Dem Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.) folgend, sind der deutschen Wirtschaft im Jahr 2021 nach Selbsteinschätzung der dazu befragten Unternehmen durch Cyber-Angriffe Schäden in Höhe von 223 Mrd. Euro entstanden.
Mehr IT-Sicherheit – oder allgemeiner Informationssicherheit – zum Schutz vor solchen Angriffen tut also mehr als Not. Um die dafür bereitgestellten Mittel effektiv einsetzen zu können, müssen die Bereiche, in denen Schutzmaßnahmen besonders dringend sind, aber erst gefunden, erfasst und dokumentiert werden. Die im Unternehmen vorhandene Informationssicherheit muss dementsprechend gemessen, bewertet und verbessert werden.
Hier kommt das Informationssicherheitsmanagementsystem (ISMS) ins Spiel. Analog zum in vielen Unternehmen bereits etablierten Qualitätsmanagement (z. B. nach ISO 9001) gibt es auch für das Informationssicherheitsmanagement Normen und Verfahren (z. B. nach ISO 27001), um strukturiert und systematisch vorgehen zu können.
Ein ISMS ermöglichst es, den Stand der Informationssicherheit im Unternehmen zu erfassen, zu bewerten und ggf. anzupassen. Damit ist dies ein wirksames Mittel zur Erhöhung des Informationssicherheitsniveaus eines Unternehmens und damit ein wichtiger Baustein zum Schutz vor Schaden durch z. B. Cyber-Angriffe. Ein Schutz, der – so zeigen es die obengenannten Zahlen – offenbar dringend geboten ist.
Da davon auszugehen ist, dass Angreifer erfolgreich in Unternehmen eindringen können („Expect the breach“), muss ein Teil des Schutzkonzeptes – auch eine Notfallplanung (Incident Response im Rahmen von Disaster Recovery Planning und Business Continuity Management) – für diesen Fall vorhanden sein. Was also tun im Falle des Falles? Um diese Frage zu beantworten, bedarf es einer systematischen Planung und Analyse.
Was sind Informationen?
Informationen sind Werte für das Unternehmen. Diese können in verschiedenen Formen vorliegen:
- in materieller Form (Akten, Papiere, Verträge, Urkunden)
- in digitaler Form (in Computersystemen oder anderen elektronischen Geräten)
- in nicht-materieller Form (Wissen in den Köpfen der Mitarbeiter)
Diese Informationen (Werte) sind angemessen zu schützen. Ein Verlust, eine Manipulation (Verändern, Löschen, Einfügen) oder eine Offenlegung gegenüber Unbefugten bedeutet einen Schaden für das Unternehmen, ggf. auch mittelbar durch Schaden für Dritte.
Was ist Informationssicherheit?
Hauptziel der Informationssicherheit ist der Erhalt von Schutzzielen. Die Schutzziele der Informationssicherheit sind hierbei mindestens die „CIA“:
- Confidentiality: Vertraulichkeit (Schutz vor unbefugter Offenlegung)
- Integrity: Integrität (Schutz vor Manipulation, Sicherstellung von Vollständigkeit und Richtigkeit)
- Availability: Verfügbarkeit (Schutz vor Verlust oder Nichterreichbarkeit)
Informationssicherheit ist also mindestens der Erhalt von Vertraulichkeit, Integrität und Verfügbarkeit. Weitere Ziele können auch z. B. Verbindlichkeit und Zurechenbarkeit sein.
Was ist Management und ein Managementsystem?
Management ist die Verwaltung, Überwachung, Organisation, Führung und Kontrolle von Ressourcen. Ein Managementsystem enthält die Prozesse, Ressourcen, Verfahren, Verantwortlichkeiten, Richtlinien und Organisationsstruktur zur Erreichung eines Zieles.
Was ist dann ein Informationssicherheitsmanagementsystem?
Ein Informationssicherheitsmanagementsystem ist ein Hilfsmittel für die Planung, Umsetzung, Durchführung, Kontrolle, Prüfung und Optimierung der Informationssicherheit in einem Unternehmen oder einer Organisation, um Risiken für die Informationen angemessen zu behandeln. Das Ziel ist eine Risikominimierung auf das geforderte Maß.
Woraus besteht ein ISMS?
Ein Informationssicherheitsmanagementsystem benennt:
- zu schützende Informationen/Werte
- Regeln und Verfahren zu deren Schutz
- Verantwortlichkeiten für diese Verfahren
- Dokumente, in denen diese erfasst sind
- Ziele der Maßnahmen und die Maßnahmen selbst
- Optimierungsverfahren
Dies kann auf verschiedene Arten umgesetzt werden:
- im Allgemeinen unterstützt durch elektronische Hilfsmittel zur Organisation
- u. U. mit Hilfe speziell dafür entwickelter Software
- in sehr kleinen Umgebungen ggf. noch papierbasierend ohne elektronische Hilfsmittel
Wer braucht ein ISMS?
Regulatorische Anforderungen und Empfehlungen zum Aufbau eines ISMS gibt es in mehreren Branchen nach verschiedenen gesetzlichen Vorgaben, z. B.:
- Kritische Infrastrukturen: Um die Einhaltung des „Stand der Technik“ in der Informationssicherheit wie gefordert (§ 8a BSIG) nachweisen zu können, ist ein ISMS ein empfohlenes Mittel. Für einige KRITIS-Sektoren gelten sektorspezifische Regelungen (z. B. nach Telekommunikationsgesetz (TKG) oder Energiewirtschaftsgesetz (EnWG)).
- Im Zuge des IT-SiG 2.0 fallen mit der gerade verabschiedeten „Zweite Verordnung zur Änderung der BSI-Kritisverordnung“ gut 250 zusätzliche Unternehmen in den Bereich der regulierten kritischen Infrastrukturen und sind damit ab 01.01.2022 nachweispflichtig.
- Krankenhäuser: Nach § 75c SGB besteht ebenfalls ab 01.01.2022 die Verpflichtung, „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele“ zu treffen. Die Verpflichtung kann explizit durch Einhaltung des branchenspezifischen Sicherheitsstandards (B3S) erfüllt werden kann. Dieser fordert: „Es ist eine angemessene und wirksame Organisation zum Betrieb des Informationssicherheits-Risikomanagements zu etablieren, im Folgenden nur ISMS-Risikomanagement genannt.“ Weitere Aspekte dazu auch in unserem Beitrag Digitalisierung und IT-Sicherheit im Krankenhaus.
Verfahren zum Aufbau eines ISMS
Es gibt verschiedene Normen und Systematiken zum Aufbau eines ISMS; u. a.:
- ISO-27000-Reihe: IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme
Internationale Standards zur Informationssicherheit (zertifizierbar) - BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
Teil der BSI-Standard-Reihe, kompatibel zur ISO 27001 - (C)ISIS12: Informations-Sicherheitsmanagement System in 12 Schritten
Entwickelt in Bayern für den Einsatz in Kommunen und KMU, kompatibel zu ISO 27001 und BSI IT-Grundschutz - VdS 10000: Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen
Aufwärtskompatibel zu ISO/IEC 27001 sowie zum IT-Grundschutz. 43 Seiten lang, 29 Seiten davon beinhalten konkrete Maßnahmen und Empfehlungen.
Schritte zum Aufbau eines ISMS
Zum Aufbau eines ISMS werden erfasst:
- Werte eines Unternehmens und deren Klassifizierung/Kritikalität
- bestehende Verfahren zum Schutz von Informationen
- verantwortliche Personen für diese Verfahren
- bestehende Dokumente, in denen diese erfasst sind
Diese werden dann überprüft auf:
- Vollständigkeit (sind alle Werte erfasst, Verfahren zum Schutz etabliert und Zuständigkeiten festgelegt)
- Aktualität (entsprechen die dokumentierten Verfahren der tatsächlichen Praxis)
- Effektivität (erreichen diese Verfahren das gewünschte Ziel)
Ziele sind die Einführung einer Sicherheitsleitlinie, entsprechender Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses.
Kontinuierliche Verbesserung
Integraler Bestandteil der ISO 27001 ist der Prozess der „kontinuierlichen Verbesserung“, d. h. Informationssicherheit ist niemals statisch, sondern muss fortwährend auf die sich ändernden Umgebungsbedingungen angepasst werden. In der ISO 27001 wird dies mit dem sog. „Deming-Zyklus“ mit „Plan, Do, Check, Act“ abgebildet, der in vielen Managementsystemen verwendet wird. Der Stand der Sicherheit im Unternehmen ist ständigen Veränderungen unterworfen, sei es durch Änderungen auf Seiten des Unternehmens (Einführung neuer Produkte oder Verfahren oder Zukauf eines Unternehmens und Integration in die IT usw.) oder extern verursacht, z. B. durch das Aufkommen von neuen Angriffsvektoren oder dem Bekanntwerden einer neuen Schwachstelle.
Bruce Schneier drückt es treffend aus: „Security is a process, not a product.“
Unterstützung durch DOK SYSTEME
DOK SYSTEME verfügt über Experten mit entsprechender Qualifizierung (ISMS Security Officer / Auditor nach ISO 27001), die Sie bei der Einführung eines ISMS und in anderen Bereichen der IT-Security bei Bedarf unterstützen können (siehe auch IT-Sicherheit - DOK SYSTEME), wie z. B. bei der:
- Sichtung der vorhandenen Dokumente
- Erstellung oder Vervollständigung der notwendigen Dokumente
- Beurteilung der vorhandenen Prozesse
- Risikobewertung
- Strukturierung und Begleitung des Verfahrens
- Analyse des aktuellen Informationssicherheitsniveaus, z. B. nach ISO 27002
- Erarbeitung von Notfallplänen
Jochen Kmietsch
Senior Consultant | CISSP
Quellen (Letzter Abruf 1. September 2021):
Bitkom: Wirtschaftsschutz 2021
Bruce Schneier: The Process of Security