Der Begriff Informationssicherheit läuft uns in den letzten Jahren immer häufiger über den Weg, wird unsere Welt doch immer stärker vernetzt. In den Medien häufen sich die Schlagzeilen zu Datenlecks, Informationssicherheitsvorfällen und Bedrohungen durch neue Schadsoftware. Auch die Datenschutz-Grundverordnung (DS-GVO) hat die Informationssicherheit in den Vordergrund gerückt; hier zeigten sich viele Schnittpunkte mit dem Datenschutz. Doch was ist eigentlich Informationssicherheit und wo liegen die Unterschiede zur IT-Sicherheit? Neben der Klärung der Begrifflichkeiten, soll Ihnen dieser Artikel einen Überblick im Thema verschaffen, von möglichen Angriffsarten bis hin zur Zertifizierung eines Informationssicherheitsmanagementsystems. Der Beitrag hat nicht den Anspruch, Ihnen alle Aspekte der Informationssicherheit zu vermitteln, sondern Ihnen vielmehr einen guten Einstieg in die Thematik zu bieten.
Auf dieser Grundlage können Sie anschließend eigene Anforderungen an Ihre Informationssicherheit besser einschätzen.
Definition Informationssicherheit und Abgrenzung
Die Begriffe Informationssicherheit, IT-Sicherheit oder IT-Security, Datenschutz und Datensicherheit werden oft synonym verwendet, haben aber ganz unterschiedliche Bedeutungen:
Informationssicherheit
Unter Informationssicherheit versteht man den Schutz von Informationen jeglicher Art vor Gefahren oder Bedrohungen. Sie dient der Vermeidung wirtschaftlicher Schäden und der Minimierung von Risiken.
Dabei wird ein ganzheitlicher Ansatz verfolgt, es werden also alle Informationen betrachtet, die für die Organisation von Bedeutung sind, unabhängig davon, wie oder wo diese Informationen verarbeitet oder gespeichert werden. Die Definition umfasst damit neben dem Schutz von IT-Systemen bspw. auch das Wissen in den Köpfen Ihrer Mitarbeiter oder Papierdokumente im Archiv.
IT-Sicherheit/IT-Security
IT-Sicherheit ist ein Teilgebiet der Informationssicherheit und bezieht sich auf den Schutz von IT-Systemen. Informationswerte, die nicht auf IT-Systemen verarbeitet werden, sind bei der IT-Security außen vor.
Datenschutz
Datenschutz umfasst den Schutz von personenbezogenen Daten. Dazu gehört der Schutz von Betroffenenrechten und der Grundsatz der informationellen Selbstbestimmung. Personenbezogene Daten sind alle Informationen, mit denen eine natürliche Person identifiziert werden kann, z. B. ein Name, eine Adresse oder das Konto in den sozialen Medien.
Datensicherheit
Mit Datensicherheit ist der Schutz von Daten im Allgemeinen gemeint, sie bezieht sich nicht nur auf personenbezogene Daten. Hiermit sind in der Regel technische und organisatorische Maßnahmen (TOM) gemeint, die Daten vor unberechtigtem Zugriff, Manipulation oder Verlust schützen sollen. Die Abgrenzung zur Informationssicherheit ist unscharf, da es keine einheitlichen Definitionen von Daten und Informationen gibt. In der Praxis ist mit Datensicherheit aber oftmals eher die technische Absicherung gemeint, während Informationssicherheit den o. g. ganzheitlichen Ansatz verfolgt.
Ziele der Informationssicherheit
Der Begriff Informationssicherheit wird durch die drei Aspekte Vertraulichkeit, Integrität und Verfügbarkeit (engl. Confidentiality, Integrity and Availability, abgekürzt „CIA“) von Informationen definiert.
Diese drei Aspekte können als die primären Schutzziele betrachtet werden, deren Aufrechterhaltung in Kombination die Informationssicherheit ausmacht. Die Informationssicherheit umfasst auch andere Aspekte und Schutzziele wie Authentizität, Zurechenbarkeit, Nichtabstreitbarkeit und Zuverlässigkeit.
Diese ergänzen die CIA-Ziele und können bei der Bestimmung von geeigneten Maßnahmen behilflich sein.
Vertraulichkeit bedeutet, dass Informationen nur denjenigen zugänglich sind, die dazu berechtigt sind, sie zu sehen. Eine Verletzung der Vertraulichkeit liegt bspw. vor, wenn eine unbefugte Person auf Ihre E-Mails zugreift.
Integrität bedeutet, dass Informationen richtig und vollständig sind. Die Integrität von Informationen wird verletzt, wenn ein Angreifer eine Mail abfängt und diese vor der Weitergabe an den eigentlichen Empfänger verändert.
Verfügbarkeit von Informationen meint, dass autorisierte Benutzer Zugang zu den Informationen haben, wenn sie sie benötigen. Diese Verfügbarkeit von Informationen kann bspw. bei Cyberangriffen oder bei Naturkatastrophen oder Elementarschäden beeinträchtigt werden.
Bedrohungslage
In den letzten Jahren haben sich Cyberangriffe zu einer großen Sicherheitsbedrohung entwickelt.
Ein Cyberangriff ist jede Art von bösartiger Aktivität, die auf ein Computernetzwerk oder -system abzielt.
Diese Angriffe können in vielen Formen auftreten, von einfachen Viren bis hin zu ausgefeilteren Angriffen, die ganze Netzwerke lahmlegen können. Cyberangriffe können von jedem ausgeführt werden, der über die notwendigen Fähigkeiten und Ressourcen verfügt, so dass sie nur schwer zu verhindern sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht jedes Jahr einen Bericht zur Lage der IT-Sicherheit in Deutschland, in dem die aktuelle Bedrohungslage jeweils beschrieben wird.
Der IT-Sicherheitsbericht für 2021 wurde erneut von der Corona-Pandemie dominiert.
Die Pandemie hatte Auswirkungen auf die Art und Weise, wie in Behörden, Organisationen und Unternehmen gearbeitet wurde. Eine der wichtigsten Veränderungen war die massive Zunahme der Heimarbeit, die neue Herausforderungen für die Informationssicherheit mit sich gebracht hat. So herrscht im Home-Office meist nicht das gleiche Niveau von IT-Sicherheitsmaßnahmen, wie im Unternehmen und auch die Nutzung von Privatgeräten zu dienstlichen Zwecken ist hier ein Faktor. Im Allgemeinen wächst die Bedrohungslage seit Jahren kontinuierlich, insbesondere Ransomware-Angriffe (Erpressungen; s.u.) nehmen an Qualität und Quantität zu.
Im Fokus steht auch die Ausnutzung von Schwachstellen. Cyberkriminelle können Lücken in Systemen (wie im März 2021 bei Microsoft Exchange) ausnutzen, um Daten zu kompromittieren. Sobald eine Lücke bekannt wird, versuchen kriminelle Organisationen betroffene Systeme im großen Stil aufzuspüren und die Lücke zu nutzen. Anwender sollten in solchen Fällen auf Warnungen des BSI reagieren und Patches installieren, sobald diese verfügbar sind. Aber auch der Mensch bleibt nach wie vor eine große Schwachstelle in der IT-Sicherheit, in vielen Fällen ist er sogar das schwächste Glied. Ob durch Nachlässigkeit, Unwissenheit oder böswillige Absicht, Menschen sind für die überwiegende Mehrheit der IT-Sicherheitsverstöße verantwortlich.
Um dieses Risiko zu mindern, müssen Unternehmen in die Schulung und Ausbildung ihrer Mitarbeiter in Bezug auf bewährte IT-Sicherheitspraktiken investieren. So kann bspw. eine Sensibilisierung zu den gängigsten Angriffsarten dazu beitragen, die Security Awareness zu erhöhen und „Social Engineering“, also die Ausnutzung von Menschen, um Zugang zu Systemen zu erhalten, zu verhindern. Eine Liste von möglichen Cyberangriffen finden Sie hier:
Angriffsszenarien | Definition |
|---|---|
APT | Advanced Persistent Threat; Netzwerkangriff, bei dem sich eine unautorisierte Person so lange, wie möglich im Netzwerk aufhält, um Daten zu stehlen |
Adware | „Advertising Malware“; Nutzer soll zu Klick auf ungewollte Werbung gedrängt werden |
Baiting | Schadsoftware auf einem USB-Stick, der als „Falle“ ausgelegt wird |
Brute Force | „Rohe Gewalt“; Hacker probieren wahllos eine hohe Zahl an Zeichenkombinationen aus, um ein Passwort zu knacken |
DDoS | Distributed Denial of Service; Server wird mit unzähligen Anfragen überlastet, bis das System ausfällt |
Doxing | Zusammentragen und Veröffentlichen von sensiblen Informationen über eine Person à Diffamierung oder Erschaffung von Personen im Rahmen von Social Engineering |
Hacker | Jemand, der unautorisiert auf ein Gerät oder System zugreift; White-Hat-Hacker: Greift Systeme in Absprache mit dem Unternehmen an („Pentester“); Grey-Hat-Hacker: Greift Systeme unaufgefordert an, möchte aber Sicherheitslücken aufdecken (und erhofft sich dann meistens einen Obolus); Black-Hat-Hacker: Handelt im eigenen Interesse und möchte Schaden anrichten |
Honeypot | „Honigtopf“ für Hacker; isoliertes System, das Angriffe und Methodiken analysieren soll; kann auch als Waffe eingesetzt werden, wenn mit einer attraktiven, fingierten Person/Unternehmen Interessenten angelockt werden, um an deren Daten zu kommen |
Keylogger | Programm, das die getätigten Eingaben an einer Tastatur aufzeichnet, um an sensible Daten zu kommen |
Malvertising | Werbung, die Malware auf den PC transportiert; häufig Spyware |
Malware | Oberbegriff für alle Arten von Schadsoftware |
Man-in-the-Middle (Mitm) | Angreifer sitzt zwischen verwendeter Ressource und Endgerät des Users. Kann dadurch Datenverkehr mitlesen und manipulieren |
Pharming | Phishing + Farming; Internetbesucher werden auf eine gefälschte Website weitergeleitet, wo dann entweder Malware installiert oder direkt nach personenbezogenen Daten gefragt wird |
Phishing | Spam-Mails, um an personenbezogene Daten zu gelangen; Spear Phishing: Mails sind individualisiert und personenbezogen |
Ransomware | Schadprogramm, das z.B. über einen E-Mail-Anhang aktiviert wird; verschlüsselt das System und fordert Lösegeld für dessen Freigabe |
Skimming | Attacken, die auf Kreditkarten abzielen (Auslesen von Magnetstreifen, Manipulation von Geldautomaten oder Kassensystemen) |
Smishing | Phishing über SMS; SMS, die dringenden Handlungsbedarf suggeriert und den Empfänger zum Klick auf einen Link bewegen will |
Social Engineering | Manipulation von Menschen, um sich Zugang zu Systemen zu verschaffen (u.a. durch Phishing, Baiting etc.) |
Tailgaiting | Physische Social Engineering Methode; Angreifer folgt Mitarbeiter ins Unternehmen/gesicherte Bereiche (z.B. unter Vortäuschung einer falschen Identität). Kann auch über Geräte stattfinden (jemand leiht sich ein Handy für einen Anruf und installiert Schadsoftware) |
Der beste Weg, sich vor Cyberangriffen zu schützen, besteht darin, sich der potenziellen Bedrohungen bewusst zu sein und Schritte zum Schutz Ihrer Systeme und Daten zu unternehmen. Indem Sie proaktiv handeln und sich über die neuesten Sicherheitsbedrohungen auf dem Laufenden halten, können Sie Ihr Unternehmen oder Ihre Organisation vor den potenziell verheerenden Auswirkungen eines Cyberangriffs schützen. Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) kann einen erheblichen Teil dazu beitragen.
IT-Sicherheitsvorfall
In der Informationssicherheit unterscheidet man zwischen Informationssicherheitsereignissen und -vorfällen.
Die ISO 27000 definiert diese Begriffe wie folgt (vgl. Kapitel 3.30 und 3.31):
Informationssicherheitsereignis
Bei einem System, Service oder Netzwerk(‐abschnitt) wurde ein Ereignis ermittelt, das auf eine mögliche Verletzung der Richtlinien zur Informationssicherheit oder ein Fehlschlagen einer Sicherheitsmaßnahme hindeutet bzw. auf einen bislang nicht bekannten Umstand, der möglicherweise sicherheitsrelevant sein könnte.
Informationssicherheitsvorfall
Auftreten eines oder mehrerer ungewollter bzw. unerwarteter Informationssicherheitsereignisse, durch die höchstwahrscheinlich der Geschäftsbetrieb gefährdet, sowie die Informationssicherheit bedroht sind.
Um Ereignisse oder sogar Vorfälle in der Informationssicherheit zu erkennen, ist eine Überwachung notwendig.
In der Praxis geschieht das in der Regel durch verschiedene Monitoring-Systeme oder SIEM-Lösungen.
SIEM ist eine Abkürzung für Security Information and Event Management. Es handelt sich um eine Softwarelösung, die Unternehmen dabei hilft, Daten aus verschiedenen Sicherheitstools zu sammeln, zu überwachen und zu analysieren, um potenzielle Bedrohungen zu erkennen. SIEM bietet einen zentralen Überblick über die Sicherheitslage eines Unternehmens und erleichtert so die Erkennung von und die Reaktion auf Vorfälle. Es kann auch verwendet werden, um Berichte über potenzielle Schwachstellen und Compliance-Probleme zu erstellen.
Unabhängig davon, wie man Ereignisse erfasst, sollte sichergestellt sein, dass diese so schnell wie möglich gemeldet werden. Hierfür sollten geeignete Meldekanäle und Verantwortlichkeiten festgelegt werden. Je nach Größe der Organisation kann nun entweder die IT-Abteilung oder ein speziell für die Behandlung von Informationssicherheitsvorfällen eingerichtetes CERT (Computer Emergency Response Team) die Meldung klassifizieren und ggf. Gegenmaßnahmen einleiten.
Notfallmanagement
Wurde ein Ereignis als Vorfall bzw. Notfall eingestuft, so gilt es schnellstmöglich und angemessen hierauf zu reagieren. Ein Notfall liegt bspw. vor, wenn die Systeme im Unternehmen mit Ransomware infiziert und verschlüsselt wurden. In einem solchen Fall bleibt häufig wenig Zeit, um über angemessene Reaktionen nachzudenken. Es empfiehlt sich also, bereits im Vorfeld festzulegen, wie mit Informationssicherheitsvorfällen umgegangen werden soll. In der Praxis kann Ihnen dabei die Erstellung eines Notfallhandbuchs helfen.
Inhaltlich sollten hierin folgende Aspekte geregelt werden:
Das Notfallhandbuch sollte sowohl online als auch offline verfügbar sein (bspw. in gedruckter Form in der IT-Abteilung und den Serverräumen). Nach der Behandlung eines Vorfalls sollte dieser umfangreich dokumentiert werden. So können in der Folge Maßnahmen zur Verhinderung weiterer Vorfälle getroffen werden. Sind bspw. wichtige Systeme mit hohen Verfügbarkeitsanforderungen ausgefallen, sollte man die Notwendigkeit von weiteren Redundanzen und deren Aktivierung im Ernstfall prüfen. Fällt ein Server aus, so kann ein Ersatzserver entweder mit einem Hot-Standby (direkte Umschaltung auf einen Ersatz-Server) oder einem Cold-Standby (verzögerte Umschaltung, oftmals manuell) aktiviert werden. Es empfiehlt sich im Rahmen von Notfalltests, den richtigen Umgang mit Vorfällen im Ernstfall vorab durchzuspielen.
Der Informationssicherheitsbeauftragte
Ein Informationssicherheitsbeauftragter (ISB) ist dafür verantwortlich, die Sicherheit der Informationswerte eines Unternehmens zu gewährleisten. Dazu gehören die Entwicklung und Umsetzung von Sicherheitsrichtlinien, die Durchführung von Risikobewertungen und die Verwaltung des Notfallmanagements. ISB arbeiten auch daran, die Mitarbeiter über Sicherheitsrisiken und bewährte Angriffspraktiken aufzuklären. In größeren Unternehmen gibt es in der Regel ein Team von Experten, die sich um den Betrieb des ISMS kümmert. An dessen Spitze steht der Chief Information Security Officer (CISO), der für die gesamte Sicherheitsstrategie verantwortlich ist.
ISB und auch ein CISO müssen über neue Bedrohungen und Schwachstellen sowie über Änderungen in der Technologie und im Geschäftsbetrieb, die sich auf die Sicherheit auswirken könnten, auf dem Laufenden bleiben. Sie müssen darüber hinaus auch in der Lage sein, effektiv mit den Beteiligten auf allen Ebenen des Unternehmens zu kommunizieren. Der Informationssicherheitsbeauftragte sollte frühzeitig in neue Projekte involviert werden, damit er sicherstellen kann, dass die Anforderungen an die Informationssicherheit von Beginn an umgesetzt werden.
Die Bestellung eines ISB ist gesetzlich nicht konkret vorgeschrieben, es macht aber in vielen Fällen Sinn, diese Stelle im Unternehmen zu besetzen.
Bei der Auswahl eines ISB kann entweder auf eigene Mitarbeiter oder externe Dienstleister zurückgegriffen werden. Wichtig ist, dass die Person das nötige Fachwissen besitzt und darüber hinaus die Geschäftsprozesse des Unternehmens kennt.
Der ISB sollte mit den zur Erfüllung seiner Aufgaben nötigen Kompetenzen ausgestattet werden und direkt dem Top-Management zugeordnet sein.
Im Zuge dessen ist insbesondere auf ein direktes Vortragsrecht bei der obersten Führungsebene zu achten. Weiterhin ist dafür zu sorgen, dass der ISB in keinen Interessenkonflikt gerät. Ein IT-Admin hat in der Regel weitreichende Befugnisse, die im Rahmen eines ISMS ggf. eingeschränkt werden müssen.
Allgemein sollte ein ISB daher nach Möglichkeit nicht direkt der IT-Abteilung zugeordnet sein.
Wer letztendlich als ISB bestellt wird, hängt auch von der Größe und Branche der Organisation ab.
In großen Unternehmen werden oftmals sogar mehrere ISB (z.B. für verschiedene Bereiche und Standorte) eingesetzt. Mit dem nötigen Fachwissen könnte in kleineren und mittelständischen Unternehmen bspw. der Qualitätsmanagementbeauftragte oder aufgrund diverser Schnittpunkte auch der Datenschutzbeauftragte die Rolle des ISB übernehmen. Die Schnittstellen müssen in diesem Fall aber klar definiert werden, um Rollenkonflikte zu vermeiden. In einigen Fällen macht es deshalb Sinn, die Rolle des Informationssicherheitsbeauftragten extern zu vergeben.
Das Informationssicherheitsmanagementsystem (ISMS)
Ein Managementsystem ist ein „System zum Festlegen von Politik und Zielen sowie zum Erreichen dieser Ziele“ (ISO 9000). Ein ISMS befasst sich mit der Festlegung von Richtlinien, Prozessen und Regelungen, die dazu dienen, die festgelegten Informationssicherheitsziele zu erreichen. Im Kern meint das die Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit der für die Organisation relevanten Informationen.
Wie die meisten Managementsysteme verfolgt auch das ISMS einen sog. Top-Down-Ansatz. Damit ist gemeint, dass die Führungsebene die oberste Verantwortung für das ISMS trägt. Sie legt Ziele, Richtlinien und Maßnahmen fest und kann bei Bedarf einzelne Umsetzungspunkte an das mittlere Management, den Informationssicherheitsbeauftragten (ISB) oder den Datenschutzbeauftragten (DSB) delegieren.
Vorgehensweise bei der Implementierung eines ISMS
Hat sich ein Unternehmen für die Implementierung eines ISMS entschieden, so sollten im ersten Schritt die Verantwortlichkeiten definiert werden. In kleineren Unternehmen reicht womöglich schon die Benennung eines Informationssicherheitsbeauftragten (ISB) aus, der sich um den Betrieb des ISMS kümmert.
In mittelständischen Unternehmen sollte ein sog. Lenkungskreis gebildet werden, der üblicherweise aus dem ISB, einem Mitglied des Top-Managements, dem IT-Leiter, dem Datenschutzbeauftragten (DSB) und in einigen Fällen der Personalleitung oder dem Qualitätsmanagementbeauftragten (QMB) besteht.
Anschließend muss das Unternehmen einen Geltungsbereich definieren, soll die komplette Institution betrachtet werden oder nur ein unter Umständen besonders gefährdeter Teilbereich? Oft macht es in kleineren Organisationen Sinn, das gesamte Unternehmen zu betrachten, um wirklich alle relevanten Informationen zu schützen. Je nach Größe kann das aber sehr aufwendig und zeitintensiv werden. Ist der Geltungsbereich festgelegt, folgt die Inventarisierung der Informationswerte. Hier machen Sie sich bewusst, welche Informationen, IT-Systeme und Anwendungen im Unternehmen überhaupt vorliegen, die es fortan zu schützen gilt.
Dort zeigt sich wieder, dass die Informationssicherheit nicht nur die IT-Sicherheit abdeckt, liegen relevante Informationswerte doch auch in Papierdokumenten oder in Form von Know-How in den Köpfen der Mitarbeiter vor.
Sobald man sich im Klaren darüber ist, was es zu schützen gilt, muss man analysieren, wie man sich vor welchen Bedrohungen bewahren möchte. In einer Risikoanalyse identifiziert man mögliche Bedrohungsszenarien.
Diese sind unternehmensspezifisch, ein Logistikunternehmen ist anderen Gefährdungen ausgesetzt als ein IT-Dienstleister. Auch der Standort spielt hier eine Rolle, etwa wenn die Risiken durch Naturkatastrophen (z.B. Überschwemmungen oder Feuer) betrachtet werden. Beim Umgang mit Risiken unterscheidet man grundsätzlich folgende Arten:
Risikoakzeptanz
Wenn die Auswirkungen eines Risikos hinsichtlich zu erwartenden Schadens und Eintrittswahrscheinlichkeit gering sind, so kann die Geschäftsführung das Risiko akzeptieren.
Hierbei wird das Risiko zwar in einer Beurteilung erfasst, es werden aber keine weiteren Maßnahmen eingeleitet. Risiken werden oft akzeptiert, wenn andere Wege zum Umgang nicht verhältnismäßig sind oder das Unternehmen sich andere Maßnahmen schlicht nicht leisten kann.
Risikotransfer
Eine andere Möglichkeit zum Umgang mit Risiken ist der Transfer.
Die möglichen Auswirkungen werden also so weit wie möglich an eine dritte Partei ausgelagert.
Der Abschluss von Cyberversicherungen kann finanziellen Schaden bei einem erfolgreichen Ransomware-Angriff abfedern und für viele kleinere Unternehmen kann es Sinn machen, IT-Dienstleistungen auszulagern (z.B. Hosting). Der Risikotransfer kann allerdings immer nur bedingt weiterhelfen, so greift eine Cyberversicherung erst, wenn der Schaden bereits entstanden ist und schützt nicht vor juristischen Konsequenzen oder Reputationsschäden.
Risikovermeidung
Um ein Risiko vollständig zu vermeiden, muss in der Regel der zugrunde liegende Geschäftsprozess eingestellt werden. Die Risikovermeidung kommt dann zum Einsatz, wenn die zu erwartenden Schadensszenarien untragbar für das Unternehmen sind (z.B. bei der Gefährdung von Menschenleben).
Risikominimierung
Das am häufigsten auftretende Verfahren zum Umgang mit Risiken ist die Risikominimierung.
Hierbei sollen entweder die Auswirkungen oder die Eintrittswahrscheinlichkeiten eines Schadensszenarios reduziert werden. So kann durch eine Netzwerksegmentierung verhindert werden, dass sich Malware nach einem Klick auf einen schädlichen Link im gesamten Unternehmen ausbreitet. Zusätzlich könnte die Eintrittswahrscheinlichkeit durch Schulung der Mitarbeiter reduziert werden.
Hat man für alle identifizierten Risiken eine Strategie festgelegt, so muss man die definierten Maßnahmen in der Folge umsetzen. Auch hierfür legt man im Idealfall wieder differenzierte Verantwortlichkeiten fest.
Bei den Maßnahmen unterscheidet man grundsätzlich zwischen technischen und organisatorischen Maßnahmen.
Die technischen Maßnahmen zielen auf die IT-Sicherheit ab.:
Organisatorische Maßnahmen umfassen u.a.:
Oft verschwimmt die Grenze zwischen technischer und organisatorischer Maßnahme. So kann bspw. in einem Rollen- und Berechtigungskonzept definiert werden, welcher Mitarbeiter auf welche Dateien zugreifen darf.
In einem nächsten Schritt kann man diese Richtlinien dann in einem System, welches mit einer Dateiseparierung arbeitet, technisch umsetzen. Wichtig ist, dass die Überlegungen zur Risikobehandlung dokumentiert werden. Nur dann kann sichergestellt werden, dass die Umsetzung für jeden stets nachvollziehbar und steuerbar bleibt. Das geschieht in der Regel in Form von Policies, Verfahrensbeschreibungen, Kennzahlen und Protokollen.
Nach der Implementierung der Maßnahmen soll das System nun aktiv betrieben werden, man sagt auch, das System soll „leben“. Die einmal geschriebenen Richtlinien müssen regelmäßig auf ihre Umsetzung und Aktualität kontrolliert werden. Sind die Schreibtische der Mitarbeiter tatsächlich „sauber“? Wie geht man mit fremden Personen auf dem Betriebsgelände um? Werden neue Patches zeitnah installiert? Es bietet sich an, den Status quo des ISMS regelmäßig (einmal pro Jahr) im Rahmen eines internen Audits zu überprüfen.
Das interne Audit kann man entweder selbst durchführen oder man beauftragt hierfür einen externen Dienstleister. Stellt man hierbei Abweichungen von den selbst auferlegten Regeln fest, so sollte man hier nach den Ursachen forschen und ggf. nachbessern. Alternativ kann man die Richtlinien an die gelebte Praxis anpassen, Voraussetzung hierfür ist dann, dass der Prozess entsprechend in der Risikoanalyse betrachtet und freigegeben wurde. Damit das Managementsystem „lebt“ muss man sich im Sinne eines KVP (Kontinuierlicher Verbesserungsprozess) regelmäßig mit der Informationssicherheit im eigenen Unternehmen auseinandersetzen.
Ein ISMS kann nach seiner Implementierung in einem externen Audit zertifiziert werden.
Welche Unternehmen benötigen ein ISMS?
Die Anforderung für die Implementierung eines ISMS kann von verschiedenen Stellen kommen.
Zum einen können Sie gesetzlich dazu verpflichtet sein, hierunter fallen:
Ferner können Kunden oder sogar Lieferanten den Betrieb eines Informationssicherheitsmanagementsystems verlangen. In der Praxis geschieht das insbesondere in der Automobilindustrie, hier verlangen Hersteller und z.T. auch einzelne Zulieferer die Umsetzung des Standards VDA ISA TISAX®.
Auch wenn Sie nicht zur Einführung eines ISMS verpflichtet sind, hat die Einführung eines solchen Systems viele Vorteile. ISMS tragen dazu bei, dass die Informationswerte einer Organisation angemessen geschützt sind und dass Risiken systematisch und proaktiv verwaltet werden. Es kann Ihre betriebliche Effizienz verbessern und bietet viele Schnittpunkte zu anderen gesetzlichen Vorgaben wie der DS-GVO. Weiterhin kann ein ISMS dazu beitragen, die allgemeine Sicherheitslage einer Organisation zu verbessern und ihre Widerstandsfähigkeit gegenüber Sicherheitsvorfällen zu erhöhen. So können erhebliche Schadensszenarien vom Unternehmen abgewendet werden.
Das IT-Sicherheitsgesetz
Erstmals 2015 in Kraft getreten, sollte das IT-Sicherheitsgesetz 1.0 digitale Infrastrukturen und IT-Systeme in Deutschland widerstandsfähiger gegen Cyberangriffe machen. Im Fokus stand dabei der Schutz von kritischen Infrastrukturen. Das IT-SiG ist als Artikelgesetz veröffentlicht worden. Es ist also kein alleinstehendes Gesetz, sondern ändert bestehende Gesetze, darunter das BSI-Gesetz, das Energiewirtschaftsgesetz, das Telemediengesetz und das Telekommunikationsgesetz.
Das im Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 erweitert den Anwendungsbereich um die Abfallentsorgung und die Zulieferer von KRITIS-Unternehmen, konkret die Hersteller von kritischen Komponenten. Hinzu kommen außerdem Unternehmen von besonderem öffentlichem Interesse.
Darunter fallen:
Abhängig von Branche und Relevanz legt das IT-SiG 2.0 verschiedene Pflichten fest. KRITIS müssen sich nun bspw. in ein BSI-Register eintragen. Auch technische Maßnahmen, wie die Implementierung eines Systems zur Angriffserkennung (z.B. ein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS)), gehören zu den neuen Verpflichtungen.
Das BSI kann nun außerdem von Unternehmen die Herausgabe von Unterlagen und internen Informationen verlangen, wenn es einen begründeten Verdacht hat, dass ein Unternehmen sich trotz Zugehörigkeit zu den kritischen Infrastrukturen nicht registriert. Damit kann es bestimmte im IT-SiG festgelegte Schwellenwerte überprüfen und das Unternehmen bei Nicht-Einhaltung der Pflichten entsprechend sanktionieren.
Der Bußgeldkatalog selbst wurde deutlich erweitert, statt Geldbußen in Höhe von bis zu 100.000 € können nun Sanktionen bis zu 2.000.000 € verhängt werden.
Zertifizierungen
Die Zertifizierung eines ISMS bescheinigt, dass das Informationssicherheitsmanagementsystem einer Organisation die Anforderungen eines bestimmten Standards erfüllt, in etwa der ISO 27001.
Die Zertifizierung wird von einer externen Zertifizierungsstelle durchgeführt. Ein Auditor, der ein Zertifizierungsaudit durchführen möchte, muss bei einem Unternehmen angestellt sein, das bei der DAkkS (Deutsche Akkreditierungsstelle) akkreditiert wurde.
Der Zertifizierungsprozess umfasst in der Regel eine Bewertung der ISMS-Dokumentation, gefolgt von einem Audit vor Ort. Grundsätzlich kann das Vor-Ort-Audit auch online durchgeführt werden, in der Praxis wird diese Form aber nur sehr selten angewendet. Zu den bekanntesten Zertifikaten zählen:
ISO 27001
Der wohl bekannteste Standard zur Zertifizierung von Informationssicherheitsmanagementsystemen ist die DIN EN ISO/IEC 27001:2017. Die ISO 27001 ist international anerkannt und bietet Unternehmen eine gute Grundlage, ein ISMS aufzubauen und zu betreiben. Die Norm besteht aus 10 Kapiteln und einem Anhang, der zusätzliche Maßnahmenziele beschreibt. Eine Hilfestellung zur Umsetzung der Controls findet sich in der ISO 27002, die in diesem Sinne als Leitfaden zur Umsetzung dienen soll.
Weder die 27001 noch die 27002 geben konkrete Vorgaben zur Umsetzung der Informationssicherheit, sondern legen lediglich Ziele (27001) fest, bzw. geben Hinweise zur Umsetzung (27002).
Das Unternehmen muss sich also selbst mit den für sich erforderlichen Anforderungen auseinandersetzen. Hierbei soll der risikobasierte Ansatz verfolgt werden.
ISO 27001 auf Basis von BSI-Grundschutz
Der BSI-Grundschutz ist v.a. für öffentliche Stellen relevant.
Die verschiedenen Maßnahmen sind hier in verschiedene Kategorien eingeteilt, Basis-Anforderungen, Standard-Anforderungen und Anforderungen für den erhöhten Schutzbedarf. Um das System zertifizieren lassen zu können, muss die Organisation in jedem umzusetzenden Punkt mindestens die Standard-Anforderungen erfüllen.
Die einzelnen Maßnahmen sind kostenlos im IT-Grundschutzkompendium vom BSI einsehbar:
Grundsätzlich ist der IT-Grundschutz umfangreicher als die ISO 27001, weshalb die meisten Unternehmen nur dann darauf zurückgreifen, wenn sie dazu verpflichtet sind.
VDA ISA TISAX®
Um die Informationssicherheit in der Automobilindustrie zu standardisieren, haben die Automobilhersteller in Europa den VDA ISA Katalog entwickelt, auch TISAX® genannt.
Sämtliche Unternehmen, die an der Wertschöpfungskette dieser Branche beteiligt sind, müssen sich in der Regel diesem Standard unterwerfen. Während in anderen Standards nur Ziele vorgegeben werden, macht der VDA ISA Katalog viele konkrete Vorgaben. Eine TISAX®-Zertifizierung kann aus diesem Grund anspruchsvoller als andere Zertifizierungen sein, da der Katalog nur wenig Interpretationsspielraum lässt.
ISIS12 / CISIS12
ISIS12 ist eine kompakte Variante zur Einführung eines ISMS und deshalb insbesondere für kleine Unternehmen und Kommunen geeignet. ISIS12 steht für Informations-Sicherheitsmanagement System in 12 Schritten. Der Standard wurde 2021 auf CISIS 12 upgedatet, das „C“ steht dabei für Compliance.
Mit dem Update wurde u.a. die Zielgruppe von CISIS12 auch auf größere Unternehmen und Behörden ausgeweitet, außerdem wurde die Kompatibilität zu anderen Standards verbessert.
Die Zertifizierung gibt Kunden und anderen Interessenvertretern die Gewissheit, dass ein Unternehmen seine Informationssicherheitsrisiken im Einklang mit bewährten Verfahren verwaltet. Sie kann Organisationen auch dabei helfen, neue Aufträge zu erhalten. Die Zertifizierung ist jedoch keine Garantie für Sicherheit und sollte nicht als Ersatz für gute Sicherheitspraktiken angesehen werden. Die Zertifizierung ist ein fortlaufender Prozess, und Unternehmen sollten ihr ISMS kontinuierlich überwachen und überprüfen, um sicherzustellen, dass es effektiv bleibt.
Mit den oben beschriebenen Voraussetzungen für ein zertifizierungsfähiges ISMS geht einher, dass Sie Zertifizierungen von anderen Unternehmen (bspw. Dienstleistern oder Kunden) nicht blind vertrauen dürfen.
Ein solches Zertifikat bescheinigt in den meisten Fällen nur, dass ein Unternehmen ein funktionierendes System aufgebaut hat, mit dem die Informationssicherheit gemanagt werden soll. Das bedeutet nicht zwangsläufig, dass ein Unternehmen besonders sicher ist oder die IT hohen Belastungen standhalten kann. Zudem sollten Sie sich bei Zertifikaten immer auch den Geltungsbereich anschauen und prüfen, ob der für Sie relevante Geschäftsbereich darin enthalten ist.
Zusammenfassung
Informationssicherheit bleibt nach wie vor ein komplexes Thema. Trotzdem zeigt die Gefährdungslage, dass sich Unternehmen unbedingt verstärkt damit auseinandersetzen sollten. Im Zuge der Implementierung eines ISMS sollten Unternehmer kritische Geschäftsprozesse identifizieren und Maßnahmen zu deren Schutz einleiten. Nicht immer ist eine umfangreiche Zertifizierung eines solchen ISMS sinnvoll, kann aber das Vertrauen der Kundschaft stärken und Ihnen Wettbewerbsvorteile verschaffen. Ein funktionierendes ISMS kann Sie darüber hinaus vor erheblichem Schaden bewahren.
Daniel Lüttgens
