Information Security Management:

Dez 2, 2021Blog, Sicherheit

Mit Informationssicherheit und Datenschutz starke Synergieeffekte nutzen!

Der digitale Wandel ist in vollem Gange. 

Dennoch, die außerordentlichen Nutzen einer zunehmend digitalisierten, online verbundenen und flexiblen Geschäftswelt haben auch ihre Nachteile: Internetattacken, Datenklau ebenso wie Erpressungstrojaner nehmen stetig zu und stellen somit eine ernstzunehmende Bedrohung für die Information Security und den Datenschutz von Unternehmen dar. 

Aus diesem Grund sollte die Einführung eines gut funktionierenden Information Security Management Systems in den Fokus rücken. 

Denn als zentraler Bestandteil einer erfolgversprechenden Security-Strategie definiert ein Information Security Management System Regeln, Vorgehensweisen und Maßnahmen, mit welchen Unternehmen sowohl ihre IT-Security wie auch ihren Datenschutz überwachen, regulieren, gewährleisten wie auch verbessern können.

Die Geschäftswelt ist im Wandel – und wird in steigendem Maße von hochtechnischen Geschäftsprozessen, plattformbasierten Geschäftskonzepten, „intelligenten“ Tools und Betriebsanlagen ebenso wie vernetzten IT-Systemen wie auch Software Applikationen geprägt.  

Gleichwohl birgt die zunehmend digital transformierte, global vernetzte und flexiblere Geschäftswelt hohe Gefährdungen: Seit Längerem steigt die Zahl gezielter Cyberattacken auf Firmen jeder Dimension und aus allen Wirtschaftszweigen.

Nur im Jahr 2020 wurden laut dem Bundeslagebild Cybercrime 2020 des Bundeskriminalamtes 108.000 Straftaten im virtuellen Sektor aufgedeckt, wobei von einer großen Dunkelzahl durch nicht erkannte oder aber nicht gemeldete Angriffe auszugehen ist. Sehr häufig wurden laut dem Bundeskriminalamt Verschlüsselungstrojaner- wie auch Distributed Denial of Service-Angriffe wie die Entwendung digitaler Identitäten erfasst.

Auf Grund der zunehmenden Internetkriminalität sollte die Implementation eines gut abgestimmten Information Security Management Systems, abgekürzt ISMS, in den Fokus genommen werden. 

Denn als grundlegender Bestandteil einer vollständigen Sicherheitsstrategie zielt ein Information Security Management System darauf ab, die IT-Bedrohungen der gegenwärtigen Zeit mit effizienten Standards, Vorkehrungen, Reaktionen und Instrumenten beherrschbar zu machen und dadurch die Informationssicherheit und den Datenschutz stets zu gewährleisten.

ein blaues Schloss in der Mitte, links davon ein Bauklotz aus Holz mit einem Schloss darauf, rechts daneben ein Bauklotz aus Holz mit einer Weltkugel und einem Schutzschild mit einem Haken

Ohne Informationen ist alles nichts!

Informationen bilden seit jeher das Fundament für den unternehmerischen sowie persönlichen Erfolg. Egal ob technisches Wissen, Kundeninformationen oder Produktions- und Herstellungsverfahren – ohne spezifische Informationen kann ein Geschäft weder eine fundiert abgewogene Entscheidung treffen noch Vorteile im Vergleich zu den Mitbewerbern erzielen. Daher stellen Informationen hochklassige Vermögensgegenstände dar, welche mit geeigneten IT-Sicherheitsmaßnahmen gesichert werden müssen.

Während der Datenschutz getreu der EU Datenschutzgrundverordnung den Schutz personenbezogener Daten sowie besonders den Schutz der informationellen Selbstbestimmung zum Gegenstand hat, geht es in der Informationssicherheit um die das Wahren des Schutzes von Informationen, Daten und Systemen.

Entsprechend befasst sich die IT-Sicherheit mit jeglichen technischen und unternehmensprozessualen Vorkehrungen zur Sicherung von Vertraulichkeit, Nutzbarkeit, Integrität und mitunter von Authentizität und Verbindlichkeit jeglicher schutzwürdigen Informationen in einem Unternehmen. In diesem Zusammenhang ist es ohne Belang, ob sich die Informationen digital auf einem Server, analog auf einem Briefbogen oder in einem „Gehirn“ befinden. Zur Informationssicherheit gehört damit auch die Datensicherheit: Also die Sicherheit von jeglichen Daten, auch solchen, die keinerlei Bezug zu persönlichen Daten entsprechend der EU Datenschutzgrundverordnung haben.

Hierzulande orientiert sich die Informationssicherheit zumeist nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. In Kombination mit den internat. Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet dieser Unternehmungen einen strukturierten und planmäßigen Ansatz für die Einführung und die Implementierung eines Information Security Management Systems.

Bauklötze, die in zwei Reihen gestapelt sind. Oben ein breiter Holzbauklotz mit der Aufschrift "ONLINE", daneben ein grauen Schloss, unten 7 quadratische Holzbauklötze mit jeweils einem Buchstaben, die das Wort "PRIVACY" ergeben

Schutz durch intelligent strukturierte Prozesse!

Ein Informationssicherheitsmanagementsystem ist simpel gesagt ein Managementsystem für die Informationssicherheit. Vermittels der Einführung eines Informationssicherheitsmanagementsystems auf Basis des IT-Grundschutz. Internat. Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollmaßnahmen definiert, um die Informationssicherheit in einem Betrieb ständig zu sicher. 

Das hauptsächliche Ziel eines Informationssicherheitsmanagementsystems ist es, denkbare Risiken bezüglich der Informationssicherheit zu erkennen, untersuchen und zu vermeiden ebenso wie dabei für ein adäquates Schutzniveau von Informationen innerhalb eines Betriebes zu sorgen. Dieses Managementsystem bildet folglich die Grundvoraussetzung für eine zuverlässige Implementation von Informationssicherheit innerhalb eines Unternehmens.

Aus Sicht des Datenschutzes ist es essentiell, dass ein Informationssicherheitsmanagementsystem alle schützenswerten Informationen in einem Unternehmen absichert, ganz gleich, ob es sich um personenbezogene Daten handelt oder nicht.

Ein Dieb, in einem dunkelblauen Anzug mit einer Lupe in der Hand, der abgeseilt wird

In wenigen Schritten zu höherer Informationssicherheit!

Die effiziente und effektive Implementierung eines solchen Managementsystems ist ein sehr vielschichtiger Prozess. Generell wird die Implementation in diverse Schritte untergliedert. Die folgenden Schritte sollten dabei eingeplant werden:

  1. Prozessschritt: Zieldefinition und Festlegung des LeistungsumfangeIm 1ten Schritt müssen die Zielsetzungen des Informationssicherheitsmanagementsystems definiert werden. Hier sollten sowohl die Anwendungsbereiche als auch Limitierungen des Informationssicherheitsmanagementsystems klar festgelegt werden. Zugleich sollte klar definiert werden, was das Sicherheitsmanagementsystem gewährleisten soll beziehungsweise welche Belange und Informationen des Unternehmens beschützt werden sollen.
  2. Prozessschritt: Bedrohungen ausfindig machen sowie einschätzenIm 2ten Schritt muss eine breit gefächerte Prüfung der Anwendungsszenarien vollzogen werden. Dabei sollte der aktuelle Stand der Information Security ermittelt werden, um denkbare Risiken zu erkennen und zu kategorisieren. Für die Abschätzung der Bedrohungen können mehrere Techniken genutzt werden. Die wesentlichen Kriterien sind eine klare Gesamtschau, welche Konsequenzen und Folgen die jeweiligen Bedrohungen haben können und eine Einschätzung ihrer Eintrittswahrscheinlichkeit.
  3. Prozessschritt: Auswahl und Realisierung der GegenmaßnahmenIm dritten Prozessschritt werden auf Basis der Risikobewertung Maßnahmen erarbeitet, welche die Verringerung von Risiken zum Ziel haben und so die adäquate Reaktion auf Sicherheitsvorfälle möglich machen. Diese haben dann Gültigkeit für alle Sektoren und Teilbereiche des Betriebes und schließen nicht nur digitale und virtuelle, sondern auch physische Aspekte mit ein.
  4. Prozessschritt: Wirksamkeit prüfen und Verbesserungen verwirklichenIm 4ten Prozessschritt müssen die beschlossenen und umgesetzten Vorkehrungen in einem kontinuierlichen Ablauf überwacht, geprüft wie auch optimiert werden. Werden im Zuge dessen Abweichungen vom Soll Zustand oder neue Risiken erkannt, so wird der vollständige Managementsystem-Prozess von Neuem durchlaufen.
Ein Fingerabdruck in blau, aus dem Datenströme rausgehen

Informationssicherheitsmanagementsysteme als Gewähr für hohe Informationssicherheit!

Der illegale Handel mit Informationen floriert. Kein Betrieb kann es sich heutzutage deshalb noch leisten, den Schutz von Informationen und Daten zu vernachlässigen. Durch die Nutzung eines Informationssicherheitsmanagementsystems können Unternehmen mit wirksamen Regularien, Methoden, Prozeduren und Tools sämtliche IT-Risiken mit Blick auf ihre Informationssicherheit und den Datenschutz verringern und adäquat auf Bedrohungsszenarien reagieren. 

Überdies fordert die Europäische Datenschutzgrundverordnung durch Art. 32 der EU-DSGVO Firmen dazu auf, ein dem Gefahrenpotential angemessenes Schutzniveau für personenbezogene Daten zu etablieren. Ansonsten können hohe Bußgelder ausgesprochen werden.

Allerdings muss man bedenken, dass ein Informationssicherheitsmanagementsystem kein ganzes Datenschutzsystem ersetzen, sondern nur um technische sowie organisatorische Maßnahmen gem. datenschutzrechtlichen Vorgaben ergänzen kann.

Demnach empfiehlt sich eine enge Kooperation zwischen dem Informationssicherheitsbeauftragten und dem Datenschutzbeauftragten, um eine hohe Informationssicherheit und einen hohen Datenschutz gewährleisten zu können.

Möchten auch Sie ein Informationssicherheitsmanagementsystem einsetzen? Oder haben Sie noch Fragen zu den Themenbereichen Informationssicherheit und Datenschutz? Gerne unterstützen wir Sie mit unserem Fachwissen. Kommen Sie gerne auf uns zu!

Das könnte Ihnen auch gefallen…