Wichtige Firmendaten mit System schützen

ISMS ist Chefsache

von - 09.05.2019
Dokumentenpyramide
Dokumenten-Pyramide: Bei einem ISMS unterscheidet man zwischen veränderbaren Vorgabe-und unveränderbaren Nachweis-Dokumenten. 
(Quelle: Bettina König)
Zentral für den Erfolg des ISMS ist die Unterstützung durch die Geschäftsführung. Das oberste Management legt nicht nur die Leitlinie für Informationssicherheit fest oder gibt das ISMS letztendlich frei, sondern stellt auch die notwendigen Ressourcen und finanziellen Mittel für den Aufbau und den Betrieb des Information Security Management Systems bereit.
„Es ist aber nicht immer einfach, den CEO von der Notwendigkeit eines ISMS zu überzeugen“, weiß Michael Will, Abteilungsleiter Projekt- und Qualitätsmanagement der DOS Software-Systeme GmbH in Wolfsburg. „Manche Geschäftsführer setzen den Fokus bei der Risikoanalyse falsch. Für sie stellt dann der Ausfall der Mails den Super-GAU dar, während sie nicht daran denken, dass der Verlust der Konstruktionsdaten oder Kundendaten zu hohen finanziellen Schäden führen oder die Existenz bedrohen kann. Im direkten Vergleich dazu sind die Kosten für die Einführung sowie den Betrieb eines ISMS geringer. Ist den CEOs das bewusst, folgt dann schnell das Go für den Aufbau eines ISMS.“
Hierfür müssen Firmen mit einer Dauer zwischen neun Monaten und zwei Jahren rechnen - abhängig von der Größe des Unternehmens, dem Anwendungsbereich (Scope) des ISMS, den verfügbaren Ressourcen und der Zeit, die sich die Verantwortlichen abseits des Tages­geschäfts nehmen können.

Der richtige Scope

Die Definition des Anwendungsbereichs ist ein zentraler Punkt beim Aufbau eines ISMS. „Viele Firmen machen den Fehler, dass sie den Scope zu groß bemessen und alles auf einmal erledigen wollen“, erklärt Gerry Wallner, Head of Department IT Bu­siness Applications beim Chemie-Marketing-Unternehmen Helm. Er ist zertifizierter ISO-27001-Auditor und Consultant.
Gerry Wallner
Gerry Wallner
Head of Department IT Business Applications bei Helm
www.helmag.de
Foto: Helm AG
„Die Risikobewertung ­bildet den Startpunkt für das Scoping und die Baseline der Maßnahmen: Welche Maßnahmen sind unbedingt notwendig oder müssen wir unbedingt umsetzen?“
Beim Festlegen des Scopes hilft ein Blick auf die Geschäftsrisiken, da die ISO 27001 einen risikoorientierten Ansatz verfolgt. Die oberste Ebene der Risikoanalyse bildet laut Gerry Wallner die Business Continuity: Welche Themen bergen das größte Risiko für die Werte (Assets wie Informationen, Hardware, Software, Mitarbeiter, Reputation), die Geschäftsprozesse und den Betrieb? Was kann dem Unternehmen und seinen Kunden am meisten Schaden bereiten?
„Die Risikobewertung bildet dann den Startpunkt für das Scoping und die Baseline der Maßnahmen: Welche Maßnahmen sind unbedingt notwendig oder müssen wir unbedingt umsetzen? Der Anwendungsbereich des ISMS kann ein Standort sein, die Leitstelle bei Stromversorgern oder eine Software wie das ERP-System. Letzteres birgt hohe Risiken in sich, da dort die Kundendaten gespeichert sind“, so Wallner.
Wie unterschiedlich der Scope sein kann, zeigen zwei Beispiele: Während EDAG Engineering, ein Entwicklungs-Dienstleister für die Automobilindustrie, den Scope weit fasst und nichts ausgeschlossen hat, beschränkten sich die Stadtwerke Fürstenfeldbruck auf die IT-gesteuerte Leitstelle.
„Der Scope war von Anfang an klar: So wenig wie möglich, so viel wie nötig. Wir haben den Anwendungsbereich auf die IT-gesteuerte Leitstelle beschränkt und damit den vor­geschriebenen Mindestumfang gewählt. Möglicherweise weiten wir den Scope später noch auf unser geografisches Informationssystem GIS und die Kundendatenbank aus. Das ist aber dann eine Management-Entscheidung“, erklärt Michael Manhardt, Leiter Stromnetze bei den Stadtwerken Fürstenfeldbruck.
Aufbau und Inhalte der ISO/IEC 27001
Die Norm ISO/IEC 27001 ist maßgebend für den Aufbau eines ISMS. Die deutsche Fassung kann zum Beispiel unter www.beuth.de/de/norm/din-en-iso-iec-27001/269670716 für rund 100 Euro erworben werden. Die Norm ist in drei Teile gegliedert:
Einführende Kapitel 0–3: Nach einem einleitenden Kapitel (0) mit Beschreibung der Mindestanforderungen und der Kompatibilität mit anderen Normen für Managementsysteme folgen die Kapitel Anwendungsbereich, Normative Verweisungen und Definition der wichtigste Fachbegriffe (Verweis auf die ISO 27000). Dazu gehören beispielsweise Informationssicherheit, Integrität, ISMS, Vertraulichkeit, Richtlinie, Prozess, Verfahren, Risikoana­lyse, Risikobewertung oder die Unterscheidung zwischen Informationssicherheits-Ereignis und -Vorfall.
Hauptteil mit sieben Normkapiteln 4–10: Diese Kapitel beschreiben das Managementsystem und welche Punkte ein Unternehmen sicherstellen muss, um seine Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam zu steuern. Dazu zählen der Geltungsbereich (Scope) des ISMS, die Verantwortung des Managements, das Risikomanagement, die Bereitstellung von Ressourcen, interne ISMS-Audits, die Managementbewertung und die stetige Verbesserung des ISMS.
Anhang A: Der normative Anhang A der ISO/IEC 27011 ist ein wichtiges Instrument für den Aufbau eines ISMS und die Zertifizierung. Er beschreibt die Maßnahmenziele und Maßnahmen, die eine Organisation grundsätzlich umsetzen muss, um ein hohes Maß an Informationssicherheit zu gewährleisten. Insgesamt umfasst der Anhang A 114 Maßnahmen in 14 Bereichen. Dazu gehören beispielsweise Richtlinien zu Informationssicherheit, Zugriffskontrolle, Kryptografie, Netzwerksicherheit oder Incident Management.
Seite
  1. Teil: Wichtige Firmendaten mit System schützen
  2. Teil: ISMS ist Chefsache
  3. Teil: Schrittweises Vorgehen
  4. Teil: Risikobehandlungsplan
  5. Teil: Im Gespräch mit Sven Kurzberg von EDAG Engineering
Verwandte Themen

Mehr zum Thema