Informationssicherheitsmanagement: Mit Informationssicherheit und Datenschutz positive Synergiepotenziale nutzen!

Die digitale Evolution ist in vollem Gange.
Doch, die immensen Vorteile einer immer mehr digitalisierten, vernetzten und flexiblen Businesswelt haben ihren Preis: Internetattacken, Datenklau wie Erpressungssoftware nehmen fortwährend zu und stellen dadurch eine explizite Gefährdung für die Information Security und den Datenschutz von Unternehmen dar.
Infolgedessen sollte die Implementation eines gut abgestimmten Information Security Management Systems in den Fokus rücken.
Denn als grundlegender Teil einer erfolgversprechenden Sicherheitsstrategie bestimmt ein Informationssicherheitsmanagementsystem Standards, Prozesse und Maßnahmen, mit denen Betriebe sowohl ihre Informationssicherheit wie auch den Datenschutz überwachen, regeln, gewährleisten ebenso wie optimieren können.

Die Businesswelt bewegt sich im Wandel – und wird in steigendem Maß von multimedialen Geschäftsabläufen, plattformabhängigen Geschäftsmodellen, „intelligenten“ Tools und Anlagen wie auch vernetzten IT-Systemen sowie Applikationen geprägt.

Allerdings birgt die vermehrt digital transformierte, global vernetzte und flexiblere Businesswelt große Gefahren: Seit Jahren steigt die Häufigkeit gezielter Internetangriffe auf Betriebe jeder Dimension und Branche.

Alleinig im Kalenderjahr 2020 wurden nach dem Bundeslagebild Cybercrime 2020 des BKA 108.000 Straftaten im virtuellen Raum erfasst, wobei von einer immensen Dunkelzahl durch nicht erkannte wie auch nicht angezeigte Delikte auszugehen ist. Besonders häufig wurden gemäß dem Bundeskriminalamt Erpressungstrojaner- wie auch Distributed Denial of Service-Angriffe ebenso wie die Entwendung digitaler Identitäten registriert.

Aufgrund der steigenden Internetkriminalität sollte die Implementation eines gut geplanten Informationssicherheitsmanagementsystem, kurz ISMS, in den Fokus genommen werden.

Denn als gewichtiger Teil einer vollständigen Security-Strategie zielt ein Informationssicherheitsmanagementsystem darauf ab, die IT-Bedrohungen der heutigen Zeit mit wirksamen Standards, Routinen, Strategien wie Applikationen kontrollierbar zu machen und damit die IT-Sicherheit und den Datenschutz kontinuierlich zu sichern.

Kronjuwelen in den Tower!

Informationen bilden seit jeher das Fundament für den geschäftlichen ebenso wie persönlichen Gewinn. Ob technisches Fachwissen, Informationen über die Zielkunden oder Entwicklungs- und Herstellungsverfahren – ohne Informationen kann ein Unternehmen weder eine sachlich abgewogene Entscheidung treffen noch Wettbewerbsvorteile im Vergleich zu dem Mitbewerb sichern. Demnach stellen Informationen wertvolle Vermögenswerte dar, welche mit geeigneten IT-Sicherheitsmaßnahmen abgesichert werden sollten.

Während der Datenschutz laut der Europaweiten Datenschutzgrundverordnung den Schutz personenbezogener Daten und darüber hinaus vornehmlich die Wahrung der informationellen Selbstbestimmung zum Zweck hat, geht es in der Informationssicherheit um die das Wahren des Schutzes von Informationen, Daten und Systemen.
Entsprechend befasst sich die IT-Sicherheit mit sämtlichen technischen und Unternehmens-prozessualen Maßnahmen zur Gewährleistung von Vertraulichkeit, Verfügbarkeit, Integrität und mitunter von Authentizität und Verbindlichkeit sämtlicher schutzwürdigen Informationen in einem Geschäft. Angesichts dessen ist es sekundär, ob sich die Informationen digital auf einem System, analog auf einem Blatt oder in einem „Gehirn“ befinden. Zur Information Security zählt damit darüber hinaus die Datensicherheit: Also die Sicherheit von jeglichen Daten, auch denen, welche keinen Bezug zu persönlichen Daten entsprechend der Europäischen Datenschutzgrundverordnung haben.
In der Bundesrepublik Deutschland orientiert sich die Informationssicherheit meistens nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. In Kombination mit den länderübergreifenden Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 bietet er Firmen einen strukturorientierten und systematischen Ansatz für die Einführung und die Inbetriebnahme eines Information Security Management Systems.

Informationsschutz mit System

Ein Information Security Management System ist einfach formuliert ein System zum Management für die Informationssicherheit. Durch die Umsetzung eines Informationssicherheitsmanagementsystems auf Basis des IT-Grundschutzes oder den länderübergreifenden Zertifizierungsrichtlinien der DIN EN ISO/IEC 27001 oder ISIS12 (werden Planungs-, Lenkungs- und Kontrollverfahren definiert, um die Informationssicherheit in einem Unternehmen dauerhaft zu gewährleisten.
Das übergeordnete Ziel eines Informationssicherheitsmanagementsystems ist es, denkbare Gefahren bezüglich der Informationssicherheit zu identifizieren, analysieren und zu verringern ebenso wie hierdurch für ein adäquates Schutzniveau von Informationen innerhalb eines Unternehmens zu sorgen. Das Sicherheitsmanagementsystem bildet insofern die Prämisse für eine systematische Implementation von Informationssicherheit innerhalb eines Geschäftsbetriebes.
Aus der Perspektive des Datenschutzes ist es essenziell, dass ein Informationssicherheitsmanagementsystem alle schützenswerten Informationen in einem Unternehmen schützt, ganz gleich, ob es sich um persönliche Daten handelt oder nicht.
In wenigen Schritten zu höherer Informationssicherheit!
Die effiziente und effektive Verwirklichung eines solchen Managementsystems ist ein sehr komplizierter Prozess. Generell wird die Implementierung in verschiedene Schritte unterteilt. Folgende Schritte sollten dabei einbezogen werden:

• Prozessschritt: Definition der Ziele und Leistungsumfang festlegen
  Im 1. Step müssen die Zielsetzungen des Informationssicherheitsmanagementsystems determiniert werden. Dabei solten sowohl die Anwendungsgebiete als auch Begrenzungen des Managementsystems eindeutig geregelt werden. Gleichzeitig sollte klar bezeichnet werden, was das System leisten soll beziehungsweise welche Werte und Informationen des Unternehmens geschützt werden sollen.

• Prozessschritt: Risiken ausfindig machen und evaluieren
  Im 2ten Schritt muss eine umfangreiche Analyse der Anwendungszenarien gemacht werden. Hierbei muss der derzeitige Stand der Information Security ermittelt werden, um mögliche Gefahren zu finden und zu bewerten. Für die Beurteilung der Risiken können unterschiedliche Verfahren benutzt werden. Die primären Gesichtspunkte sind eine klare Übersicht, welche Effekte und Folgen die einzelnen Bedrohungen haben können und eine Schätzung ihrer Eintrittswahrscheinlichkeit.

• Prozessschritt: Auswahl und Durchführung der Maßnahmen
  Im 3. Step werden auf Grundlage der Risikoevalution Maßnahmen erarbeitet, welche die Minderung von Risiken zum Gegenstand haben und so die angemessene Reaktion auf solche Vorfälle zulassen. Diese gelten für alle Ebenen und Teilbereiche des Unternehmens und beziehen nicht nur digitale und virtuelle, sondern auch physische Aspekte mit ein.

• Prozessschritt: Leistungsfähigkeit beurteilen und Optimierungen vornehmen
  Im 4. Step müssen die beschlossenen und umgesetzten Vorkehrungen in einem stetigen Ablauf kontrolliert, überprüft und optimiert werden. Werden dabei Abweichungen vom Soll Zustand oder weitere Risiken und Gefahren festgestellt, so wird der gesamte Information-Security-Prozess erneut durchlaufen.
  Informationssicherheitsmanagementsysteme als Gewähr für höchste Informationssicherheit!
  Der cyberkriminelle Handel mit Informationen floriert. Kein Geschäftsbetrieb kann es sich gegenwärtig deshalb noch leisten, den Schutz von Informationen und Daten zu vernachlässigen. Durch die Einführung eines Sicherheitsmanagementsystems können Unternehmen mit wirkungsvollen Regeln, Maßnahmen, Prozeduren und Werkzeugen jegliche IT-Risiken im Hinblick auf ihre Informationssicherheit und den Datenschutz minimieren und angemessen auf Bedrohungsszenarien reagieren.
  Überdies fordert die europaweite Datenschutzgrundverordnung mit Artikel 32 der EU-DSGVO Geschäftsbetriebe dazu auf, ein dem Gefahrenpotenzial adäquates Sicherheitsniveau für persönliche Daten zu etablieren. Andernfalls können hohe Bußgelder verhängt werden.
  Dennoch sollte man berücksichtigen, dass ein Information Security Management System kein ganzes Datenschutzmanagementsystem ersetzen, sondern nur um technologische wie organisatorische Vorkehrungen nach datenschutzrechtlichen Vorgaben erweitern kann.
  Darum empfiehlt sich eine engmaschige Kooperation zwischen dem Informationssicherheitsbeauftragten und dem Datenschutzbeauftragten, um eine hohe Informationssicherheit und einen hohen Datenschutz gewähren zu können.

Möchten auch Sie ein Information Security Management System umsetzen? Oder haben Sie noch Fragen zu den Themenbereichen Informationssicherheit und Datenschutz? Gerne unterstützen wir Sie mit unserem Fach-Know-how bei der Implementation und dem Betrieb eines Informationssicherheitsmanagementsystems nach DIN EN ISO/IEC 27001, BSI IT-Grundschutz oder ISIS12. Kommen Sie gerne auf uns zu!

Sie erreichen uns telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de