Informationssicherheits-Managementsystem

Stellen Sie sich kurz vor, Sie nutzen ein bestimmtes Mobiltelefon für die Arbeit. Darauf haben Sie Kreditkarteninformationen gespeichert, um Zahlungen zu tätigen, Bankinformationen, um Ihre Finanzen zu prüfen, wichtige Details zu den Kunden, für die Sie arbeiten, Anmeldeinformationen für die Dienste, die Sie abonniert haben, sowie zahlreiche proprietäre Daten zu den internen Abläufen Ihres Unternehmens.

Wenn Sie wie die meisten Menschen Ihr Mobiltelefon überallhin mitnehmen, besteht die Möglichkeit, dass es irgendwann verloren geht oder gestohlen wird. Was passiert in diesem Fall mit den auf dem Gerät gespeicherten Informationen? Wie schützen Sie Ihre Privatsphäre und Informationssicherheit? Und wie sichern Sie die Informationen Ihrer Kunden?

Die Antwort auf all diese Fragen besteht darin, ein Informationssicherheits-Managementsystem (ISMS) einzuführen – eine Reihe von Richtlinien, Verfahren und Protokollen, die darauf ausgelegt sind, sensible Informationen in Ihrem Unternehmen zu schützen und zu verhindern, dass sie zerstört werden oder in die falschen Hände geraten. In diesem Artikel wird das ISMS ausführlich behandelt: Wir erläutern, worum es sich handelt, skizzieren die Geschichte der Informationssicherheit und stellen bewährte Vorgehensweisen für die Implementierung eines ISMS vor, mit dem Sie kritische Daten in Ihrer Organisation schützen können.

Was ist ein Informationssicherheits-Managementsystem?

Ein Informationssicherheits-Managementsystem (ISMS) ist eine Reihe von Kontrollen, die eine Organisation implementiert, um ihre eigenen Informationswerte und andere Informationswerte zu schützen, für die sie verantwortlich ist. Organisationen, die ihr eigenes ISMS konzipieren und implementieren, finden Wege, die Wahrscheinlichkeit einer Datenschutzverletzung zu reduzieren, ihre Haftung im Fall einer Datenschutzverletzung zu begrenzen und die Auswirkungen von Datensicherheitsproblemen zu mindern. Hier sind einige der wichtigsten Elemente eines wirksamen ISMS:

Ein ISMS ist ein System zur Verwaltung der Datensicherheit

Ein etabliertes ISMS regelt die Richtlinien, Verfahren, Prozesse und Workflows, die zum Schutz der Datensicherheit einer Organisation ausgewählt werden. Nachdem die Richtlinien von der Organisation festgelegt wurden, müssen sie organisationsweit implementiert und angewendet werden, damit ihre Vorteile wirksam werden. Die Organisation steuert die Richtlinien mithilfe des PDCA-Zyklus (Plan, Do, Check, Act), überprüft die Verfahren regelmäßig und passt sie bei Bedarf an.

Auch wenn es keine offiziellen Dokumentationsanforderungen für das ISMS gibt, ist es gängige Praxis, die Richtlinien und Verfahren für die prozessorientierte Verwaltung des ISMS zu dokumentieren – ebenso wie alle Richtlinien, Verfahren, Prozesse, Workflows oder Kontrollen, die implementiert wurden, um die Datensicherheitsziele des Unternehmens weiter zu unterstützen.

Nicht alle Daten werden vom ISMS gleich behandelt

Das ISMS beschreibt, wie Daten von der Organisation geschützt werden sollten, muss jedoch nicht alle Organisationsdaten exakt gleich behandeln. Organisationen erstellen, erfassen und tauschen täglich viele verschiedene Arten von Daten aus. Einige davon haben wir bereits erwähnt: Finanzunterlagen des Unternehmens, Anmeldedaten und Informationen zu Diensten, die die Organisation nutzt, Kundenprofile und -informationen sowie geschäftliche Kreditkarten- und Bankdaten. Hinzu kommen E-Mails, Berichte, Bestandsdaten, Gebäudedaten, Serviceunterlagen für Geräte usw.

Nicht alle Organisationsdaten müssen demselben Sicherheitsniveau unterliegen, und der Schutz bestimmter Datentypen ist mit Kosten für Finanzen und Produktivität verbunden. Wenn die Organisation beispielsweise eine Zwei-Faktor-Authentifizierung für E-Mail-Anmeldungen verlangt, könnte ein Mitarbeiter jedes Mal, wenn er seine E-Mails abruft, zwei zusätzliche Minuten Produktivität verlieren. Lohnt sich das? Diese Entscheidung müssen die Führungskräfte der Organisation anhand eigener Risikobewertungen treffen.

Die Einhaltung des ISMS ist entscheidend für eine erfolgreiche Implementierung

Ein ISMS zu erstellen und irgendwo in einem Ordner abzulegen, trägt letztlich nicht dazu bei, die Informationssicherheit in Ihrer Organisation zu verbessern. Es sind die wirksame Umsetzung der Richtlinien und die Verankerung der Informationssicherheit in Ihrer Unternehmenskultur, die Sie vor Datenschutzverletzungen schützen. Zwar ist die Einrichtung und Pflege des ISMS ein wichtiger erster Schritt, doch die Schulung der Mitarbeitenden zum ISMS und die Integration der Compliance in die täglichen Prozesse und Aktivitäten Ihrer Organisation haben Priorität, wenn Sie Ihre Daten angemessen sichern möchten.

Ein ISMS ist dynamisch, nicht statisch

Das ISMS ist ein lebendiges System, das sich kontinuierlich verändert – es ist dynamisch, nicht statisch. In ISO 27001, einem Standard für Informationssicherheit, wird der PDCA-Zyklus auf ISMS-Systeme angewendet. Unternehmen sollten das ISMS einrichten (Plan), implementieren und betreiben (Do), überwachen und überprüfen (Check) sowie pflegen und verbessern (Act). Das ISMS sollte regelmäßig überprüft und aktualisiert werden, um eine sich verändernde Informationssicherheitsumgebung und neue Best Practices für Datensicherheit widerzuspiegeln.

Ein wirksames ISMS ist risikobasiert

Es ist wichtig zu verstehen, dass es wahrscheinlich unmöglich ist, Ihre Organisationsdaten absolut vor Sicherheitsverletzungen zu schützen. Ein Dieb oder Hacker mit ausreichend Zeit und Ressourcen wird höchstwahrscheinlich irgendwann einen Weg finden, die von Ihnen implementierten Sicherheitsmaßnahmen zu überwinden. Ein Cyberangriff auf ein wenig ausgereiftes Sicherheitssystem könnte von einer einzelnen Person in nur wenigen Stunden durchgeführt werden, während ein Team geschulter Sicherheitsexperten für den Zugriff auf einen stark gesicherten Server möglicherweise Wochen benötigt.

Organisationen müssen eine Risikobewertung durchführen, die bestimmt, welche Werte am stärksten geschützt werden müssen, und Ressourcen effektiv zum Schutz dieser Werte zuweisen. Ein risikobasiertes ISMS berücksichtigt bei der Ressourcenzuweisung zum Schutz von Assets das relative Risiko verschiedener Arten von Informationswerten.

Warum sollten Organisationen ihre Daten schützen?

Nachdem wir nun ein detailliertes Verständnis des ISMS haben, gilt es zu verstehen und anzuerkennen, warum es so wichtig ist, dass Organisationen ihre Daten durch die Einrichtung eines ISMS schützen. Hier sind die wichtigsten Gründe, warum Organisationen ein ISMS einrichten sollten, um ihre Daten zu schützen:

ISMS hilft Ihnen, Datensicherheit in großem Maßstab zu verwalten

Kehren wir zu unserem ursprünglichen Beispiel eines geschäftlich genutzten Mobiltelefons zurück, das verloren gehen oder gestohlen werden könnte: Es wäre relativ einfach, ein einzelnes Gerät davor zu schützen, in die falschen Hände zu geraten. Doch was passiert, wenn Ihre Organisation 100 Mitarbeitende mit 85 Desktop-Computern, 20 Laptops, 40 Mobiltelefonen, einem Serverraum und einem cloudbasierten Repository für all Ihre wichtigen Dokumente hat? An diesem Punkt müssen Sie Informationssicherheit in großem Maßstab verwalten, da ein hohes Datenvolumen und ein großes Netzwerk vorhanden sind. Ein einzelnes Gerät mit einem falsch konfigurierten, veralteten Antivirenprogramm könnte zu einer Schwachstelle werden, die das Netzwerk gefährdet. Ein ISMS stellt Kontrollen bereit, die dazu beitragen, jeden Endpunkt gegen böswillige Angriffe zu sichern und das System als Ganzes zu schützen.

Datenschutzverletzungen sind enorm kostspielig

Wenn Sie noch nie eine Datenschutzverletzung erlebt haben, bei der vielen Kunden Daten gestohlen wurden, sollten Sie wissen, dass solche Vorfälle unglaublich teuer sind. Die 2017 Cost of Data Breach Study, durchgeführt vom Ponemon Institute mit Unterstützung von IBM, ergab, dass die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2017 bei 3,62 Millionen US-Dollar lagen. Vielleicht haben Sie von der Datenschutzverletzung bei  Equifax gehört, die zu einem Rückgang des Aktienkurses um 20 Prozent und innerhalb eines Monats zu über 30 Sammelklagen gegen das Unternehmen führte. Auch der Internetkonzern Yahoo war von einer schweren Sicherheitsverletzung betroffen, bei der die Kontoinformationen aller 3 Milliarden Nutzer kompromittiert wurden – die Folgen umfassten Bundesstrafen in Höhe von 35 Millionen US-Dollar, einen Vergleich in Höhe von 80 Millionen US-Dollar und eine Verringerung des Übernahmewerts um 350 Millionen US-Dollar.

Hinzu kommen Kosten für die Benachrichtigung von Kunden, deren Daten kompromittiert wurden, für die Beauftragung von Sicherheitsexperten zur Behebung der Schwachstellen, die zu der Verletzung geführt haben, sowie weitere Strafen, Bußgelder und Entschädigungszahlungen an Betroffene.

Organisationen können eine Zertifizierung nach ISO 27001 erlangen

Die International Standards Organization (ISO) ist eine globale Organisation, die Standards und Best Practices für Organisationen veröffentlicht. Im Jahr 2005 veröffentlichte die ISO ein Dokument mit der formalen Bezeichnung ISO/IEC 27001:2005, das den internationalen Standard für Informationssicherheits-Managementsysteme festlegt. Organisationen, die ihr ISMS in Übereinstimmung mit diesen aktuellen Informationssicherheitsstandards aufbauen, können eine Zertifizierung erwerben, die ihren Kunden und Partnern zeigt, dass sie ein angemessenes System zur Sicherung ihrer Informationswerte etabliert haben.

Die ISO-27001-Zertifizierung bietet Organisationen einen geschäftlichen Vorteil, da sie damit ihre Einhaltung der aktuellsten Best Practices für das Informationssicherheitsmanagement nachweisen können.

So implementieren Sie ein ISMS in Ihrer Organisation

Organisationen können erheblich von der Implementierung eines ISMS, der Einhaltung von ISO 27001 und der Sicherstellung ihrer Informationswerte profitieren. Um den vollen Nutzen des ISMS zu realisieren, ist jedoch ein gründlicher Implementierungs- und Schulungsprozess erforderlich. So beginnen Sie mit der Implementierung eines ISMS in Ihrer Organisation:

Schritt eins: Asset-Identifizierung und -Bewertung

Der erste Schritt bei der Implementierung eines ISMS besteht darin, die zu schützenden Assets zu identifizieren und ihren relativen Wert für die Organisation zu bestimmen. Denken Sie daran: Ein risikobasiertes ISMS berücksichtigt die relative Bedeutung verschiedener Arten von Daten und Geräten und schützt sie entsprechend. In diesem Schritt erfassen Organisationen Daten aus der Dokumentation, um geschäftskritische IT-Assets und deren relative Bedeutung für die Organisation zu identifizieren.

Organisationen müssen eine Schutzbedarfsfeststellung (Statement of Sensitivity, SoS) erstellen, die jedem ihrer IT-Assets über drei separate Dimensionen hinweg eine Bewertung zuweist: Vertraulichkeit, Integrität und Verfügbarkeit:

• Vertraulichkeit – sicherstellen, dass die Informationen ausschließlich autorisierten Personen zugänglich sind
• Integrität – sicherstellen, dass die zu schützenden Informationen korrekt und vollständig sind und dass Informationen sowie Verarbeitungsmethoden abgesichert werden
• Verfügbarkeit – sicherstellen, dass autorisierte Personen bei Bedarf Zugriff auf die geschützten Informationen und Assets haben

Organisationen müssen ein Gleichgewicht zwischen der Sicherung von Assets und deren Zugänglichkeit für autorisierte Personen finden, die die Daten möglicherweise für ihre Arbeit benötigen.

Schritt zwei: Eine detaillierte Risikobewertung durchführen

Nachdem Asset-Identifizierung und -Bewertung abgeschlossen sind und die Organisation eine SoS formuliert hat, ist es an der Zeit, eine detaillierte Risikobewertung durchzuführen, die als Grundlage für die Erstellung des ISMS dient. Eine Risikobewertungsanalyse umfasst vier wichtige Schritte, um festzulegen, wie das IT-Asset geschützt werden sollte:

1. Bedrohungen – Die Organisation sollte die Bedrohungen für das Asset analysieren, indem sie unerwünschte Ereignisse dokumentiert, die zu vorsätzlichem oder versehentlichem Missbrauch, Verlust oder Schaden an den Assets führen könnten.
2. Schwachstellen – Bedrohungen beschreiben konkret, was geschehen könnte; Schwachstellen geben an, wie anfällig das IT-Asset gegenüber den im ersten Teil der Analyse identifizierten Bedrohungen sein könnte. An dieser Stelle beginnen Sie, zwischen verschiedenen Asset-Typen zu unterscheiden: Während ein Angriff durch Schadsoftware eine Bedrohung für Server, Laptops und Telefone darstellt, könnten wir hier festhalten, dass Telefone stärker gefährdet sind, weil sie remote genutzt werden und möglicherweise mit mehreren externen Netzwerken verbunden sind, während Server intern betrieben und rund um die Uhr überwacht werden.
3. Auswirkung und Wahrscheinlichkeit – Die Organisation kann nun die Wahrscheinlichkeit bestimmter Arten von Verstößen sowie das Ausmaß des potenziellen Schadens bewerten, der sich aus jeder Art von Datenschutzverletzung ergeben würde. Organisationen können eine Kosten-Nutzen-Analyse verwenden, um die potenziell schädlichsten Verstöße mit den konsequentesten Sicherheitsmaßnahmen gezielt zu adressieren.
4. Risikominderung – Abschließend schlägt die Organisation Methoden vor, um die erkannten Bedrohungen, Schwachstellen und Auswirkungen durch Richtlinien und Verfahren im ISMS zu minimieren.

Schritt drei: Das ISMS einrichten

Nachdem die Organisation die zu schützenden Assets identifiziert und eine vollständige Risikobewertung durchgeführt hat, kann sie damit beginnen, die konkreten Richtlinien und Verfahren zu formulieren, aus denen das ISMS besteht. Organisationen sollten das ISMS in Übereinstimmung mit ISO 27001 einrichten, wenn sie eine Zertifizierung für Best Practices im Informationssicherheitsmanagement erlangen möchten.

Kommen wir noch einmal auf unser erstes Beispiel des ungesicherten Geschäftstelefons zurück: Welche Schritte könnte die Organisation ergreifen, um sicherzustellen, dass Informationen auf dem Telefon angemessen geschützt sind, falls das Telefon verloren geht oder gestohlen wird? Hier sind einige Beispielrichtlinien, die implementiert werden könnten, um das Risiko zu mindern:

• Verlorene oder gestohlene Telefone müssen innerhalb von acht Stunden der IT-Abteilung gemeldet werden. Wenn Sie nicht wissen, wo sich Ihr Telefon befindet, kontaktieren Sie umgehend die IT.
• Die IT muss in der Lage sein, jedes unternehmenseigene Telefon remote zu orten und zu löschen.
• Unternehmenstelefone müssen durch ein biometrisches Passwort geschützt sein, das der zugewiesenen Person entspricht – zum Entsperren des Telefons müssen ein Fingerabdruck, ein Retina-Scan oder Gesichtserkennungstechnologie verwendet werden.
• Unternehmenstelefone werden mit einem sicheren Gürtelholster ausgegeben, das Mitarbeitende dabei unterstützt, den Verlust des Assets zu vermeiden, indem sie es bei Nichtgebrauch sicher am Körper tragen.

Diese Reihe von Richtlinien und Verfahren würde die Möglichkeit einer Datenschutzverletzung aufgrund eines verlorenen Telefons minimieren. Die Anforderung eines biometrischen Passworts erhöht den Aufwand für einen unbefugten Zugriff auf das Telefon erheblich, die Meldepflichten schaffen zusätzliche Verantwortlichkeit beim Nutzer des Telefons, und die IT kann sensible Daten von jedem Telefon entfernen, das als vermisst gemeldet wird.

Zusammenfassung

Ein ISMS ist eine Reihe von Richtlinien und Verfahren, die festlegen, wie Ihr Unternehmen seine Informationswerte vor vorsätzlichem oder versehentlichem Missbrauch, Verlust oder Schaden schützt. Die Einrichtung eines ISMS ist ein wichtiger Schritt zur Sicherung der Datenwerte Ihrer Organisation und zum Schutz vor den rechtlichen und finanziellen Folgen einer Datenschutzverletzung. Organisationen können eine ISO-27001-Zertifizierung erlangen, indem sie die globalen Standards für ISMS einhalten. Die Implementierung eines ISMS erfordert, dass Organisationen ihre Assets identifizieren und bewerten, eine Risikobewertung durchführen und die festgelegten Richtlinien und Verfahren dokumentieren. Schulungsprogramme sind erforderlich, um sicherzustellen, dass Mitarbeitende beim Umgang mit sensiblen Daten das ISMS einhalten.

Das ISMS sollte gepflegt und regelmäßig überprüft werden, gemäß dem PDCA-Zyklus und mit dem Ziel einer kontinuierlichen Verbesserung hin zu einem risikobasierten ISMS, das die Datensicherheitsanforderungen der Organisation erfüllt.