Information Security Management: Mit Information Security sowie Datenschutz starke Synergiepotenziale erreichen!

Die Digitalisierung ist in vollem Gange.
Doch, die diversen Vorzüge einer fortschreitend digitalisierten, vernetzten und mobilen Geschäftswelt haben ihren Preis: Cyberattacken, Datenklau wie Erpressungstrojaner nehmen konstant zu und stellen insofern eine gravierende Bedrohung für die Informationssicherheit und den Datenschutz von Firmen dar.
Aus diesem Grund sollte die Implementierung eines gut geplanten Informationssicherheitsmanagementsystems in den Fokus genommen werden. Denn als wesentlicher Baustein einer erfolgversprechenden Sicherheitsstrategie bestimmt ein Informationssicherheitsmanagementsystem Regularien, Prozesse und Schritte, mit denen Firmen sowohl ihre Informationssicherheit als auch ihren Datenschutz überprüfen, regeln, sicherstellen sowie optimieren können.

Die Geschäftswelt befindet sich im Wandel – und wird in zunehmendem Maße von hochtechnischen Geschäftsabläufen, plattformbasierten Businesskonzepten, „intelligenten“ Maschinen und Anlagen wie vernetzten IT-Umgebungen sowie Anwendungen ausgemacht.

Allerdings birgt die zunehmend digitalisierte, online verbundene und ortsungebundene Businesswelt hohe Bedrohungen: Seit Längerem erhöht sich die Zahl gezielter Internetattacken auf Betriebe jedweder Größe und Industriebranche.

Nur im Kalenderjahr 2020 wurden zufolge dem Bundeslagebild Cybercrime 2020 des BKA 108.000 Delikte im virtuellen Sektor angezeigt, wobei von einer großen Dunkelzahl durch nicht aufgedeckte wie auch nicht gemeldete Angriffe auszugehen ist. Ausgesprochen oft wurden nach dem Bundeskriminalamt Erpressungstrojaner- ebenso wie Distributed Denial of Service-Angriffe ebenso wie die Entwendung digitaler Identitäten erfasst.

Im Angesicht der steigenden online Kriminalität sollte die Implementierung eines gut konzipierten Informationssicherheitsmanagementsystem, abgekürzt ISMS, in den Fokus genommen werden.

Denn als gewichtiger Gegenstand einer ganzheitlichen Sicherheitskonzeption zielt ein Informationssicherheitsmanagementsystem darauf ab, die IT-Gefahren der heutigen Zeit mit effektiven Regeln, Routinen, Prozessen wie Instrumenten kontrollierbar zu machen und damit die Informationssicherheit und den Datenschutz permanent zu gewährleisten.

Daten sind das neue Salz, aber Informationen sind das neue Gold!

Informationen bilden seit jeher die Vorbedingung für den wirtschaftlichen sowie individuellen Gewinn. Ob technisches Knowhow, Kundeninformationen oder Konstruktions- und Herstellungsverfahren – ohne passende Informationen kann ein Geschäft weder eine fundiert abgewogene Entscheidung treffen noch Vorteile ggü. dem Mitbewerb erreichen. Aus diesem Grund stellen Informationen wertvolle Vermögensgegenstände dar, die mit geeigneten IT-Securitymaßnahmen gesichert werden sollten.

Während der Datenschutz getreu der Europäischen Datenschutzgrundverordnung den Schutz personenbezogener Daten und im Besonderen die Wahrung der informationellen Selbstbestimmung zum Ziel hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen.
Korrespondierend beschäftigt sich die Informationssicherheit mit sämtlichen technologischen und unternehmensprozessualen Maßnahmen zur Gewährleistung von Vertraulichkeit, Nutzbarkeit, Unversehrtheit und mitunter von Authentizität und Verbindlichkeit aller schützenswerten Informationen in einem Unternehmen. Dabei ist es unbedeutend, ob sich solche Informationen digital auf einem System, analog auf einem Papier oder in einem „Kopf“ befinden. Zur Informationssicherheit gehört folglich ebenso die Datensicherheit: Also die Sicherheit von allen Daten, auch solchen, welche keinerlei Bezug zu personenbezogenen Daten gemäß der Europaweiten Datenschutzgrundverordnung haben.
Hierzulande richtet sich die Informationssicherheit im Regelfall nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Zusammen mit den länderübergreifenden Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet er Unternehmen einen strukturorientierten und planmäßigen Ansatz für den Aufbau und die Inbetriebnahme eines Information Security Management Systems.

Informationssicherheit mit System

Ein Informationssicherheitsmanagementsystem ist simpel gesagt ein System zum Management für die Informationssicherheit. Vermittels der Realisierung eines Informationssicherheitmanagementsystems auf Grundlage des IT-Grundschutzes oder den internat. Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollprozeduren festgelegt, um die Informationssicherheit in einem Unternehmen beständig zu sicher.
Das übergeordnete Ziel eines Informationssicherheitsmanagementsystems ist es, vorkommende Bedrohungen bzgl. der Informationssicherheit zu identifizieren, analysieren und zu vermindern sowie hierbei für ein adäquates Sicherheitsniveau von Informationen innerhalb eines Geschäftsbetriebes zu sorgen. Das Managementsystem bildet insofern die Basis für eine systematische Umsetzung von Informationssicherheit innerhalb eines Geschäftsbetriebes.
Aus Sicht des Datenschutzes ist es essenziell, dass ein Information Security Management System alle schutzwürdigen Informationen in einem Geschäftsbetrieb schützt, ganz gleich, ob es sich um persönliche Daten handelt oder nicht.

In wenigen Steps zu höherer Informationssicherheit!

Die effiziente und effektive Implementation eines Informationssicherheitsmanagementsystems ist ein sehr vielschichtiger Prozess. Grundlegend wird die Implementation in verschiedene Prozessschritte unterteilt. Die nachfolgenden Steps sollten dabei bedacht werden:

1. Prozessschritt: Zieldefinition und Festlegung des Soll-Zustandes
Im 1ten Prozessschritt müssen die Ziele des Systems festgelegt werden. Hier sollten sowohl die Bereiche der Anwendungen als auch Limitierungen des Systems präzise bestimmt werden. Parallel sollte klar bezeichnet werden, was das Managementsystem bewirken soll beziehungsweise welche Werte und Informationen des Betriebes abgesichert werden sollen.

2. Prozessschritt: Gefahren ausfindig machen sowie bewerten
Im zweiten Step sollte eine umfassende Prüfung der Anwendungsbereiche vorgenommen werden. Im Zuge dessen sollte der derzeitige Stand der Information Security ermittelt werden, um so denkbare Risiken und Gefahren zu erkennen und zu bewerten. Für die Beurteilung der Bedrohungen können unterschiedliche Verfahrensweisen benutzt werden. Die wesentlichen Faktoren sind eine klare Übersicht, welche Auswirkungen und Folgen die einzelnen Gefahren haben können und eine Bewertung ihrer Wahrscheinlichkeit.

3. Prozessschritt: Selektion und Realisierung der Maßnahmen
Im 3ten Schritt werden auf Grundlage der Risikoabwägung Strategien ausgearbeitet, welche die Reduzierung von Risikoszenarien zum Ziel haben und so die adäquate Antwort auf Sicherheitsvorfälle zulassen. Diese gelten für alle Sektoren und Teilbereiche des Betriebes und beziehen nicht nur digitale und virtuelle, sondern auch analoge Angelegenheiten mit ein.

4. Prozessschritt: Wirksamkeit prüfen und Verbesserungen realisieren
Im 4ten Prozessschritt sollten die definierten und umgesetzten Strategien in einem kontinuierlichen Ablauf kontrolliert, überprüft und optimiert werden. Werden im Zuge dessen Variationen des Sollzustandes oder weitere Risiken identifiziert, so wird der vollständige Information-Security-Prozess nochmals durchlaufen.
Informationssicherheitsmanagementsysteme als Garantie für hohe Informationssicherheit!
Der kriminelle Handel mit Informationen boomt. Kein Geschäftsbetrieb kann es sich dieser Tage folglich noch leisten, den Schutz von Informationen und Daten zu vernachlässigen. Durch die Nutzung eines Informationssicherheitssystems können Firmen mit wirksamen Regularien, Herangehensweisen, Prozessen und Tools sämtliche IT-Gefahren im Hinblick auf ihre Informationssicherheit und den Datenschutz reduzieren und geeignet auf Risikoszenarien reagieren.
Obendrein fordert die europaweite Datenschutzgrundverordnung in Art. 32 der EU-DSGVO Unternehmungen dazu auf, ein dem Risiko gemäßes Schutzniveau für personenbezogene Daten zu etablieren. Anderenfalls können hohe Strafen ausgesprochen werden.
Gleichwohl sollte man berücksichtigen, dass ein Informationssicherheitsmanagementsystem kein ganzes Datenschutzmanagementsystem ersetzen, sondern nur um technische wie auch organisatorische Vorkehrungen getreu datenschutzrechtlichen Bedingungen ergänzen kann.
Somit empfiehlt sich eine enge Zusammenarbeit zwischen dem Informationssicherheitsbeauftragten und einem Datenschutzbeauftragten, um eine große Informationssicherheit und einen hohen Datenschutz gewähren zu können.

Sie sind Endkunde? Möchten auch Sie ein Informationssicherheitsmanagementsystem einführen? Oder haben Sie noch Fragen zu den Themenbereichen Informationssicherheit und Datenschutz? Gerne unterstützen wir Sie mit unserem Fachwissen bei der Implementation und dem Unterhalt eines Informationssicherheitsmanagementsystems nach DIN EN ISO/IEC 27001, BSI IT-Grundschutz oder ISIS12. Kommen Sie jederzeit gerne auf uns zu!

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.