Informationssicherheit - Überblick
Stichworte
Cybersecurity, IT-Security, Information Security,
ISMS, ISO 27001, IT-Grundschutz BSI 200-x, ISIS12, CISO, ISM, ISM, ISB
Worum geht es
Informationen sind wesentliche Unternehmenswerte und liegen in
digitaler Form als Daten in ihren IT-Systemen sowie in analoger Form
als Papierdokumente, Wissen der Mitabeiter, Prozessen, Standorte
oder änliches in ihrem Unternehmen vor.
Werden diese Unternehmenswerte entwendet, verfälscht, vernichtet,
sind über eine kritische Zeit hinaus nicht nutzbar oder einfach den
falschen Personen zugänglich gemacht worden, kann ein großer und
gegebenenfalls kritischer Schaden entstehen, ein Schaden der
Unternehmenswerte.
Diese Werte zu schützen ist Inhalt der Informationssicherheit.
Im Rahmen des Informationssicherheitsmanagements werden alle
Maßnahmen dazu organisiert sowie durchgeführt und durch ein ISMS
unterstützt, das insbesondere zur Dokumentation, dem
kontinuierlichen Verbessern der Informationssicherheit sowie als
Ausgangspunkt von Audits dient.
Begriffe
Cybersecurity: Der Schwerpunkt der Cybersecurity liegt auf digitalen
Informationen und dem Schutz dieser Informationen gegenüber dem
ungewollten Zugriff aus dem Internet.
IT-Sichrheit: Dies ist ein älterer Begriff der primär die IT in das
Zentrum der Sicherheitsbetrachtung gestellt hat und heute als
Synonym für Informationssicherheit genutzt wird.
Informationssicherheit: Der derzeit übergreifende Begriff für alle
Belange und Bereiche Informationen d.h. Unternehmenswerte zu
schützen. Es steht nicht nur primär die IT und digitale Verarbeitung von
Daten im Focus, sondern alle schützeneswerten Informationen eines
Unternehmens.
Daher wird „Informationssicherheit“ als Begriff für die Sicherheit
sämtlicher Unternehmenswerte genutzt.
Alles Synonyme: Grundsätzlich können all diese Begriffe als
Synonyme verwendet werden, denn auch wenn die verwendenten
Begriffe den Focus eingegrenzen, ist dennoch meist die gesamte
Menge an Unternehmenswerten betroffen und lediglich der
Schwerpunkt veschoben.
Wer kümmert sich im Unternehmen darum
In der Regel gibt es eine Person oder ein Team von Personen,
die sich um die Informationssicherheit kümmern.
Diese Rolle wird meist Informationssicherheitsbeauftragter - bzw.
-manager (ISB oder ISM) oder englisch CISO (Chief Information Security
Officer) bzw. ISO (Information Security Officer) oder einfach
Informationssicherheitsmanagement genannt.
Diese Begriffe und Abkürzungen sind weder geschützt noch fest
definiert, so dass sie keine konkreten Verantwortlichkeiten
beschreiben, aber alle die Aufgabe teilen sollten, die Werte des
Unternehmens zu schützen.
Welche Standards zur Informatinssicherheit gibt es
Die Standards zur Einhaltung bestimmter Anforderungen an die
Informationssicherheit sind klar definiert und unterscheiden sich in
der Art des Vorgehens, der Detailtiefe der Vorgaben und in den
Mögllichkeiten, die sie bieten.
Neben der Erhöhung der Informationssicherheit haben diese
Standards auch das Ziel, die Bemühungen um die
Informationsicherheit bewertbar zu machen und bei Einhalten der
Standards ein Zertifizierung zu erreichen bzw. zu erneuern.
All dieser Standards setzen den Aufbau und die Etablierung eines
Informationsmanagementsystems (ISMS) voraus, das über festgelegte
Mechanismen, Dokumentationen, Prozesse und Prüfungen eine
Verbesserung des Sicherheitsniveaus des betrachteten
Unternehmensbereiches zum Zielt hat. Dabei muss für ein
Informationssicherheitsmanagementsystem keineswegs ein
bestimmtes Tool oder eine Datenbank eingesetzt werden. Es ist
grundsätzlich möglich, handschriftliche Dokumente, eine
Textverarbeitung oder eine Tabellenkalkulationstools zu verwenden.
Die Erfahrung hat allerdings gezeigt, dass sich angepasste
Dokumentenmanagementsysteme oder spezielle Tools/Systeme auf
Basis einer Datenbank für den Aufbau und Betrieb eines ISMS
wesentlich besser eignen und den Aufwand, die Qualität des
Informationssicherheitsmanagement sowie die Kosten im Rahmen zu
halten. Nicht zu vergessen ist das oft zweite ZIel, das mit der
Einführung eines ISMS vebunden ist:
Die Zertifizierung des betrachteten Unternehmens-bereiches nach
dem ausgewählten Standard.
Die Zertifierung erhält das Unternehmen durch Prüfung eines
entsprechenden Auditors über festgelegte Vorgaben und Prozesse.
Ein Auditor wird sich gleich zu Beginn das ISMS zeigen lassen. Wenn
kein geeignetes Tool eingesetzt wird, ist das Risiko, die Standards nicht
einzuhalten deutlich höher, da das Management der Informations-
sicherheit deutlich schwieriger ist. Daher wird der Auditor das ISMS als
solches in besonderen Augenschein nehmen und insbesondere auf
Aktualität, Nachvollziebarkeit und Vollständigkeit schauen, bevor er mit
der „eigentlichen“ Prüfung beginnt. Gegebenenfalls ist bereits zu
diesem Zeitpunkt das Audit beendet und eine Zertifizierung nicht
erreicht.
Auch wenn Sie derzeit keine Zertifizierung anstreben, sondern vorerst
nur für sich dem Thema Informationssicherheit mehr Aufmerksamkeit
schenken wollen, ist der Aufbau eines ISMS und als Basis ein
geeigneter Tooleinsatz anzuraten.
Ein Szenario, das man vermeiden sollte
Sie investieren Zeit und Geld in das Thema Informationssicherheit, zb.
weil es einen konkreten Sicherheitsvorfall gab, der sich nicht
wiederholen soll. Ihre Investition trägt Früchte.
Sie werden festsellen, dass sich das Thema Informationssicherheits-
management als Steuerungsmechanismus der Sicherheit allgemein
sehr gut eignet und fordern Berichte zum Thema an. Im nächsten
Schritt bemerken Sie, dass sich das Thema auch zur Bewertung und
Steurerung von Risiken eignet und beschließen, dass das Informations-
management ein wichtiger Managementprozess ist und als solcher
einen festen Platz im obersten Management haben muss. Parallel
hierzu wird klar, dass der Mehrwert nicht nur für den bisher
betrachteten Unternehmensbereich relevant ist, sondern für die
meisten Unternehmensbereiche sinnvoll ist und ggf. auch noch die
hohen Prämien für die z.B. eine Cyberversicherung reduzieren hilft.
Bis zu diesem Zeitpunkt wurde aus dem einfachen ISMS auf
Einzeldokumentenbasis ein richtiges ISM-System. Bis dahin wurde das
ISMS jedoch bereits 2 bis 4 mal neu aufgebaut.
Wichtige zertifizierungsfähige Standards zur
Informationssicherheit
ISO 27001
Aufbau, Ablauf und Schwerpunkte
Die ISO 2700x ist ein internationaler Standard und entsprechend
wird dieser Standard in internationalen Kontext häufig eingesetzt.
Den Kern der ISO 2700x bildet das Risikomanagement.
Das Vorgehen ist Top-Down orientiert, d.h. es wird vom Groben
ausgegangen und weiter verfeinert. Der Standard ISO 2700x ist auf
relativ wenigen Seiten beschrieben, gibt kein festes Vorgehen vor
und bietet dem Unternehmen viel Freiraum dafür aber weniger
Handlungsempfehlungen und detailierte Umsetzungshilfen
Zertifizierung
Die ISO 27001 bietet eine international gültige Zertifizierung
Was spricht dafür:
Internationalität und breite Akzeptanz
Was spricht dagegen:
Gegen den Einsatz der ISO 2700x spricht nichts viel; alledings sollte
sich das jeweilige Unternehmen klar darüber sein, dass der Aufbau
und der Betrieb viel Aufwand bedeutet und eine Zertifizierung und
Rezertifizierung kontinuierlichen Aufwand erzeugt. Daher ist die
Ermittlung des richtigen Scope (Unternehmensbereich auf den der
Standard angewendet werden soll.) von großer Bedeutung.
Für wen ist die ISO 2700x geeignet
International agierende Unternehmen, die sich in der
kontinuierlichen Verbesserung ihrer Informationssicherheit
engagieren möchten oder als Zulieferer oder Dienstleister eine
Zertifizierung nach ISO 27001 benötigen und entsprechende
Ressourcen in diese Thema stecken können.
BSI 200-x / IT-Grundschutz
Aufbau, Ablauf und Schwerpunkte
Der BSI Standard 200-x (IT-Grundschutz) ist ein nationaler Standard
der primär im deutschsprachigen Raum und Behördenumfeld
eingesetzt wird. Der Kern des BSI 200-x bildet heute ein festes
Vorgehensmodell entlang der Unternehmensprozese (in der
älteren Version 100-x war der Standard stark auf Behördenstand-
orten ausgelegt, der Kern lag auf dem Aufbau von Standorten
räumlich von außen nach innen). Mit der Version 200-x ist der
Standard deutlich schlanker und handhabbarer geworden.
BSI 200-x füllt mehr als 800 Seiten und ein Kompendium.
Der Ansatz des Standards ist ein Bottom-Up-Vorgehen, d.h. zu
Beginn werden sehr viele Details (Sturkturanalyse) aufgenommen
und danach zu Gruppen zusammengefasst.
Zertifizierung
Der Standard bietet eine Zertifizierung nach BSI, die auch
ausschließlch vom BSI vergeben wird.
Außerdem bietet der Standard eine Zertifizierung nach ISO 27001
auf Basis des IT-Grundschutz.
Was spricht dafür
Der BSI 200-x ist ein Standard mit klarem Vorgehensmodell und
eher festen Strukturen, jedoch bietet dieser Standard ein paar
durchaus positive Eigenschafen wie
- mehrere Vorgehensmodelle in einem Standard
- zwei Zertifizierungsmöglicheiten
- ein auch für andere Standards nützliches Kompendium und für
Standardsoftware vorgefertigte Module und Maßnahmenbündel,
die eine eigene Risikoanalyse überflüssig machen können.
Was spricht dagegen
Dem IT-Grundschutz wird nachgesagt, dass er sehr viel
Dokumentations- und Implementierungs aufwand verursacht und
etwas starr sei. (Dies ist sicher nicht von der Hand zu weisen, dem
steht jedoch eine große und ggf. nützliche Detailtiefe und
Angriffspunkte für Maßnahmen entgegen und auch die
Toolunterstützung entschärft diesen ggf. ersten Eindruck).
Für wen ist die BSI 200-x (IT-Grundschutz) geeignet
Das Vorgehen des Standard verlangt ein sehr strukturiertes
Vorgehen, das jedoch durch ein klares Vorgehensmodell gestützt
wird. Die Bereitschaft dazu sollte vom jeweiligen Unternehmen
daher auch vorhanden sein.
ISIS12 „ISMS in 12-Schritten“
Aufbau, Ablauf und Schwerpunkte
Die ISIS12 hat zum Ziel einen gegenüber der ISO 27001 und BSI
200-x leichtgewichtigeren Ansatz zu verolgen, eine feste
Vorgehensweise in 12 Schritten zu bieten und dennoch eine
ausreichende Detailtiefe zu erreichen.
Die Methodik wird von einem explizit für die ISIS12 entwickeltem
Tool begleitet.
Zertifizierung
Eine Zertifizierung nach ISIS12 ist ebenfalls möglich.
Was spricht dafür
DIe ISIS12 ist ein stark methodisch geprägter Standard, der
einerseits eine gute Führung in der Umsetzung und Anwendung
bietet, durch dieses eher starre Vorgehen jedoch nicht für jeden
Unternehmentyp und jede Unternehmensgröße geeignet sein
dürfte.
Was spricht dagegen
Für wen geeignet
Die ISIS12 ist insbesondere für weniger große Unternehmen
geeignet, die mit wenigen Ressourcen ein ISMS aufbauen wollen.
Bisher war die ISIS12 gerne als eine kleine Variante des IT-
Grundschutz angesehen und entsprechend gerne in der
komunalen Verwaltung eingesetzt, allerdings steht die Nähe zum
IT-Grundschutz nicht mehr so sehr im Fokus der aktuellen Version
des Standards.
VDA - Branchenspezifischer Standard der Automobilbranche
und weitere Standards zur Informationssicherheit folgen.
Informationssicherheitsbeauftragter / -verantwortlicher
( ISB / CISO )
Aufbau und Betrieb des Informationssicherheitsmanagements
exercitation in consequat ad sint in et ea excepteur dolore in officia:
Amet cillum, dolore aute nulla irure ut tempor, cillum nulla culpa.
Betrieb der Informationssicherheit
Elit culpa, id sed culpa anim cupidatat officia nulla ipsum sit irure et
dolore ex proident nisi. In minim aute sit ut mollit tempor voluptate
esse id amet consectetur aute incididunt minim proident sed ad
fugiat. In, officia consectetur. Ut sint adipisicing. Cupidatat do ad
quis occaecat qui eiusmod irure, occaecat cupidatat, quis, minim
reprehenderit enim ea eu. Excepteur magna quis deserunt.