Information Security Management: Mit Informationssicherheit sowie Datenschutz starke Synergie-Effekte erreichen!
Die Digitalisierung ist in vollem Gange.
Jedoch, die unzähligen Nutzeffekte einer zunehmend digitalisierten, vernetzten und mobilen Arbeitswelt haben auch andere Folgen: Internetattacken, Datenklau wie auch Erpressungstrojaner nehmen fortwährend zu und stellen eine gravierende Gefährdung für die Informationssicherheit und den Datenschutz von Betrieben dar.
Infolgedessen sollte die Implementation eines gut strukturierten Informationssicherheitsmanagementsystems in den Fokus rücken.
Denn als wichtiger Teil einer ganzheitlichen Sicherheitsstrategie bestimmt ein Information Security Management System Regularien, Prozeduren und Reaktionen, mit welchen Unternehmen sowohl die Informationssicherheit als auch den Datenschutz strukturieren, lenken, sicherstellen und optimieren können.
Die Businesswelt befindet sich im Umbruch – und wird in steigendem Maße von multimedialen Geschäftsabläufen, plattformabhängigen Businesskonzepten, „intelligenten“ Maschinen und Betriebsanlagen sowie vernetzten IT-Systemen und Anwendungen beeinflusst.
Allerdings birgt die zunehmend digitalisierte, online verbundene und ortsungebundene Geschäftswelt massive Gefahren: Seit Längerem vergrößert sich die Zahl gezielter Internetattacken auf Firmen jedweder Dimension und Branche.
Allein im Jahre 2020 wurden nach dem Bundeslagebild Cybercrime 2020 des BKA 108.000 Delikte im virtuellen Sektor erfasst, wobei von einer großen Dunkelzahl durch nicht erkannte sowie nicht angezeigte Delikte auszugehen ist. Ausgesprochen oft wurden gemäß dem Bundeskriminalamt Erpressungssoftware- und DDoS-Angriffe sowie die Entwendung digitaler Identitäten registriert.
In Anbetracht der steigenden online Kriminalität sollte die Implementation eines gut funktionierenden Informationssicherheitsmanagementsystem, kurz ISMS, in den Fokus rücken.
Denn als wichtiger Bestandteil einer ganzheitlichen Sicherheitsstrategie zielt ein Informationssicherheitsmanagementsystem darauf ab, die IT-Gefahren der aktuellen Zeit mit wirksamen Standards, Methoden, Maßnahmen ebenso wie Applikationen beherrschbar zu machen und dabei die IT-Sicherheit und den Datenschutz beständig zu garantieren.
Kronjuwelen schützen!
Informationen bilden seit jeher die Grundvoraussetzung für den geschäftlichen und individuellen Gewinn. Egal ob technologisches Fachwissen, Informationen über die Zielgruppe oder Konstruktions- und Herstellungsverfahren – ohne passende Informationen kann ein Geschäft weder eine fundiert abgewogene Entscheidung treffen noch Wettbewerbsvorteile im Vergleich zu den Mitstreitern erzielen. Aus diesem Grund stellen Sachinformationen hochklassige Vermögensgegenstände dar, welche mit passenden IT-Sicherheitsmaßnahmen abgesichert werden müssen.
Während der Datenschutz laut der Europäischen Datenschutzgrundverordnung (https://dsgvo-gesetz.de/) den Schutz personenbezogener Daten und besonders den Schutz der informationellen Selbstbestimmung zum Ziel hat, geht es in der Informationssicherheit um die Erhaltung des Schutzes von Informationen, Daten und Systemen.
Entsprechend beschäftigt sich die IT-Sicherheit mit sämtlichen technologischen und organisatorischen Vorgehensweisen zur Gewährleistung von Vertraulichkeit, Nutzbarkeit, Integrität und mitunter von Echtheit und Verbindlichkeit aller schützenswerten Informationen in einem Geschäft. Dabei ist es sekundär, ob sich die Informationen digital auf einem Server, analog auf einem Papier oder in einem „menschlichen Gehirn“ befinden. Zur Information Security gehört somit zudem die Datensicherheit: Also die Sicherheit von allen Daten, auch solchen, welche keinerlei Bezug zu persönlichen Daten im Sinne der Europaweiten Datenschutzgrundverordnung haben.
In der Bundesrepublik orientiert sich die Informationssicherheit meistens nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Zusammen mit den internat. Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet dieser Geschäftsbetrieben einen strukturorientierten und systematischen Ansatz für die Einführung und die Inbetriebnahme eines Informationssicherheitsmanagementsystems.
Schutz durch intelligent strukturierte Abläufe!
Ein Informationssicherheitsmanagementsystem ist simpel formuliert ein System zum Management für die Informationssicherheit. Durch die Realisierung eines Informationssicherheitsmanagement-Systems auf Grundlage des IT-Grundschutzes oder den internationalen Richtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollprozesse definiert, um die Informationssicherheit in einem Betrieb stetig zu gewährleisten.
Das vorrangige Ziel eines Informationssicherheitsmanagementsystems ist es, vorkommende Bedrohungen hinsichtlich der Informationssicherheit zu erkennen, analysieren und zu verringern und hierdurch für ein adäquates Sicherheitsniveau von Informationen innerhalb eines Unternehmens zu sorgen. Dieses Informationssicherheitsmanagementsystem bildet also die Grundlage für eine strukturierte Implementierung von Informationssicherheit innerhalb eines Geschäftsbetriebes.
Aus der Blickrichtung des Datenschutzes ist es relevant, dass ein Information Security Management System alle schützenswerten Informationen in einem Betrieb sichert, ganz unabhängig, ob es sich um persönliche Daten handelt oder nicht.
In wenigen Steps zu höherer Sicherheit!
Die effiziente und effektive Implementation eines solchen Managementsystems ist ein sehr komplizierter Vorgang. Im Prinzip wird die Einführung in diverse Prozessschritte aufgegliedert. Die folgenden Steps sollten dabei eingeplant werden:
1. Prozessschritt: Zieldefinition und Festlegung des Leistungsumfanges
Im 1ten Step müssen die Zielsetzungen des Managementsystems festgesetzt werden. Hierbei solten sowohl die Anwendungsszenarien als auch Grenzen des Managementsystems klar festgesetzt werden. Gleichzeitig sollte klar bezeichnet werden, was das System vollbringen soll beziehungsweise welche Werte und Informationen des Unternehmens beschützt werden sollen.
2. Prozessschritt: Gefahren ermitteln sowie bewerten
Im 2. Prozessschritt muss eine umfangreiche Analyse der Anwendungszenarien ausgeführt werden. Dabei sollte der derzeitige Stand der Information Security ermittelt werden, um mögliche Bedrohungen zu finden und zu bewerten. Für die Abschätzung der Gefahren können diverse Verfahrensweisen benutzt werden. Die wesentlichen Gesichtspunkte sind eine präzise Gesamtschau, welche Auswirkungen und Folgen die jeweiligen Risiken haben können und eine Einschätzung ihrer Wahrscheinlichkeit.
3. Prozessschritt: Selektion und Implementation der Maßnahmen
Im dritten Schritt werden auf Grundlage der Risikobewertung Vorkehrungen ausgearbeitet, welche die Verringerung von Risiken zum Zweck haben und so eine adäquate Reaktion auf solche Vorfälle möglich machen. Diese sind dann gültig für alle Sektoren und Bereiche des Betriebes und beziehen nicht nur digitale und virtuelle, sondern auch analoge Sicherheitsaspekte mit ein.
4. Prozessschritt: Wirkungsgrad überprüfen und Optimierungen realisieren
Im 4ten Prozessschritt sollten die beschlossenen und umgesetzten Vorkehrungen in einem fortlaufenden Ablauf beobachtet, geprüft sowie verbessert werden. Werden dabei Abweichungen vom Soll Zustand oder zusätzliche Bedrohungen erkannt, so wird der gesamte Managementsystem-Prozess nochmals durchlaufen.
Informationssicherheitsmanagementsysteme als Gewähr für hohe Informationssicherheit!
Der cyberkriminelle Handel mit Informationen wächst. Kein Unternehmen kann es sich dieser Tage daher noch leisten, die Sicherung von Informationen und Daten zu vernachlässigen. Durch die Einführung eines Sicherheitsmanagementsystems können Firmen mit effektiven Regularien, Verfahren, Prozeduren und Werkzeugen jegliche IT-Risiken im Hinblick auf ihre Informationssicherheit und den Datenschutz verringern und geeignet auf Risikoszenarien reagieren.
Überdies fordert die Europäische Datenschutzgrundverordnung mit Art. 32 der EU-DSGVO Unternehmen dazu auf, ein dem Risikopotential adäquates Sicherheitsniveau für personenbezogene Daten zu etablieren. Andernfalls können hohe Strafen ausgesprochen werden.
Dabei muss man bedenken, dass ein Informationssicherheitsmanagementsystem kein vollständiges Datenschutzmanagementsystem ersetzen, sondern nur um technische sowie organisatorische Vorkehrungen getreu datenschutzrechtlichen Standards ergänzen kann.
Deswegen empfiehlt sich eine engmaschige Kooperation zwischen einem Informationssicherheitsbeauftragten und einem Datenschutzbeauftragten, um so eine hohe Informationssicherheit und einen hohen Datenschutz gewährleisten zu können.
Möchten auch Sie ein Information Security Management System einsetzen? Oder haben Sie noch Fragen zu den Themen Informationssicherheit und Datenschutz? Sehr gerne unterstützen wir Sie mit unserem Fach-Know-how bei der Realisierung und dem Betrieb eines Informationssicherheitsmanagementsystem nach DIN EN ISO/IEC 27001, BSI IT-Grundschutz oder ISIS12. Sprechen Sie uns an.