datenschutz und IT bei der TÜV Nord Akademie. Bedarf ist also vorhanden.
„Viele Firmen haben zwar technische Sicherheitsmaßnahmen wie eine Firewall, Antiviren-Software oder Backup-Konzepte umgesetzt, meist aber ohne durchgängige, strukturierte Prozesse“, berichtet Bettina König, Geschäftsführerin von König Consult und ISO 27001 Lead Auditor beim TÜV Süd. Sie hat mittlerweile etwa 40 ISMS in Unternehmen eingeführt und beginnt ihre Beratungsprojekte meist mit einer Analyse zum aktuellen Status des Kunden in Bezug auf Informationssicherheit oder mit den Anforderungen des IT-Sicherheitskatalogs. Häufiges Ergebnis: „Es gibt keine Dokumentation, kein Notfallkonzept, kein Risikomanagement, kein Monitoring oder keine internen Audits. Ein ISMS fordert solche Konzepte und behebt so diese Lücken“, so Bettina König.