Information Security Management

Was ist Informations-Sicherheits-Management (ISM)?

ISM bedeutet: Erreichung der Sicherheitsziele Integrität, Vertraulichkeit, Verfügbarkeit, Verbindlichkeit und Authentizität von Informationen. Deren angemessenes und geplantes Ausmaß bzw. Niveau muss erreicht werden.

Aufgabe des ISM ist es, die Erreichung der Sicherheitsziele in einem geplanten Ausmaß bzw. Niveau durch eine umfassende und dauerhafte Steuerung und Kontrolle der Informationssicherheit einer Organisation sicherzustellen. Dies wird mit Hilfe eines sogenannten Informationssicherheits-Management-Systems (ISMS) realisiert.

Im Rahmen eines ISMS-Regelkreises werden folgende Tätigkeiten ausgeführt:

• Informationen und Informationsflüsse identifizieren und im Hinblick auf Risiken bewerten.
• Sicherheitsziele für Informationen ableiten und auf IT-Infrastruktur herunterbrechen.
• Sicherheitsmaßnahmen planen und umsetzen.
• Kontinuierliche Prüfung und Anpassung der Maßnahmen an veränderte Rahmenbedingungen.
• Informationssicherheitsmanagement ist dabei kein Projekt, sondern ein gelebter Prozess, der kontinuierlich ausgeführt wird. Hilfestellung bei der Realisierung geben Sicherheitsstandards wie z.B. ISO / IEC 17799 "Code of Practice for Information Security Management", ISO / IEC 27001 "ISMS Requirements" oder die Standards und Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Warum ist Sicherheitsmanagement wichtig?

Unternehmen werden gegründet, um bestimmte Unternehmensziele zu erreichen. Diese Ziele basieren auf Strategien, die mit Hilfe von Geschäftsprozessen umgesetzt werden. Um die Geschäftsprozesse ausführen zu können, müssen die richtigen Waren und Informationen zur richtigen Zeit und am richtigen Ort verfügbar sein. Weiterhin werden in jedem modernen Unternehmen die Geschäftsprozesse und die Informationsflüsse teilweise oder vollständig mit IT abgebildet.

Mit dem Grad der Abbildung der Geschäftsprozesse und Informationsflüsse auf die IT steigt die Abhängigkeit der Ausführung der Geschäftsprozesse von einer funktionierenden IT.

ISM ist deshalb kein Selbstzweck, sondern nötig, um die Geschäftsprozesse auszuführen und damit die Unternehmensziele zu verwirklichen. Weiterhin ist es untrennbar mit dem IT-Risikomanagement verbunden, dass Risiken, die mit dem Einsatz von IT im Rahmen einer IT-Infrastruktur verbunden sind, gesteuert werden.

Verantwortlich dafür ist das Management. Diese Verantwortung ist nicht weder an einen IT-Administrator, der die Umsetzung übernimmt, noch an einen Outsourcing-Partner übertragbar.

Die Notwendigkeit eines ISMS wurde auch vom Gesetzgeber erkannt und in diversen Gesetzen gefordert - z.B. :

• KonTraG,
• Bundesdatenschutzgesetz,
• Grundsätze ordnungsgemäßer Buchführung (GoBS),
• Kreditwesengesetz (Basel II),
• branchenspezifische Vorschriften und
• i.w.S. § 203 Strafgesetzbuch.

Was kann schlimmstenfalls passieren?

Es gibt vielfältige Szenarien, welche die Informationssicherheit bedrohen:

• Ein Festplattencrash zerstört die Kundendatenbank / das PPS / den Domänenserver eines Unternehmens und Backups existieren nicht -> Geschäftsprozesse sind gestört bzw. unterbrochen -> keine Produktionsplanung und -steuerung / Angebote sind möglich, Aufträge gehen verloren -> Unternehmen verliert Geld
• Beispiel ohne IT: Ein Mitarbeiter stiehlt vertrauliche Informationen aus einem Aktenschrank und geht damit zur Konkurrenz -> Verlust von Know-how und Wettbewerbsvorteilen und evtl. Anklage wegen Verstoß gegen Datenschutzgesetze, Gesetz gegen den unlauteren Wettbewerb etc.

Konkrete Vorteile einer externen Prüfung und Beratung:

Eine spezialisierte, produkt- und herstellerunabhängige Beratung und Prüfung ermöglicht:

• Dokumentation des aktuell praktizierten internen ISMs sowie Steigerung der Fähigkeit, Sicherheitslücken zu erkennen und angemessen darauf zu reagieren.
• Vermeidung von Fehlinvestitionen und Entscheidungsunterstützung bei Fragen zum IT-Outsourcing unter Berücksichtigung von Sicherheitsaspekten.
• Marktvorteile gegenüber Wettbewerbern durch neue Marketingmöglichkeiten und Dokumentation eines proaktiven Verhaltens in Bezug auf Informationssicherheit.
• Einhaltung gesetzlicher, vertraglicher und sonstiger Bestimmungen.
• Nachweisbares Sicherheitsniveau in Streit- und Regressfällen.
• Sensibilisierung der Mitarbeiter.