Informationssicherheitsmanagement: Mit Information Security und Datenschutz erfolgversprechende Verbundeffekte nutzen!

Die Digitalisierung ist in vollem Gange.

Dennoch, die vielen Vorteile einer fortschreitend digitalisierten, vernetzten und flexiblen Businesswelt haben auch negative Begleiterscheinungen: Hackerattacken, Datenklau sowie Verschlüsselungsversuche nehmen stetig zu und stellen dadurch eine ernstzunehmende Bedrohung für die Information Security und den Datenschutz von Unternehmungen dar.
Aus diesem Grund sollte die Einführung eines gut geplanten Informationssicherheitsmanagementsystems in den Fokus rücken.
Denn als zentraler Gegenstand einer kompletten Sicherheitskonzeption bestimmt ein Informationssicherheitsmanagementsystem Standards, Methoden und Maßnahmen, mit denen Betriebe sowohl ihre Informationssicherheit wie auch den Datenschutz überprüfen, lenken, gewährleisten und verbessern können.

Die Geschäftswelt bewegt sich im Umbruch – und wird in steigendem Maß von digitalen Geschäftsvorgängen, plattformbasierten Geschäftsmodellen, „intelligenten“ Geräten und Anlagen wie vernetzten IT-Umgebungen sowie Anwendungen beeinflusst.

Gleichwohl birgt die fortschreitend digital transformierte, vernetzte und mobile Businesswelt erhebliche Bedrohungen: Seit Jahren steigt die Menge gezielter Internetattacken auf Betriebe fast jeder Dimension und aus allen Industriezweigen.

Nur im Jahr 2020 wurden zufolge dem Bundeslagebild Cybercrime 2020 des Bundeskriminalamtes 108.000 Straftaten im virtuellen Sektor registriert, wobei von einer großen Dunkelziffer durch nicht erkannte sowie nicht gemeldete Delikte auszugehen ist. Ausgesprochen häufig wurden gemäß dem Bundeskriminalamt Kryptotrojaner- wie auch Distributed Denial of Service-Angriffe sowie der Diebstahl digitaler Identitäten erfasst.

Angesichts der wachsenden Cyberkriminalität sollte die Implementierung eines gut funktionierenden Informationssicherheitsmanagementsystem, abgekürzt ISMS, in den Fokus genommen werden.

Denn als grundlegender Baustein einer erfolgversprechenden Security-Strategie zielt ein Informationssicherheitsmanagementsystem darauf ab, die IT-Risiken der aktuellen Zeit mit effektiven Standards, Verfahren, Strategien wie Werkzeugen beherrschbar zu machen und im Zuge dessen die IT-Sicherheit sowie den Datenschutz permanent zu garantieren.

Ohne Informationen ist alles nichts!

Informationen bilden seit jeher den Grundstein für den geschäftlichen sowie individuellen Gewinn. Ob technologisches Knowhow, Informationen über die Zielkunden oder Produktions- und Herstellungsverfahren – ohne Informationen kann ein Geschäft weder eine fundiert abgewogene Entscheidung treffen noch Vorteile gegenüber der Konkurrenz sichern. Demzufolge stellen Informationen nützliche Vermögenswerte dar, die mit passenden IT-Securitymaßnahmen abgesichert werden sollten.

Während der Datenschutz laut der Europaweiten Datenschutzgrundverordnung den Schutz personenbezogener Daten ebenso wie besonders die Wahrung der informationellen Selbstbestimmung zum Zweck hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen.
Entsprechend befasst sich die IT-Sicherheit mit sämtlichen technischen und unternehmensprozessualen Strategien zur Sicherstellung von Vertraulichkeit, Verfügbarkeit, Integrität und mitunter von Echtheit und Verbindlichkeit aller schützenswerten Informationen in einem Geschäft. Dabei ist es nicht von Interesse, ob sich solche Informationen digital auf einem System, analog auf einem Blatt oder in einem „menschlichen Gehirn“ befinden. Zur Information Security zählt damit auch die Datensicherheit: Also die Sicherheit von allen Daten, auch denen, die keinen Bezug zu persönlichen Daten im Sinne der EU Datenschutzgrundverordnung haben.

Hierzulande orientiert sich die Informationssicherheit zumeist nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Gemeinsam mit den länderübergreifenden Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet dieser Unternehmen einen strukturierten und systematischen Ansatz für den Aufbau und die Umsetzung eines Information Security Management Systems.

Schutz durch klar strukturierte Prozeduren!

Ein Information Security Management System ist einfach formuliert ein Managementsystem für die Informationssicherheit. Vermittels der Realisierung eines Informationssicherheitmanagementsystems auf Grundlage des IT-Grundschutzs oder den internationalen Richtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollverfahren bestimmt, um die Informationssicherheit in einem Geschäftsbetrieb permanent zu sicher.

Das wichtigste Ziel eines Informationssicherheitsmanagementsystems ist es, vorkommende Bedrohungen hinsichtlich der Informationssicherheit zu identifizieren, untersuchen und zu minimieren ebenso wie hierbei für ein angemessenes Schutzniveau von Informationen innerhalb eines Geschäftsbetriebes zu sorgen. Das Sicherheitsmanagementsystem bildet folglich die Vorbedingung für eine strukturierte Umsetzung von Informationssicherheit innerhalb eines Betriebes.
Aus der Blickrichtung des Datenschutzes ist es wesentlich, dass ein Informationssicherheitsmanagementsystem alle schutzwürdigen Informationen in einem Geschäftsbetrieb sichert, ganz gleich, ob es sich um personenbezogene Daten handelt oder nicht.
In wenigen Steps zu mehr Sicherheit!
Die effiziente und effektive Implementation eines Informationssicherheitsmanagementsystems ist ein sehr vielschichtiger Prozess. Prinzipiell wird die Implementation in diverse Schritte eingeteilt. Die folgenden Steps sollten dabei bedacht werden:

1. Prozessschritt: Definition der Ziele und Festlegung des Soll-Zustandes
   Im ersten Schritt müssen die Zielsetzungen des Informationssicherheitsmanagementsystems festgelegt werden. Dazu solten sowohl die Anwendungsbereiche als auch Begrenzungen des Sicherheitsmanagementsystems klar bestimmt werden. Parallel sollte klar bezeichnet werden, was das System bewirken soll bzw. welche Werte und Informationen des Betriebes gesichert werden sollen.
2. Prozessschritt: Risiken identifizieren sowie bewerten
   Im zweiten Step sollte eine breit gefächerte Tiefenanalyse der Einsatzbereiche ausgeführt werden. Hierbei sollte der gegenwärtige Stand der Information Security bestimmt werden, um so potenzielle Risiken und Gefahren zu identifizieren und zu kategorisieren. Für die Einschätzung der Gefahren können mehrere Verfahren benutzt werden. Die wichtigsten Faktoren sind eine präzise Gesamtschau, welche Konsequenzen und Folgen die verschiedenen Bedrohungen haben können und eine Bewertung ihrer Eintrittswahrscheinlichkeit.
3. Prozessschritt: Auswahl und Implementation der Gegenmaßnahmen
   Im dritten Schritt werden auf Grundlage der Risikobewertung Maßnahmen ausgearbeitet, welche die Minderung von Risiken zum Ziel haben und so die adäquate Antwort auf Sicherheitsvorfälle zulassen. Diese haben dann Gültigkeit für alle Ebenen und Abteilungen des Unternehmens und schließen nicht nur digitale und virtuelle, sondern auch analoge Angelegenheiten mit ein.
4. Prozessschritt: Wirkungsgrad prüfen und Optimierungen umsetzen
   Im 4ten Step sollten die definierten und umgesetzten Vorkehrungen in einem fortlaufenden Ablauf beobachtet, überprüft und optimiert werden. Werden in diesem Zusammenhang Variationen des Soll Zustandes oder neue Risiken und Gefahren identifiziert, so wird der ganze Information Security Management-Prozess von Neuem durchlaufen.
   Informationssicherheitsmanagementsysteme als Gewährleistung für hohe Informationssicherheit!
   Der verbotene Handel mit Informationen floriert. Kein Unternehmen kann es sich gegenwärtig folglich noch leisten, den Schutz von Informationen und Daten zu vernachlässigen. Durch die Einführung eines Sicherheitsmanagementsystems können Geschäftsbetriebe mit effektiven Standards, Methoden, Prozeduren und Werkzeugen jegliche IT-Bedrohungen im Hinblick auf ihre Informationssicherheit und den Datenschutz minimieren und angemessen auf Bedrohungssituationen reagieren.
   Überdies fordert die Europäische Datenschutzgrundverordnung (https://dsgvo-gesetz.de/ ) mit Artikel 32 der EU-DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo/ ) Geschäftsbetriebe dazu auf, ein dem Gefahrenpotenzial angemessenes Schutzniveau für persönliche Daten zu etablieren. Andernfalls können hohe Strafen verhängt werden.
   Jedoch muss man bedenken, dass ein Informationssicherheitsmanagementsystem kein vollständiges Datenschutzmanagementsystem ersetzen, sondern nur um technologische ebenso wie organisatorische Instrumente gem. datenschutzrechtlichen Bedingungen ergänzen kann.
   Ergo empfiehlt sich eine enge Zusammenarbeit zwischen dem Informationssicherheitsbeauftragten und dem Datenschutzbeauftragten, um so eine große Informationssicherheit und einen hohen Datenschutz sicherstellen zu können.

Möchten auch Sie ein Informationssicherheitsmanagementsystem einführen? Oder haben Sie noch Fragen und Anregungen zu den Themenbereichen Informationssicherheit und Datenschutz? Gerne unterstützen wir Sie mit unserem Fachwissen bei der Implementation und dem Betrieb eines Informationssicherheitsmanagementsystem nach DIN EN ISO/IEC 27001, BSI IT-Grundschutz oder ISIS12. Sprechen Sie uns an.

Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de