Eine Lupe die ein blaues Schloss zeigt

Informationssicherheit - kein Problem? Folge 2

In der ersten Folge seines Blogbeitrags zum Thema Informationssicherheit hat Marco Altenseuer die technischen Maßnahmen betrachtet. In Teil 2 geht es um den Aufbau eines Informationssicherheits-Managementsystems.

Ob Informationen im geschäftlichen Umfeld als vertraulich, integer und verfügbar eingestuft werden können, hängt ganz entscheidend von der jeweiligen Zieldefinition ab. So muss ein Server zur Archivierung von Dokumenten unter Umständen nicht jederzeit erreichbar sein, sofern er innerhalb von zwei Stunden während der Geschäftszeiten wiederherstellbar ist. Dagegen kann ein zweistündiger Ausfall des E-Mail-Servers bereits spürbare Auswirkungen auf den Betrieb eines Unternehmens haben. Bei öffentlich verfügbaren Broschüren oder Flyern ist wiederum keine Vertraulichkeit nötig, während die aktuellen Geschäftszahlen möglicherweise nur für die Geschäftsführung einsehbar sein dürfen.

Das „stille Kämmerlein“ ist tabu

Die IT kann eine entsprechende Definition der Ziele jedoch nur bedingt vornehmen, denn sie weiß nicht zwingend, wer berechtigt ist, welche Informationen einzusehen. Deshalb ist hier die Zusammenarbeit mit den verschiedenen Fachbereichen und der Geschäftsleitung nötig, die eine solche Bewertung vornehmen können. Möglicherweise sind darüber hinaus gesetzliche Vorschriften zu beachten, wie beispielsweise die Mindest- oder maximalen Aufbewahrungszeiten von Dokumenten. Hier hat ein entsprechend geschulter Mitarbeiter wie der Compliance Manager des Unternehmens das letzte Wort.

Das Informationssicherheits-Managementsystem (ISMS) - im Unternehmen fest verankert

Die Komplexität steigt also deutlich an, wenn man das Thema Informationssicherheit detaillierter betrachtet. Viele lose Fäden müssen identifiziert und verknüpft werden. Hier kommt das Informationssicherheits-Managementsystem (ISMS) ins Spiel, wie es im Standard ISO/IEC 27001 sowie im IT-Grundschutz des BSI, dem Bundesamt für Sicherheit in der Informationstechnik, definiert wird. Ein solches Managementsystem dient dazu, „die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern“ (Quelle: Wikipedia). Zu den Aufgaben eines ISMS gehört neben den bereits genannten auch das Erkennen und Betrachten von Risiken sowie der Umgang damit.

Und wo bleibt der Datenschutz?

Bisher blieb in diesem Blog-Beitrag das Thema Datenschutz unberücksichtigt, obwohl es viele Schnittstellen und Berührungspunkte gibt. So können und werden Maßnahmen, die dazu dienen, die Vertraulichkeit von Informationen zu verbessern, gleichzeitig den Datenschutz erhöhen. Auf der anderen Seite kann das Protokollieren jeglicher Änderungen an Dokumenten dazu führen, dass der Datenschutz geschwächt wird. Das ISMS sollte also in jedem Fall eine enge Verbindung mit dem Datenschutz-Managementsystem (DSMS) anstreben oder in einem späteren Reifegrad beide Managementsysteme zu einem D-ISMS vereinen.

FAZIT

Informationssicherheit ist weitaus komplexer als nur das Installieren einzelner Lösungen wie beispielsweise eines Anti-Virus-Programms. Mit der richtigen Herangehensweise lässt sich jedoch die hohe Komplexität in geordnete Bahnen lenken, in denen ein Unternehmen dem Gesamtziel der Informationssicherheit Stück für Stück näherkommt.

Die Etablierung eines ISMS ist auf Unternehmensseite mit einem relativ großen Aufwand verbunden, denn es werden Mitarbeiter abgestellt werden müssen, die sich aktiv und kontinuierlich darum kümmern. Zudem werden mit hoher Wahrscheinlichkeit gerade zum Start eines ISMS viele Schwachstellen sichtbar. In diesem Stadium ist es wichtig, die erkannten Schwachstellen zu priorisieren und diese anhand der Priorisierung nach und nach zu schließen – ein Prozess, der u.U. mehrere Monate oder sogar Jahre in Anspruch nehmen kann. Hier kann externe Unterstützung insbesondere für mittelständische Unternehmen eine große Hilfe sein.

Marco Altenseuer, Information Security Officer

maltenseuer@spirit21.com