Information-Security-Management-System

Risikoorientierte Sicherheit nach Plan

Vorbei sind die Zeiten, in denen IT Security bedeutete, einzelne Insellösungen wie Virenscanner oder Firewalls zu installieren und sporadisch auf Schutz zu achten. Für ein risikoorientiertes Vorgehen eignet sich ein Information-Security-Management-System (ISMS).

Risikoorientierte Sicherheit nach Plan

Mit der richtigen Abwehrstrategie haben Angreifer keine Chance.

Ein Management-System für die Informationssicherheit hat zum Ziel, die organisatorische und technische Sicherheitsarchitektur im Unternehmen zu stärken. Dafür definiert das Security-Konzept alle notwendigen Maßnahmen, Richtlinien, Tools und Prozesse. Konsequent umgesetzt kann ein ISMS helfen, in sämtlichen Abteilungen und auf allen Ebenen ein höheres Sicherheitsniveau zu erreichen und dieses auch langfristig zu verbessern. 

Angesichts der wachsenden Cyberbedrohungen denken immer mehr Unternehmen darüber nach, ihre Abwehr zu professionalisieren und ein entsprechendes Management-System einzuführen. Doch gesteigerte Security-Maßnahmen sind nicht immer nur eine reine Willensentscheidung. So haben es sich Gesetzgeber und Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Aufgabe gemacht, Standards für die Sicherheit zu etablieren und deren Einhaltung vorzuschreiben.

Besonders Unternehmen im KRITIS-Umfeld und aus dem Finanzdienstleistungssektor unterliegen deshalb hohen regulatorischen Anforderungen. Doch auch andere mittelständische Unternehmen, Konzerne sowie Behörden können mit einem ISMS einen hohen Standard ihrer Informationssicherheit etablieren. Hilfestellung bietet hier beispielsweise das IT-Grundschutz-Kompendium des BSI. Es stellt ein Konzept für die Einführung, Umsetzung und Aufrechterhaltung des Management-Systems dar. Darüber hinaus besteht auch die Option, das eigene Informationssicherheits-Management bis zur Zertifizierungsreife zu optimieren. International anerkannte Normen wie ISO 27001 und ISO 27002 bestätigen dann nach der Auditierung den hohen Grad der IT-Sicherheit.

Grundlegende Fragestellungen

Das Betreiben eines Management-Systems für Informationssicherheit ist ein flexibler Prozess. Dennoch gibt es bei der Einführung zentrale Vorgehensweisen, an denen sich jedes Unternehmen orientieren kann. Im ersten Schritt gilt es, ein Soll-Konzept zu erarbeiten und die Anwendungsbereiche des ISMS genau festzulegen: Welche Abteilungen und Geschäftstätigkeiten sollen geschützt werden? Gelten die Maßnahmen für weitere Standorte? Welche Daten sind abzusichern?

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Im Anschluss folgt die Risikobewertung. Hierbei wird der aktuelle Stand der Informationssicherheit bestimmt und untersucht, wie wirksam bestehende Sicherheitsmaßnahmen umgesetzt sind. Dies hilft zu identifizieren, wo Risikopotenziale liegen. Die Verantwortlichen des Projekts müssen dann die Wahrscheinlichkeit eines Szenarios einschätzen, die jeweiligen Folgen im Hinblick auf Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit einordnen und die Tolerierbarkeit definieren. Auf Basis der erkannten Mängel lassen sich dann entsprechende Gegenmaßnahmen planen und im Informationssicherheits-Management umsetzen.

Stärkung der Geschäftsbeziehungen

Ein Management-System einzuführen, hat für Unternehmen viele Vorteile, so wird etwa die Informationssicherheit gegenüber Kunden strukturiert dargestellt. Darüber hinaus stellt ein ISMS ein unternehmensweites Sicherheitsniveau her, ohne dass einzelne Bereiche oder IT-Geräte „vergessen“ werden. Es erhöht den Schutz vor Angriffen, macht Risiken transparent und unterstützt bei der Einhaltung von Gesetzen, Vorgaben und Normen. Nicht zuletzt werden auch Geschäftsbeziehungen werden gestärkt: Konzerne lehnen immer häufiger Zulieferer und Partnerunternehmen ab, die kein zertifiziertes ISMS vorweisen können.

Dennoch ist die korrekte Umsetzung eines Informationssicherheits-Managements nicht ganz trivial, besonders wenn sie rechtlich gefordert ist oder wenn eine Realisierung bis hin zur Zertifizierungsreife nach ISO-Normen angestrebt wird. Gerade bei solchen Projekten ist es ratsam, externe Spezialisten hinzuzuziehen. So bietet beispielsweise Fernao Networks mit der Dienstleistung „Information Security Consulting“ aktive Unterstützung bei der Einführung und Umsetzung eines ISMS und begleitet Unternehmen auch bis zur ISO-Zertifizierung. 

Bildquelle: Michael Schober

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok