Informationssicherheit

Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dadurch lassen sich Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation schützen. Die Informationen selbst können in unterschiedlichen Formen vorliegen und auf verschiedenen Systemen gespeichert sein. Informationen sind nicht auf digitale Daten beschränkt. Bei den speichernden oder aufnehmenden Systemen muss es sich nicht grundsätzlich um IT-Komponenten handeln. Es können sowohl technische als auch nicht-technische Systeme sein. Ziel ist es, vor Gefahren und Bedrohungen zu schützen und wirtschaftliche Schäden zu verhindern.

Die Vertraulichkeit von Informationen besagt, dass nur autorisierte User Zugriff auf für sie bestimmte Informationen erhalten, um diese zu lesen, zu verarbeiten oder zu verändern. Durch die Integrität wird unbemerktes Verändern von Informationen verhindert. Sämtliche Veränderungen sind nachvollziehbar zu gestalten. Die Sicherstellung der Verfügbarkeit schließlich ermöglicht den Zugriff auf die Informationen in zugesicherter Art und Weise und verhindert Ausfälle von Systemen. Die Sicherheit der Informationen lässt sich durch zahlreiche Maßnahmen erreichen. Sie sind Teil eines Sicherheitskonzeptes und umfassen sowohl technische als auch organisatorische Maßnahmen.

Im Rahmen der Informationssicherheit sollten jedoch nicht nur vorsätzlich begangene Handlungen, wie Schadsoftware, Abhören oder Diebstahl, betrachtet werden. Auch andere Gründe gefährden die Sicherheit von Informationen. Hierzu zählen z. B.:

  • Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden Datenträger und IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum versperrt. Dokumente, IT-Systeme oder Dienste stehen nicht mehr wie gewünscht zur Verfügung.
  • Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten werden unbemerkt verändert.
  • Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind.
  • Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als „vertraulich“ gekennzeichnet waren.

Eine nachweisbare und gelebte Informationssicherheit ist mittlerweile bei vielen Unternehmen Voraussetzung für die Auftragsvergabe.

Informationssicherheits-Managementsystem (ISMS)

Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung einer Institution sorgen und letztlich zur Zielerreichung führen sollen. Der Teil des Managementsystems, der sich mit der Informationssicherheit beschäftigt, wird als Informationssicherheitsmanaementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert). Zu einem ISMS gehören, nach dem BSI-Standard 200-1, folgende grundlegende Komponenten:

ISMS

Managementprinzipien

Mit Informationssicherheitsmanagement oder kurz IS-Management wird die Planungs- und Lenkungsaufgabe bezeichnet, die zum sinnvollen Aufbau, zur praktischen Umsetzbarkeit und zur Sicherstellung der Effektivität eines durchdachten und planmäßigen Sicherheitsprozesses sowie aller dafür erforderlichen Sicherheitsmaßnahmen erforderlich ist. Dieses umfasst auch die Erfüllung und Einhaltung von gesetzlichen und regulatorischen Anforderungen. Zu den Aufgaben und Pflichten des Managements gehören beispielsweise unter anderem: Übernahme der Gesamtverantwortung, Informationssicherheit initiieren, steuern und kontrollieren, Informationssicherheit integrieren, erreichbare Ziele setzen, Vorbildfunktion, Kommunikation und Vermittlung von Wissen, Erfolgskontrolle.

Ressourcen

Die Einhaltung eines bestimmten Sicherheitsniveaus erfordert stets finanzielle, personelle und zeitliche Ressourcen, die von der Leitungsebene ausreichend bereitgestellt werden müssen. Wenn die Zielvorgaben aufgrund fehlender Ressourcen nicht erfüllt werden können, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die erforderlichen Ressourcen nicht zur Verfügung gestellt haben. Um die gesteckten Ziele nicht zu verfehlen, ist es wichtig, schon bei deren Festlegung eine erste Kosten-Nutzen-Schätzung durchzuführen. Im Laufe des Sicherheitsprozesses sollte dieser Aspekt weiterhin eine entscheidende Rolle spielen, einerseits, um keine Ressourcen zu verschwenden, und andererseits, um die notwendigen Investitionen zur Erreichung des angemessenen Sicherheitsniveaus gewährleisten zu können.

Oft werden mit der IT Sicherheit ausschließlich technische Lösungen assoziiert. Diese Sichtweise greift jedoch zu kurz. Vor allem erscheint es aber wichtig, darauf hinzuweisen, dass Investitionen in personelle Ressourcen häufig effektiver sind als Investitionen in Sicherheitstechnik. Technik alleine löst somit keine Probleme, sie muss immer in organisatorische Rahmenbedingungen eingebunden sein. 

Mitarbeiter

Die Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter. Jeder Einzelne kann durch ein verantwortungs- und qualitätsbewusstes Handeln Schäden vermeiden und zum Erfolg beitragen. Eine Sensibilisierung für Informationssicherheit und entsprechende Schulungen der Mitarbeiter sowie aller Führungskräfte sind daher eine Grundvoraussetzung für Informationssicherheit. Um Sicherheitsmaßnahmen wie geplant umsetzen zu können, müssen bei den Mitarbeitern die erforderlichen Grundlagen vorhanden sein. Dazu gehört neben den Kenntnissen, wie Sicherheitsmechanismen bedient werden müssen, auch das Wissen über den Sinn und Zweck von Sicherheitsmaßnahmen. Auch das Arbeitsklima, gemeinsame Wertvorstellungen und das Engagement der Mitarbeiter beeinflussen die Informationssicherheit entscheidend.

Werden Mitarbeiter neu eingestellt oder erhalten sie neue Aufgaben, ist eine gründliche Einarbeitung und gegebenenfalls Ausbildung notwendig. Die Vermittlung sicherheitsrelevanter Aspekte des jeweiligen Arbeitsplatzes muss dabei berücksichtigt werden. Wenn Mitarbeiter die Institution verlassen oder sich ihre Zuständigkeiten verändern, muss dieser Prozess durch geeignete Sicherheitsmaßnahmen begleitet werden (z. B. Entzug von Berechtigungen, Rückgabe von Schlüsseln und Ausweisen).

Mitarbeiter müssen zur Einhaltung aller im jeweiligen Umfeld relevanten Gesetze, Vorschriften und Regelungen verpflichtet werden. Dazu ist es natürlich erforderlich, sie mit den bestehenden Regelungen zur Informationssicherheit vertraut zu machen und die gleichzeitig zu deren Einhaltung zu motivieren. Des Weiteren sollten die Mitarbeiter wissen, dass jeder erkannte (oder vermutete) Sicherheitsvorfall dem Sicherheitsmanagement unmittelbar gemeldet werden muss und wie und an wen die Meldung zu erfolgen hat.

Sicherheitsprozess

Die Leitungsebene muss die Sicherheitsziele in Kenntnis aller relevanten Rahmenbedingungen, der Umfeldanalyse und basierend auf den Geschäftszielen des Unternehmens die Voraussetzungen für deren Umsetzung schaffen. Mit einer Sicherheitsstrategie wird das Vorgehen geplant, um einen kontinuierlichen Sicherheitsprozess zu etablieren. Umgesetzt wird die Strategie mithilfe eines Sicherheitskonzepts und einer Sicherheitsorganisation.

Der Sicherheitsprozess unterteilt sich in verschiedene Bereiche mit unterschiedlichen Tätigkeiten, welche wir Ihnen kurz stichpunktartig aufzeigen möchten. Die Liste ist nicht abschließend.

  • Ermittlung von Rahmenbedingungen
  • Formulierung von Sicherheitszielen und einer Leitlinie zur Informationssicherheit
  • Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse
  • Festlegung des Geltungsbereichs

  • Übernahm der Gesamtverantwortung durch die Leitungsebene
  • Ernennung eines Informationssicherheitsbeauftragten (ISB)
  • Jeder Mitarbeiter ist für die Aufrechterhaltung der Informationssicherheit an seinem Arbeitsplatz verantwortlich

  • Auswahl einer Methode zur Risikoanalyse
  • Klassifikation von Risiken bzw. Schäden
  • Risikoanalyse
  • Entwicklung einer Strategie zur Behandlung von Risiken
  • Auswahl von Sicherheitsmaßnahmen

  • Umsetzung der Sicherheitsmaßnahmen
  • Steuerung und Kontrolle der Umsetzung
  • Detektion von Sicherheitsvorfällen im laufenden Betrieb
  • Überprüfung der Einhaltung von Vorgaben
  • Managementbewertungen

Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems. Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt.

DIN ISO/IEC 27001

Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen und ein ISMS aufzubauen und einzuführen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme. Organisationen können sich nach ISO 27001 zertifizieren lassen und dadurch die Umsetzung und Einhaltung der geltenden Normen zur Informationssicherheit und IT-Sicherheit dokumentieren. ISO 27001 hat sich weltweit als Standard etabliert und ist eine der bekanntesten Normen für Informationssicherheit. 

Die zuvor genannten Themen der Informationssicherheit können auf Grundlage der in der Norm beschriebenen Methoden aufgebaut werden. Auch die von Bundesamt für Sicherheit in der Informationstechnik veröffentlichten IT-Grundschutz-Kataloge sind an diese Norm angepasst.

Eine Zertifizierung nach ISO 27001 verfolgt das Ziel das ISMS in einen Lebenszyklus einzubetten. Hierzu wird der sogenannte PDCA-Zyklus verwendet. Er ist ein integraler Bestandteil eines jeden Managementssystems.

PDCA-Zyklus

Die SICON bietet Ihnen im Rahmen der Informationssicherheit unter anderem folgende Leistungen an:

  • Planung und Aufbau eines ISMS
  • Umsetzung von Maßnahmen zu IT- und Datensicherheit
  • Schulung und Sensibilisierung Ihrer Mitarbeiter
  • Durchführung von Audits Ihrer Lieferanten
  • Vorbereitung auf eine Zertifizierung nach ISO 27001
  • Begleitung während der Zertifizierung
  • IST-Analyse der IT-Umgebung
  • Erstellung einer IT- und Datensicherheitsrichtlinie
  • Bereitstellung des Informationssicherheitsbeauftragten
  • und weitere

Antworten zu den häufigsten Fragen zur DIN EN ISO/IEC 27001:2017 haben wir Ihnen in einer Übersicht zusammengestellt

Gerne informieren wir Sie kostenfrei

06831 - 122 411
info@sicon-it.de

Nach oben scrollen
error: Der Inhalt ist geschützt