ISMS FAQ - Die 8 meist gestellten Fragen

1) Was ist ein Informationssicherheitsmanagementsystem (ISMS) und welche Unternehmensbereiche sind von dessen Einführung betroffen?

Mit Hilfe eines Informationssicherheitsmanagementsystems werden Verfahren und Regeln innerhalb eines Unternehmens definiert und protokolliert. Ziel der Implementierung eines ISMS ist es, die Informationssicherheit der Organisation dauerhaft zu gewährleisten. Aus diesem Grunde handelt es sich hierbei nicht um ein einmaliges Projekt, das an einem bestimmten Punkt seinen Abschluss findet. Vielmehr gilt es, die Unternehmensprozesse und –abläufe in einer Gesamtstrategie dauerhaft zu definieren, steuern und kontrollieren sowie kontinuierlich zu verbessern.

Dabei sind alle Mitarbeiter in das Regelwerk involviert: Das ISMS legt nachvollziehbar fest, mit welchen Instrumenten und Methoden das Management die Informationssicherheit des Unternehmens lenkt. Es muss darüber hinaus gewährleisten, dass jeder Mitarbeiter ausreichende Kenntnis über die Prozessabläufe besitzt und diese anwenden bzw. umsetzen kann.

Hilfestellung bei der Einführung und Aufrechterhaltung eines ISMS kann beispielsweise der IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben. Seit 2006 sind die IT-Grundschutzkataloge an die internationale Norm ISO/IEC 27001 angepasst.

2) Warum ist die Einführung eines ISMS für mein Unternehmen empfehlenswert?

Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) sind Unternehmen verpflichtet, die Umsetzung der Vorgaben bis zum Inkrafttreten am 25. Mai 2018 sicherzustellen. Die EU-DSGVO fordert, ein Managementsystem in Hinblick auf die Datensicherheit im Unternehmen zu etablieren und stellt damit Institutionen und Unternehmen jeglicher Größe und Branche vor einen deutlich höheren Regelungs- und Dokumentationsaufwand als bisher.

Da nahezu jede neue Vorgabe mit Bußgeldern belegt ist, sind Unternehmensverantwortliche gut beraten, die notwendigen Veränderungen zeitnah umzusetzen. Um den gesetzlichen Normen zu entsprechen, ist die Einführung eines ISMS sinnvoll und wird von unseren IT-Sicherheitsexperten empfohlen.

Mit der Einrichtung eines ISMS wird der Nachweis erbracht, dass geeignete Maßnahmen entsprechend des in der EU-DSGVO geforderten Schutzbedarfs der personenbezogenen Daten getroffen wurden und nicht unbemerkt relevante Sicherheitsdefizite entstehen können.

3) Welche Aufgaben hat die Managementebene von Unternehmen bei der Entscheidung für ein ISMS?

Grundsätzlich ist das Management eines Unternehmens dafür verantwortlich, dass gesetzliche Richtlinien, so auch die Umsetzung der EU-Datenschutz-Grundverordnung, eingehalten werden. Bei Verstößen kann die Unternehmensleitung haftbar gemacht werden. Vorstände größerer Kapitalgesellschaften sind beispielsweise durch das Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG) zu einem angemessenen Risikomanagement verpflichtet.

Die Gewährleistung der in der EU-DSGVO geforderten Regelungen zur Informationssicherheit ist damit „Chefsache“ und beinhaltet folgende Komponenten:

  • Eine Strategie zur Informationssicherheit (basierend auf den Unternehmenszielen) sowie die damit zu erreichenden Sicherheitsziele müssen verabschiedet und kommuniziert werden.
  • Risikobewertung: Auswirkungen von eintretenden Risiken auf die jeweiligen Geschäftsprozesse
  • Festlegen von organisatorischen Rahmenbedingungen, Zuständigkeiten und Befugnissen
  • Bereitstellung notwendiger Ressourcen
  • Regelmäßige Überprüfung der Sicherheitsstrategie (organisatorische IT-Sicherheitsüberprüfungen)
4) Bin ich bei der Implementierung eines ISMS an gesetzliche Vorgaben gebunden oder entscheide ich nach best practise? Ist es empfehlenswert, sich an gegebene Standards (ISO/BSI) zu halten?

Solange keine Zertifizierung angestrebt wird, ist das Unternehmen an keine Standards gebunden, das heißt, die Umsetzung eines ISMS kann ebenso gemäß best practice erfolgen. Unsere Empfehlung ist jedoch, sich an ISO 27001 (Internationaler Standard) bzw. den BSI Standard zu halten. In diesem Rahmen ist es auch möglich, sich zunächst auf die erforderlichen Komponenten in Hinblick auf die Erfüllung der Vorgaben der EU-DSGVO zu beschränken, anstatt direkt ein vollständiges und damit komplexes ISMS-Projekt zu realisieren. Dabei lässt sich die implementierte Management-Plattform später ohne Investitionsverlust zu einem dann auch vollständig zertifizierbaren ISMS ausbauen. Dieses kann dann ggf. über die rechtlichen Erfordernisse der EU-DSGVO  hinaus auch weitere wichtige Funktionen (gemäß individuellen Unternehmenszielen) in der Informationssicherheit abbilden.

5) Ist die Einführung eines ISMS mit hohen Investitionen verbunden?

Nein. Wählt man beispielsweise die rechtlichen Vorgaben des IT-Grundschutzes als Basis, wird mit der Realisierung der darin verankerten Regeln ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme erreicht. Das heißt, mit Hilfe durchdachter organisatorischer Regelungen können Unternehmen und Behörden ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme bereits ausreichend nachweisen. Letztendlich schützt sich das Unternehmen damit vor dem Zahlen von empfindlich hohen Bußgeldern, die im Falle der Nichtumsetzung der in der EU-DSGVO geforderten Normen fällig werden.

6) Wie kann Allgeier CORE mich bei der Implementierung eines ISMS unterstützen?

Ist die Entscheidung auf Managementebene gefallen, die Informationssicherheit in Ihrem Unternehmen zu verbessern, folgen Konzeption und Planung dieses Projekts durch die Projektverantwortlichen.

An dieser Stelle setzt die Beratungsleistung von Allgeier CORE an:

Im Rahmen eines Audits zur organisatorischen IT-Sicherheit findet zunächst eine Ist-Aufnahme der IT-Sicherheitsprozesse in Ihrem Unternehmen statt, innerhalb dessen beispielsweise folgende Fragen beantwortet werden:

  • Wie ist der aktuelle Stand Ihrer IT-Sicherheit zu bewerten?
  • Wie ist die derzeitige Sicherheitsstrategie Ihres Unternehmens zu bewerten?
  • Welcher Weg ist für Ihr Unternehmen empfehlenswert, um ein ISMS einzuführen?

Basierend auf den Ergebnissen des organisatorischen Sicherheitsaudits beraten Sie unsere IT-Sicherheitsexperten im Anschluss hinsichtlich der Gestaltung der weiteren Vorgehensweise.

Sinnvoll ist als nächster Schritt häufig die Erstellung und Implementierung eines IT-Sicherheitshandbuchs (Software-basierend). Durch die darin vorgegebenen Strukturen fällt es leichter, sich abteilungsübergreifend an die definierten IT-Sicherheitsprozesse zu halten und diese umzusetzen.

Diese Vorgehensweise ist sowohl für große Unternehmen als auch für KMUs (kleine und mittelständische Unternehmen) sinnvoll.

7) Bei welchen Unternehmensvorfällen finden die definierten ISMS-Prozesse beispielsweise ihre Anwendung?

Es gab sicherlich auch in Ihrem Unternehmen bereits Vorfälle, die die Datensicherheit in Ihren unternehmensinternen IT-Systemen gefährdet haben. Solche Vorfälle können beispielsweise folgende Auslöser haben:

  • Verlust von Daten durch elementare Grundgefahren wie Feuer, Wasser, Strom, Hagel
  • Missglückte Software-Updates
  • Veränderung von Daten (unabsichtlich oder absichtlich, z.B. durch Einschleusen von Ransomware)
  • Krankheitsbedingte Verzögerungen oder Ausfälle
  • Unbefugte Weitergabe von Daten an Dritte
  • Vorsätzliche Ausschleusung von Daten (z.B. durch Innentäterangriff)

Bei Eintritt solcher Szenarien gewährleistet ein bereits implementiertes und gelebtes ISMS, dass die Vorfälle umgehend registriert und entsprechende Maßnahmen zur Verhinderung bzw. Minimierung drohender Schäden von den definierten Verantwortlichen eingeleitet werden.

8) Wie lässt sich durch ein ISMS meine IT-Sicherheit in Bezug auf die oben genannten Szenarien sicherstellen?

Der BSI Standard 200-1 erläutert unter Zugrundelegung des Plan Do Control Act-Modells (PDCA) den Lebenszyklus eines IT-Sicherheitskonzeptes. Ganz gleich, welches Unternehmens-Szenario eintritt, auf Basis des PDCA-Modells wird der Arbeitsaufwand zur Bewältigung des Vorfalls deutlich reduziert sowie die Aussicht auf höchstmögliche Schadensabwehr maßgeblich gesteigert.

Die Gründe hierfür liegen darin, dass aus dem Modell geeignete Sicherheitsanforderungen sowie Sicherheitsmaßnahmen abgeleitet werden können:

Plan

Planung: Was ist das Bedrohungsszenario, wie ist es in Bezug auf die Gefährdung der Informationssicherheit einzustufen? Welche Maßnahmen müssen zur Abwehr dieses Vorfalls eingeleitet werden?

Do

Umsetzung der Planung: Welche Ressourcen sind betroffen und welche müssen ggf. zusätzlich implementiert werden? Welche notwendigen Maßnahmen zur Schadensabwehr müssen eingeleitet werden? Auf dieser Grundlage werden Verantwortlichkeiten zugeordnet, eine Notfallvorsorge aufgebaut und somit der Sicherheitsvorfall bearbeitet.

Check

Erfolgskontrolle/Überwachung der Zielerreichung: Wurde der Vorfall unter Zugrundelegung der eingesetzten Ressourcen und Maßnahmen angemessen und effizient bewältigt? Wurde drohender finanzieller Schaden und/oder Reputationsverlust durch die eingeleiteten Schritte abgewehrt?

Act

Optimierung und Verbesserung: Im letzten Schritt gilt es, erkannte Mängel und Schwächen innerhalb der Vorfallbewältigung zu beseitigen bzw. anzupassen. Der Findungsprozess, der durch das PDCA-Modell abgebildet wird, unterliegt einer fortlaufenden Optimierung.

Mit dieser Modellvorstellung können sowohl einzelne Komponenten (z.B. das Sicherheitskonzept, das bei einem erfolgreichen Cyberangriff auf das Unternehmen in Kraft tritt), aber auch der gesamte Sicherheitsprozess des Unternehmens abgebildet werden.