Mit Information Security und Datenschutz starke Synergieeffekte erreichen!

Die Digitalisierung ist in vollem Gange. Dennoch, die beträchtlichen Vorteile einer verstärkt digitalisierten, online verbundenen und mobilen Businesswelt haben auch ihre Nachteile: Hackerattacken, Datendiebstähle ebenso wie Kryptotrojaner nehmen fortwährend zu und stellen somit eine ernstzunehmende Gefährdung für die Informationssicherheit und den Datenschutz von Firmen dar.
Aus diesem Grund sollte die Implementierung eines gut funktionierenden Information Security Management Systems in den Fokus genommen werden. Denn als zentraler Bestandteil einer erfolgversprechenden Sicherheitsstrategie definiert ein Informationssicherheitsmanagementsystem Standards, Methoden und Strategien, mit welchen Unternehmungen sowohl ihre IT-Sicherheit als auch den Datenschutz überwachen, steuern, garantieren ebenso wie optimieren können.

Die Geschäftswelt bewegt sich im Wandel – und wird in steigendem Maße von digitalen Geschäftsvorgängen, plattformbasierten Businessmodellen, „intelligenten“ Tools und Anlagen sowie vernetzten IT-Umgebungen und Applikationen beeinflusst.

Gleichwohl birgt die verstärkt digitalisierte, vernetzte und mobile Geschäftswelt große Bedrohungen: Seit einigen Jahren vergrößert sich die Häufigkeit zielgerichteter Cyberattacken auf Unternehmen jeglicher Dimension und Sparte.

Alleinig im Kalenderjahr 2020 wurden zufolge dem Bundeslagebild Cybercrime 2020 des Bundeskriminalamtes 108.000 Straftaten im virtuellen Raum angezeigt, wobei von einer beträchtlichen Dunkelziffer durch nicht erkannte ebenso wie nicht gemeldete Delikte auszugehen ist. Besonders häufig wurden nach dem Bundeskriminalamt Verschlüsselungstrojaner- und DDoS-Angriffe sowie der Diebstahl digitaler Identitäten registriert.

Auf Grund der steigenden online Kriminalität sollte die Implementierung eines gut abgestimmten Information Security Management Systems, abgekürzt ISMS, in den Fokus genommen werden.

Denn als wichtiger Teil einer ganzheitlichen Sicherheitskonzeption zielt ein Information Security Management System darauf ab, die IT-Gefahren der heutigen Zeit mit effektiven Regularien, Routinen, Strategien ebenso wie Instrumenten kontrollierbar zu machen und dabei die IT-Security und den Datenschutz ständig sicherzustellen.

Ohne Wissen ist alles nichts!

Informationen bilden seit jeher die Voraussetzung für den geschäftlichen wie auch personenbezogenen Gewinn. Egal ob technisches Fachwissen, Zielgruppeninformationen oder Entwicklungs- und Herstellungsverfahren – ohne Informationen kann ein Geschäft weder eine sachlich abgewogene Entscheidung treffen noch Wettbewerbsvorteile im Vergleich zu der Konkurrenz erreichen. Infolgedessen stellen Informationen hochklassige Vermögensgegenstände dar, die mit passenden IT-Securitymaßnahmen abgesichert werden sollten.

Während der Datenschutz nach der Europaweiten Datenschutzgrundverordnung (https://dsgvo-gesetz.de/) den Schutz personenbezogener Daten und darüber hinaus primär den Schutz der informationellen Selbstbestimmung zum Zweck hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen. Korrespondierend befasst sich die Informationssicherheit mit allen technologischen und unternehmensprozessualen Maßnahmen zur Sicherstellung von Vertraulichkeit, Verfügbarkeit, Unversehrtheit und mitunter von Echtheit und Verbindlichkeit jedweder schützenswerten Informationen in einem Betrieb. Dabei ist es bedeutungslos, ob sich die Informationen digital auf einem Server, analog auf einem Blatt oder in einem „Gehirn“ befinden. Zur Informationssicherheit zählt folglich zudem die Datensicherheit: Also die Sicherheit von jeglichen Daten, auch solchen, welche keinen Bezug zu persönlichen Daten entsprechend der Europäischen Datenschutzgrundverordnung haben. Hierzulande richtet sich die Informationssicherheit primär nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bsi.bund.de/), kurz BSI. Gemeinsam mit den internationalen Richtlinien der DIN EN ISO/IEC 27001 bietet dieser Firmen einen strukturorientierten und systematischen Ansatz für den Aufbau und die Inbetriebnahme eines Informationssicherheitsmanagementsystems.

Informationsschutz mit System

Ein Informationssicherheitsmanagementsystem ist simpel formuliert ein Managementsystem für die Informationssicherheit. Durch die Einführung eines Informationssicherheitmanagementsystems auf Basis des IT-Grundschutzs oder den internat. Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 oder ISIS12 werden Planungs-, Lenkungs- und Kontrollmethoden definiert, um die Informationssicherheit in einem Geschäftsbetrieb ständig zu garantieren. Das wichtigste Ziel eines Informationssicherheitsmanagementsystems ist es, denkbare Risiken in Sachen der Informationssicherheit zu finden, untersuchen und zu minimieren und im Zuge dessen für ein adäquates Sicherheitsniveau von Informationen innerhalb eines Unternehmens zu sorgen. Dieses Managementsystem bildet insofern die Vorbedingung für eine zuverlässige Implementation von Informationssicherheit innerhalb eines Betriebes. Aus der Blickrichtung des Datenschutzes ist es essenziell, dass ein Information Security Management System alle schützenswerten Informationen in einem Betrieb absichert, ganz unabhängig, ob es sich um persönliche Daten handelt oder nicht.

In wenigen Schritten zu mehr Sicherheit!

Die effiziente und effektive Umsetzung eines solchen Systems ist ein sehr vielschichtiger Prozess. Prinzipiell wird die Implementierung in verschiedene Steps eingeteilt. Die folgenden Steps sollten dabei eingehalten werden:

Responsives Design ermöglicht eine optimale Darstellung der Fragebögen –

1. Prozessschritt: Definition der Ziele und Leistungsumfang festlegen
   Im 1ten Step solten die Zielsetzungen des Systems definiert werden. Dabei müssen sowohl die Anwendungsbereiche als auch Begrenzungen des Informationssicherheitsmanagementsystems präzise festgelegt werden. Ebenfalls sollte klar bezeichnet werden, was das Informationssicherheitsmanagementsystem leisten soll beziehungsweise welche Werte und Informationen des Unternehmens gesichert werden sollen.
2. Prozessschritt: Bedrohungen identifizieren und beurteilen
   Im 2. Prozessschritt sollte eine umfängliche Analyse der Anwendungszenarien gemacht werden. In diesem Zusammenhang sollte der gegenwärtige Stand der Informationssicherheit ermittelt werden, um so mögliche Risiken und Gefahren zu identifizieren und einzuordnen. Für die Bewertung der Gefahren können verschiedene Ansätze herangezogen werden. Die bedeutendsten Kriterien sind eine klare Übersicht, welche Konsequenzen und Folgen die jeweiligen Gefahren haben können und eine Einschätzung ihrer Wahrscheinlichkeit des Eintrittes.
3. Prozessschritt: Auswahl und Realisierung der Maßnahmen
   Im 3. Schritt werden auf Grundlage der Risikobewertung Vorkehrungen erarbeitet, die die Minderung von Bedrohungen zum Gegenstand haben und so eine passende Reaktion auf solche Vorfälle zulassen. Diese haben dann Gültigkeit für alle Sektoren und Geschäftsbereiche des Unternehmens und schließen nicht nur digitale und virtuelle, sondern auch analoge Aspekte mit ein.
4. Prozessschritt: Leistungsfähigkeit überprüfen und Verbesserungen verwirklichen
   Im vierten Prozessschritt müssen die beschlossenen und implementierten Maßnahmen in einem kontinuierlichen Prozess kontrolliert, überprüft sowie angepasst werden. Werden in diesem Zusammenhang Variationen des Soll Zustandes oder weitere Risiken festgestellt, so wird der gesamte Information Security Management-Prozess erneut durchlaufen.

Informationssicherheitsmanagementsysteme als Garant für starke Informationssicherheit!

Der kriminelle Handel mit Informationen wächst. Kein Betrieb kann es sich momentan deshalb noch leisten, die Sicherung von Informationen und Daten zu vernachlässigen. Durch die Einführung eines Sicherheitsmanagementsystems können Unternehmungen mit effektiven Standards, Verfahren, Prozessen und Werkzeugen jegliche IT-Risiken im Hinblick auf ihre Informationssicherheit und den Datenschutz minimieren und adäquat auf Bedrohungsszenarien reagieren. Obendrein fordert die EU-Datenschutzgrundverordnung in Art. 32 der EU-DSGVO Geschäftsbetriebe dazu auf, ein dem Risiko entsprechendes Sicherheitsniveau für persönliche Daten zu etablieren. Ansonsten können hohe Sanktionen ausgesprochen werden. Allerdings sollte man berücksichtigen, dass ein Information Security Management System kein vollständiges Datenschutzsystem ersetzen, sondern nur um technische wie organisatorische Vorkehrungen gemäß datenschutzrechtlichen Bedingungen erweitern kann. Folglich empfiehlt sich eine engmaschige Kooperation zwischen einem Informationssicherheitsbeauftragten und einem Datenschutzbeauftragten, um eine große Informationssicherheit und einen hohen Datenschutz gewähren zu können.

Möchten auch Sie ein Information Security Management System implementieren? Oder haben Sie noch Fragen und Anregungen zu den Themenbereichen Informationssicherheit und Datenschutz? Sehr gerne unterstützen wir Sie mit unserem Fach-Know-how bei der Implementierung und dem Unterhalt eines Informationssicherheitsmanagementsystem nach DIN EN ISO/IEC 27001, BSI IT-Grundschutz oder ISIS12. Kommen Sie jederzeit auf uns zu!