Information Security Management: Mit Information Security sowie Datenschutz erfolgversprechende Synergieeffekte erreichen!

Der digitale Wandel ist in vollem Gange.

Doch, die immensen Nutzen einer zunehmend digitalisierten, vernetzten und mobilen Businesswelt haben auch negative Effekte: Hackerattacken, Datenklau sowie Verschlüsselungsversuche nehmen beständig zu und stellen insofern eine ernstzunehmende Gefahr für die Informationssicherheit und den Datenschutz von Firmen dar.

Infolgedessen sollte die Einführung eines gut abgestimmten Informationssicherheitsmanagementsystems in den Fokus rücken.

Denn als zentraler Teil einer kompletten Sicherheitskonzeption bestimmt ein Informationssicherheitsmanagementsystem Regularien, Prozeduren und Schritte, mit denen Firmen sowohl ihre Informationssicherheit als auch den Datenschutz kontrollieren, regulieren, garantieren ebenso wie verbessern können.

Die Arbeitswelt ist im Wandel – und wird in gesteigertem Maß von hochtechnischen Geschäftsprozessen, plattformbasierten Geschäftsmodellen, „intelligenten“ Geräten und Betriebsanlagen wie auch vernetzten IT-Systemen und Software Applikationen beeinflusst.

Jedoch birgt die vermehrt digitalisierte, vernetzte und flexiblere Businesswelt große Bedrohungen: Seit Jahren vergrößert sich die Zahl gezielter Internetattacken auf Firmen fast jeder Größe und Industriebranche.

Allein im Kalenderjahr 2020 wurden gemäß dem Bundeslagebild Cybercrime 2020 des BKA 108.000 Delikte im virtuellen Sektor registriert, wobei von einer hohen Dunkelziffer durch nicht erkannte ebenso wie nicht gemeldete Angriffe auszugehen ist. Besonders oft wurden gemäß dem Bundeskriminalamt Erpressungstrojaner- und DDoS-Angriffe sowie die Entwendung digitaler Identitäten registriert.

Im Angesicht der steigenden Cyberkriminalität sollte die Einführung eines gut abgestimmten Informationssicherheitsmanagementsystem, kurz ISMS, in den Fokus genommen werden.

Denn als grundlegender Baustein einer vollständigen Security-Strategie zielt ein Information Security Management System darauf ab, die IT-Gefahren der gegenwärtigen Zeit mit wirksamen Regularien, Methoden, Prozessen sowie Werkzeugen kontrollierbar zu machen und dabei die Informationssicherheit sowie den Datenschutz permanent zu sichern.

Kronjuwelen schützen!

Informationen bilden seit jeher den Grundstein für den betrieblichen wie auch persönlichen Erfolg. Ob technologisches Knowhow, Informationen über die Zielgruppe oder Produktions- und Herstellungsverfahren – ohne Informationen kann ein Unternehmen weder eine fundiert abgewogene Entscheidung treffen noch Wettbewerbsvorteile gegenüber der Konkurrenz erzielen. Deshalb stellen Informationen nützliche Vermögenswerte dar, die mit adäquaten IT-Sicherheitsmaßnahmen abgesichert werden sollten.

Während der Datenschutz im Sinne der Europäischen Datenschutzgrundverordnung  den Schutz personenbezogener Daten ebenso wie primär den Schutz der informationellen Selbstbestimmung zum Gegenstand hat, geht es in der Informationssicherheit um die das Wahren des Schutzes von Informationen, Daten und Systemen.
Entsprechend befasst sich die Informationssicherheit mit allen technischen und organisatorischen Vorkehrungen zur Sicherstellung von Vertraulichkeit, Nutzbarkeit, Integrität und mitunter von Echtheit und Verbindlichkeit jedweder schützenswerten Informationen in einem Unternehmen. Hierbei ist es nicht wichtig, ob sich diese Informationen digital auf einem Server, analog auf einem Geschäftspapier oder in einem „Kopf“ befinden. Zur Informationssicherheit zählt damit ebenso die Datensicherheit: Also der Schutz von jedweden Daten, auch denen, welche keinerlei Bezug zu persönlichen Daten gemäß der Europäischen Datenschutzgrundverordnung haben.
In der BRD orientiert sich die Informationssicherheit primär nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. In Kombination mit den internationalen Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet er Unternehmungen einen strukturierten und systematischen Ansatz für den Aufbau und die Implementierung eines Information Security Management Systems.
Informationsschutz mit System
Ein Information Security Management System ist einfach formuliert ein Managementsystem für die Informationssicherheit. Vermittels der Umsetzung eines Informationssicherheitmanagementsystems auf Grundlage des IT-Grundschutzs oder den internat. Richtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollprozesse definiert, um die Informationssicherheit in einem Geschäftsbetrieb beständig zu gewährleisten.
Das wichtigste Ziel eines Informationssicherheitsmanagementsystems ist es, potentielle Gefahren bezüglich der Informationssicherheit zu erkennen, analysieren und zu minimieren ebenso wie hierdurch für ein adäquates Schutzniveau von Informationen innerhalb eines Geschäftsbetriebes zu sorgen. Das Managementsystem bildet folglich die Voraussetzung für eine systematische Realisierung von Informationssicherheit innerhalb eines Unternehmens.
Aus Sicht des Datenschutzes ist es essenziell, dass ein Informationssicherheitsmanagementsystem alle schutzwürdigen Informationen in einem Betrieb schützt, ganz gleich, ob es sich um persönliche Daten handelt oder nicht.
In wenigen Steps zu mehr Sicherheit!
Die effiziente und effektive Verwirklichung eines solchen Managementsystems ist ein sehr vielschichtiger Vorgang. In der Regel wird die Einführung in diverse Steps aufgegliedert. Die nachfolgenden Steps sollten dabei berücksichtigt werden:

1. Prozessschritt: Zieldefinition und Leistungsumfang festlegen
   Im ersten Schritt müssen die Ziele des Systems festgelegt werden. Hier solten sowohl die Bereiche der Anwendungen als auch Limitierungen des Managementsystems klar geregelt werden. Parallel sollte klar bezeichnet werden, was das Informationssicherheitsmanagementsystem gewährleisten soll bzw. welche Werte und Informationen des Betriebes geschützt werden sollen.
2. Prozessschritt: Gefahren identifizieren sowie kategorisieren
   Im 2ten Step muss eine umfangreiche Analyse der Einsatzbereiche durchgeführt werden. Dabei muss der aktuelle Stand der Informationssicherheit ermittelt werden, um mögliche Risiken zu identifizieren und einzuordnen. Für die Evaluation der Risiken können verschiedene Methoden gewählt werden. Die primären Kriterien sind eine klare Übersicht, welche Konsequenzen und Folgen die jeweiligen Risiken und Gefahren haben können und eine Bewertung ihrer Wahrscheinlichkeit.
3. Prozessschritt: Auswahl und Implementierung der Gegenmaßnahmen
   Im dritten Schritt werden auf Basis der Risikobewertung Maßnahmen ausgearbeitet, die die Verringerung von Risikoszenarien zum Gegenstand haben und so eine angemessene Antwort auf Sicherheitsvorfälle zulassen. Diese sind dann gültig für alle Sektoren und Abteilungen des Geschäftsbetriebes und schließen nicht nur digitale und virtuelle, sondern auch analoge Angelegenheiten mit ein.
4. Prozessschritt: Leistungsfähigkeit prüfen und Optimierungen verwirklichen
   Im 4ten Step sollten die beschlossenen und implementierten Maßnahmen in einem fortlaufenden Ablauf beobachtet, überprüft sowie weiter abgestimmt werden. Werden in diesem Zusammenhang Abweichungen vom Soll Zustand oder weitere Risiken und Gefahren erkannt, so wird der gesamte Information Security-Prozess erneut gestartet.
   Informationssicherheitsmanagementsysteme als Gewähr für höchste Informationssicherheit!
   Der illegale Handel mit Informationen boomt. Kein Geschäftsbetrieb kann es sich heutzutage daher noch leisten, den Schutz von Informationen und Daten zu vernachlässigen. Durch die Einführung eines Informationssicherheitssystems können Firmen mit effektiven Regularien, Herangehensweisen, Prozeduren und Tools sämtliche IT-Risiken im Hinblick auf ihre Informationssicherheit und den Datenschutz reduzieren und adäquat auf Bedrohungssituationen reagieren.
   Überdies fordert die Europäische Datenschutzgrundverordnung mit Artikel 32 der EU-DSGVO Geschäftsbetriebe dazu auf, ein dem Gefahrenpotenzial angemessenes Sicherheitsniveau für persönliche Daten zu etablieren. Anderenfalls können hohe Strafen verhängt werden.
   Dabei sollte man berücksichtigen, dass ein Informationssicherheitsmanagementsystem kein komplettes Datenschutzmanagementsystem ersetzen, sondern nur um technische ebenso wie organisatorische Instrumente gem. datenschutzrechtlichen Bedingungen erweitern kann.
   Daher empfiehlt sich eine engmaschige Zusammenarbeit zwischen einem Informationssicherheitsbeauftragten und dem Datenschutzbeauftragten, um eine hohe Informationssicherheit und einen hohen Datenschutz gewährleisten zu können.

Möchten auch Sie ein Information Security Management System realisieren? Oder haben Sie noch Fragestellungen zu den Themenbereichen Informationssicherheit und Datenschutz? Gerne unterstützen wir Sie mit unserem Fach-Know-how bei der Einführung und dem Betrieb eines Informationssicherheitsmanagementsystem nach DIN EN ISO/IEC 27001, BSI IT-Grundschutz oder ISIS12. Sprechen Sie uns an.