IT-Sicherheit - 19.11.2021

Information Security Management Systems – Chef:innensache Informationssicherheit.

Informationssicherheit und IT-Sicherheit – das ist doch Jacke wie Hose, oder? Weit gefehlt. Auch wenn beide Begriffe oft synonym verwendet werden, liegt dazwischen ein gewaltiger Unterschied. IT-Sicherheit beschreibt vor allem den Umgang mit technischen Systemen, also der Hard- und Software. Hingegen hat die Informationssicherheit das gesamte Unternehmen inklusive des Personals, aller Prozesse und der baulichen Gegebenheiten im Blick. Damit wird klar: Informationssicherheit ist Chef:innensache und betrifft jeden einzelnen Mitarbeitenden. Ein Information Security Management System (ISMS) hilft dabei, dem mitunter komplexen Zusammenspiel der einzelnen Faktoren Herr zu werden.

Verfasst von

Leiter Datenschutz und Datensicherheit

E-Mail: frank.peter@bechtle.com

Senior Consultant Datenschutz und Datensicherheit

E-Mail: philipp.schuetz@bechtle.com

Ein ISMS-Konzept umfasst sämtliche Regeln, Tools, Maßnahmen und Verfahren, die die Sicherheit von unternehmenswichtigen Informationen gewährleisten. Wie wichtig ein ganzheitliches Vorgehen ist, zeigte jüngst erst wieder ein Lagebericht, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Oktober 2021 veröffentlichte. Dort berichtete das BSI von vielfältigen und dynamischen Angriffen auf Unternehmen und Organisationen verschiedenster Branchen in den vergangenen Monaten. Als „wirksamstes Vorgehen“ dagegen habe sich erwiesen, „ein Managementsystem für Informationssicherheit nach IT-Grundschutz zu etablieren“. Das trage dazu bei, Gefährdungen zu erkennen, Risiken zu reduzieren und das Niveau der Informationssicherheit mit adäquaten Maßnahmen deutlich anzuheben.

Die Bedrohungslage ist ein wichtiger, aber beileibe nicht der einzige Grund, dem Thema mehr Aufmerksamkeit zu widmen. Verschiedene Gesetze haben den Handlungsdruck in den vergangenen Jahren zusätzlich verstärkt. Mit dem IT-Sicherheitsgesetz 2.0 beispielsweise, das seit Mai 2021 in Kraft ist, wurden die Vorgaben für sogenannte Betreiber kritischer Infrastrukturen erhöht. Dazu zählen etwa viele Energie- und Wasserversorger sowie Krankenhäuser. Sie sind künftig verpflichtet, Systeme zur Angriffserkennung zu betreiben. Lieferanten und Kunden rüsten sicherheitstechnisch ebenfalls auf. Sie erwarten zunehmend auch von ihren Geschäftspartnern, etwaige Lecks zu schließen.

Erste Schritte zu einem ISMS.

Dieser Druck sollte eigentlich gar nicht nötig sein. Denn es liegt im Interesse von Geschäftsführer:innen und Manager:innen, das Herz des Unternehmen zu schützen – in den meisten Fällen betrifft das Mitarbeitende und Daten.

Um ein ISMS aufzubauen und sich einen ersten Überblick zu verschaffen, bietet sich eine Risikoanalyse an. Sie deckt auf, welche individuellen Risiken und Bedrohungen zu einer realen Gefahr für das Unternehmen werden können. Danach gilt es, potenzielle Schwachstellen unter die Lupe zu nehmen. Gleichzeitig sollte der aktuelle Bestand an Sicherheitsmaßnahmen dokumentiert werden, um sie in das ganzheitliche System zu integrieren und bei dieser Gelegenheit, wenn nötig, zu modernisieren. Ein ISMS bedeutet keine Revolution, sondern eine Evolution der unternehmenseigenen Informationssicherheit.

Es geht darum, das Richtige zu erkennen und umzusetzen. Dazu steht eine Vielzahl an Maßnahmen zur Verfügung. Um herauszufinden, welche die richtigen sind, können zum Beispiel Befragungen der Beschäftigten durchgeführt werden. Damit lässt sich die Sichtweise der Mitarbeitenden auf die Risiken kennenlernen. Eine andere Möglichkeit ist der Cyber-Sicherheits-Check, der einen einfachen Einstieg zur Überprüfung des Sicherheitsniveaus bietet. Darüber hinaus können auch Audits und Zertifizierungen helfen, Schwachstellen zu erkennen und zu beheben. Grundsätzlich gilt: Externe Beratung, wie sie etwa Bechtle anbietet, hat den großen Vorteil, dass eine neutrale Instanz mit viel Erfahrung und unvoreingenommenem Blick von außen oftmals Sicherheitslücken identifizieren kann, die intern nur schwer zu erkennen sind.

Kampf dem Silodenken.

Obwohl viele Unternehmen bereits Sicherheitsmaßnahmen etabliert haben, können diese aber selbst zum Problem werden. Zum einen entsprechen viele nicht mehr dem Stand der Technik. Zutritts- und Zugriffsregelungen beispielsweise werden häufig eingeführt – über die Jahre aber nicht mehr immer und überall akribisch gepflegt. Zum anderen haben viele Unternehmen neue Sicherheitslösungen implementiert, wenn der Bedarf dafür gewachsen war. In der Praxis bedeutet das ein Nebeneinander, aber nur selten ein Miteinander der verschiedenen Systeme. Als übergeordnete Instanz, die die Fäden zusammenführt, ist ein ISMS unverzichtbar. Es zeigt auch Abdeckungslücken auf. „Nimm du ihn, ich habe ihn sicher“, heißt es scherzhaft im Fußball. Der Spruch beschreibt, was passiert, wenn sich jeder darauf verlässt, dass sich ein anderer um ein Problem kümmert: Am Ende landet der Ball im Tor.

Vervollständigen Sie Ihre Verteidigung. Ein ISMS erhöht die Informationssicherheit und spart Kosten durch den Abbau von redundanten Maßnahmen. Mitarbeitende erhalten dadurch außerdem einen standardisierten Handlungsrahmen, der einheitlich und klar vorgibt, welche Regeln gelten und wie sie einzuhalten sind. Und bitte: Schieben Sie die Verantwortung nicht der IT zu. Das Unternehmen und den Geschäftsbetrieb abzusichern, ist Sache aller im Unternehmen. Primär verantwortlich dafür ist aber die Geschäftsführung, die die Leitlinien bestimmt und den Rahmen für ein ISMS vorgibt. Wenn Sie dabei Unterstützung brauchen, helfen wir gerne. Mit einem Whitepaper zum Thema, das Sie herunterladen können. Oder setzen Sie sich gleich mit uns in Verbindung, um mehr über unsere vielen Services und Lösungen rund um Informationssicherheit und IT-Security zu erfahren: It-security@bechtle.com.

Whitepaper herunterladen

Beitrag weiterempfehlen

Diesen Beitrag haben wir veröffentlicht am 19.11.2021.