InformationssicherheitISO 27001 kann Vorteile im Wettbewerb schaffen

Wenn Unberechtigte ganze IT-Systeme lahm legen und sich Informationen beschaffen, wenn ungeschulte oder unachtsame Mitarbeiter IT-Prozesse gefährden, bringt das neben dem finanziellen Schaden auch einen Verlust des Kundenvertrauens, Vorteile für Mitbewerber sowie Imageschäden mit sich. Die Norm ISO 27001 bietet Unternehmen hierfür einen systematischen und strukturierten Ansatz, der vertrauliche Daten schützt, die Integrität betrieblicher Daten sicherstellt sowie die Verfügbarkeit der internen IT-Systeme erhöht.

Die individuelle Gestaltung eines ISMS hängt von den Bedürfnissen und Zielen, Sicherheitsanforderungen, angewandten Verfahren und der Größe und Struktur der Organisation ab und kann nicht verallgemeinert werden. Um die konsistente und integrierte Umsetzung und Durchführung mit verwandten Managementsystemen zu unterstützen, ist die Norm unter anderem mit der ISO 9001 (Qualitätsmanagement) und der ISO 14001 (Umweltmanagement) abgestimmt. Den aktuellen Anforderungen angepasst, wurde eine Revision der ISO 27001 im März 2015 veröffentlicht.

Angelehnt an die Bestimmungen der ISO 27001 umfasst Informationssicherheit die Gewährleistung und den Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Weitere Attribute betreffen die Authentizität, Zurechenbarkeit, Verbindlichkeit und Zuverlässigkeit.

Vertraulichkeit

Schutz von Informationen vor unberechtigter Offenlegung.

Integrität

Schutz von Informationen vor Modifikationen, Einfügungen, Löschungen, Umordnung, Duplikationen oder Wiedereinspielung.

Informationsverfügbarkeit

Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Instanzen.

Authentizität

Echtheit von Informationen oder Identitäten.

Zurechenbarkeit

Übernahme von Verantwortung, Rechenschaft oder Haftung für Informationswerte (Assets).

Verbindlichkeit

Niemand kann das Senden oder Empfangen von Informationen abstreiten oder leugnen (Proof of Origin, Proof of Delivery).

Zuverlässigkeit

Sicherstellung eines konsistenten Verhaltens und Lieferung vorgesehener Ergebnisse durch eine Person oder Instanz.

Wird beispielsweise ein internes Dokument von einem Lieferanten eingesehen, gelesen oder kopiert, ist die Vertraulichkeit verletzt. Fällt hingegen ein Speichersystem aus, gehen dabei vertrags- und vertriebsrelevante Kundeninformationen verloren. Existiert zugleich keine Sicherungskopie, stellt dies eine Verletzung der Informationsverfügbarkeit dar.

Neben den normen-inhärenten Bestimmungen stehen außerdem die gesetzlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG) als Rahmenbedingungen der Informationssicherheit. Es gilt nun, die gesetzlichen Vorgaben mit den Inhalten und Anforderungen der Norm 27001 zusammenzufassen und strukturiert im Unternehmen umzusetzen.

Das ISMS ist das Herzstück für alle Vorgänge und Abläufe im Bereich der IT-Sicherheit. Als ein System von Leitlinien, Verfahren, Anleitungen, zugehörigen Betriebsmitteln sowie Personal, welche zur Erreichung der Ziele eines Unternehmens erforderlich sind, muss es laufend überwacht, gewartet, verbessert und weiterentwickelt werden.

Die Einführung eines ISMS selbst ist sowohl eine Frage der richtigen Methode als auch der richtigen Vorgehensweise und kann ein Unternehmen durchaus vor große Hürden stellen. Unterschiedliche Belange zwischen den Unternehmensabteilungen müssen koordiniert und in das ISMS integriert werden. Außerdem kommt es auf eine erfolgreiche Kommunikation wie auch auf einen Informationsaustausch bei der Einführung und Optimierung sowie bei der Vorbereitung einer Zertifizierung des ISMS an.

Die DIN ISO 27001 verwendet den PCDA-Zyklus (Plan, Do, Check, Act), um die ISMS-Prozesse in Organisationen zu strukturieren. Daraus resultieren folgende Aufgaben:

Planen (Festlegen)

Festlegen der ISMS-Leitlinie, -Ziele, -Prozesse und –Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen.

Durchführen (Umsetzen und durchführen)

Umsetzen und Durchführen der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren.

Prüfen (Überwachen und überprüfen)

Einschätzen und gegebenenfalls Messen der Prozessleistung an der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren.

Handeln (Instandhalten und verbessern)

Einleiten und Durchführen von Korrektur- und Vorbeugungsmaßnahmen, basierend auf den Ergebnissen von internen ISMS-Audits und Überprüfungen des Managements sowie anderen wesentlichen Informationen zur ständigen Verbesserung des ISMS.

Die ISO 27001 umfasst branchen- und größenunabhängig ein umfangreiches Sicherheitskonzept, das das unternehmerische Eigeninteresse widerspiegelt. Die Umsetzung stellt besonders für klein- und mittelständische Betriebe einen Wettbewerbsvorteil dar: den gesetzlichen Anforderungen gerecht werden sowie das IT-Risiko im Unternehmen erkennen, einordnen und minimieren, um somit den Kunden und Auftraggebern einen gewissen Standard zu gewährleisten.

Der Gesetzgeber fordert eine Zertifizierung nach ISO 27001 nicht. Unabhängig davon erleichtert die Norm aber die Einhaltung gesetzlicher Auflagen und bietet viele unternehmerische Vorteile. Mit einer Zertifizierung lässt sich zum Beispiel nachweisen, dass die Sicherheitsanforderungen, die technischen und organisatorischen Maßnahmen nach § 9 BDSG beziehungsweise die Anforderungen aus der mit dem Kunden vereinbarten Auftragsdatenverarbeitung (ADV) nach § 11 BDSG erfüllt sind und eingehalten werden. Auf diese Weise bieten Unternehmen ein Mehr an Vertrauenswürdigkeit und Sicherheit.

Nicht zuletzt zeigen Datenskandale im Bereich der Wirtschaftsspionage, dass mit der zunehmenden Digitalisierung auch die Verwundbarkeit von Unternehmen steigt. Daten- und IT-Sicherheit erwachsen zum entscheidenden Vorteil und zum Schlüsselfaktor für die Wettbewerbsfähigkeit. Die Einführung eines ISMS und die Zertifizierung nach ISO 27001 sind jedoch kein Spaziergang und können nicht einfach so nebenbei erfolgen.