Informationssicherheit mit der Norm ISO/IEC 27001

Hacker und Kriminelle spähen Unternehmenssysteme aus, um sich Kundendaten und sensible Unternehmensinformationen anzueignen. Gerade Cloud- und Mobiltechnologien wirken wie eine Einladung zum Datendiebstahl. Doch viele Unternehmen zögern immer noch, in Daten- bzw. Informationssicherheit zu investieren.


IT-Sicherheitsgesetz zwingt Unternehmen zum Handeln

Ändern könnte sich dies durch das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz. Es ist eines der weltweit ersten Sicherheitsgesetze dieser Art und wird von vielen Fachleuten als Schritt in die richtige Richtung gesehen. Viele Unternehmen sind allerdings verunsichert, ob sie davon betroffen sind. Ist dieses Gesetz nicht vorrangig für die großen Provider gemacht, damit sie ihre großen Infrastruktur-Systeme besser schützen? Nein, denn dies ist lediglich ein Aspekt der Gesetzgebung.

IT-Sicherheit und Datenschutz stellen für alle Unternehmen und gerade auch für Mittelständler wichtige Themen dar. Das neue Sicherheitsgesetz gilt zumindest in Teilbereichen auch für alle Unternehmen mit mehr als zehn Mitarbeitern. Auch kleine und mittlere Unternehmen (KMU) sind zur IT-Compliance verpflichtet. Zu den Aufgaben der Geschäftsführung gehört grundsätzlich eine angemessene IT-Sicherheit herzustellen, zu wahren und die entsprechenden Sicherheitsmaßnahmen regelmäßig zu überprüfen. Eine Möglichkeit, den Anforderungen des neuen IT-SiG gerecht zu werden, ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001.

Das IT-Sicherheitsgesetz sieht je nach Unternehmensbranche unterschiedliche Pflichten vor. Die sogenannten Kritischen Infrastrukturen (KRITIS), die für das Funktionieren der Gesellschaft notwendig sind, müssen ein Mindestniveau an Sicherheit gewährleisten. Entsprechende Firmen und Institutionen sind verpflichtet, Vorfälle, die die Informationssicherheit betreffen, an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Zur kritischen Infrastruktur – KRITIS – zählen Unternehmen aus den Branchen Energieversorgung, Transport u. Verkehr, Informationstechnik und Telekommunikation, Finanzwesen u. Versicherungen sowie Gesundheit und Lebensmittel – insgesamt etwa 2.000 Unternehmen.

Um die Anforderungen des IT-SiG umzusetzen, werden die KRITISUnternehmen verpflichtet, spezifische Informationssicherheitsmanagementsysteme z.B. gemäß ISO/IEC 27001 aufzubauen. Dazu wurden bereits für einige Sektoren spezifische Maßnahmenkataloge zur ISO/IEC 27001 entwickelt, z.B. der Code of Practice ISO/IEC 27019 für Energieversorger.

Unternehmen mit Web-Angeboten müssen ebenfalls besondere Pflichten erfüllen, die den Schutz der Kundendaten und der von den Kunden genutzten Systeme betreffen. Für diese Unternehmen – auch die kleineren und mittleren Unternehmen – gelten die Vorschriften zur IT-Compliance. Sie benötigen beispielsweise einen ITSicherheitsbeauftragten.

Das Ziel:

Unternehmensdaten zu schützen und ein verlässliches Sicherheitskonzept zu entwickeln – aus Firmensicht zu möglichst niedrigen Kosten.

Key-Facts:

  • IT-Sicherheitsgesetz am 25.07.2015 in Kraft getreten
  • IT-Compliance für alle Unternehmen relevant
  • Geschäftsführung muss angemessene IT-Sicherheit gewährleisten


Zusammenarbeit verpflichtet

Mittelständische Unternehmen fallen zwar durch das Raster der Gesetzgebung und müssen demnach die Anforderungen an die Informationssicherheit nicht zwingend erfüllen, doch häufig arbeiten sie als Zulieferer für größere Unternehmen, die sehr wohl das IT-SiG beachten müssen. Daher sollten auch sie damit rechnen, dass ihre Auftraggeber die Einhaltung gewisser Standards von ihnen fordern. Somit kann zertifizierte Informationssicherheit nicht nur das Unternehmen schützen, sondern auch ein Alleinstellungsmerkmal gegenüber Mitbewerbern darstellen

Eine gute Wahl ist dafür auch bei kleineren Unternehmen die ISO/IEC 27001, diese Norm ist aktuell der international anerkannteste Standard zum Thema Informationssicherheit. Außerdem lässt sie eine gewisse Flexibilität zu, durch die sich spezielle Gegebenheiten einzelner Unternehmen berücksichtigen lassen.

Grundsatz der Norm ist ein risikobasiertes Vorgehen, so dass die implementierenden Unternehmen je nach Geschäftsmodell entsprechend priorisiert vorgehen können. Denn für Betriebe mit hohen Verfügbarkeitsanforderungen sind andere Überlegungen wichtig als für solche, bei denen das Thema Vertraulichkeit den höchsten Stellenwert hat.

Standards müssen in zwei Jahren umgesetzt sein

Unternehmen aus den im ITSicherheitsgesetz genannten Branchen sollten sich möglichst bald mit der Sicherheit ihrer Informationstechnik auseinandersetzen, denn sobald die Rechtsverordnung in Kraft tritt, haben sie nur sechs Monate Zeit, eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik zu benennen, und innerhalb von zwei Jahren müssen die definierten Mindeststandards umgesetzt sein.

Was externe Unterstützung leisten kann

Wer schon jetzt die Voraussetzungen für ein nachhaltiges Management der Informationssicherheit im Unternehmen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. IT- und Unternehmensberatungen wie die ARCAConsult GmbH unterstützen dabei unter anderem mit Gap-Analysen und Pre-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO/IEC 27001 bereits umgesetzt sind oder welche Maßnahmen noch sinnvoll sind. Außerdem begleiten sie das Unternehmen bei der Umsetzung der Maßnahmen und bei der Vorbereitung auf das Zertifizierungsaudit nach ISO/IEC 27001.

KRITIS

Key-Facts:

  • Auftraggeber verlangen von Zulieferer Einhaltung des IT-SG
  • ISO/IEC 27001 ist international anerkannter Standard für Informationssicherheit
  • betroffene Unternehmen stehen bei Einhaltung unter Zeitdruck

Anforderungen an die interne Unternehmensorganisation

Ein mit Leben erfülltes ISMS erfordert aber nicht nur die entsprechenden Security-Maßnahmen und Tools im technischen Umfeld, sondern stellt auch, wie jedes andere Managementsystem, Anforderungen an die Prozesse und die Organisation im Unternehmen. Im Zuge der ISMS-Implementierung sind laut Norm eine Reihe von (neuen) Rollen zu besetzen, z.B.

  • Information Security Officer (Informationssicherheitsbeauftragter)
  • Information Security Team
  • Risk Manager
  • Process Manager

Die Mitarbeiter müssen, sofern sie entsprechende Kenntnisse noch nicht besitzen, gründlich durch Schulungen auf ihre neuen Aufgaben im ISMS vorbereitet werden. Zudem müssen vereinzelt neue Mitarbeiter mit entsprechender Expertise für die Unternehmen rekrutiert werden – ein oftmals nicht ganz leichtes Unterfangen, denn dieses Themengebiet ist noch recht jung.

VESTIGA Consulting greift auf ein umfassendes Kandidatennetzwerk zurück und kann diese Lücken mit qualifizierten Fach- und Führungskräften schließen.

Nachdem das ISMS, ggf. mit externer Unterstützung, implementiert und zertifiziert worden ist, gewährleisten diese Experten für Informationssicherheit den Betrieb und vor allem den von der Norm geforderten kontinuierlichen Verbesserungsprozess des Managementsystems. Dem Information-Security-Team kommt eine zentrale Bedeutung im Unternehmen zu, da das ISMS jährlich einem internen Audit unterzogen und alle drei Jahre extern zertifiziert werden muss.

Die derzeit akuten Herausforderungen für die IT-Sicherheit von Unternehmen zeigen vor allem eines:

"Vertrauen ist nicht delegierbar. Auf der sicheren Seite ist nur, wer selbst wirksame Maßnahmen ergreift, um seine Sicherheit vor Ort zu gewährleisten."

Verfasst von
Border circle
Karin Giese

Senior Consultant
Information Security
&
ISO/IEC 27001 Auditor


Fachartikel als