Wie lassen sich Risiken der IT- und Informationssicherheit reduzieren, die Systemverfügbarkeit erhöhen und zugleich der Datenschutz verbessern? Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 im Unternehmen ist weniger kompliziert als viele denken.
Was ist ISO 27xxx?
Die Grundlage eines jeden ISMS stellt die IEC/ISO 27001 dar, eine sogenannte internationale Norm, die keinen Gesetzescharakter hat, dafür aber weltweit Anwendung und Akzeptanz findet. Der darin enthaltene Anforderungskatalog ist generisch, um beliebige Organisationsformen erfassen und abbilden zu können. Der große Vorteil dieses Aufbaus ist, dass viel Freiraum gewährt wird, um das ISMS bestmöglich in jedes beliebige Unternehmen zu integrieren, ganz egal ob es sich um Berliner Startups oder Industriekonzerne aus Baden-Württemberg handelt. In der IEC/ISO 27002 finden sich als optionale Ergänzung noch weitere Erläuterungen zu den 14 Kapiteln mit den sogenannten Überwachungsbereichen: Welche Richtlinien sind von wem zu erstellen? Wie ist das Risikomanagement auszugestalten? Welche neuen Rollen und Verantwortlichkeiten sind zu vergeben? Oder ganz konkret: Welche Nutzerinformationen sollte ein IT-System idealerweise protokollieren? Was ist im Bereich Personalwesen bei der Einstellung neuer Mitarbeiter in sicherheitskritischen Bereichen zu beachten? Welche Komplexitätskriterien sind an Passwörter zu stellen?
Was kann ein ISMS und was nicht?
Ein ISMS stärkt die IT- und Informationssicherheit nur indirekt. Dieser wichtige Hinweis findet sich bereits in der Norm selbst. Maßgeblich ist nicht die bloße Abwehr von Cyberangriffen und die Vermeidung von Datenklau durch Mitarbeiter, sondern eine Festlegung darauf, wie mit diesen und ähnlichen Risiken umgegangen werden soll. Mithilfe eines systematischen Schutzansatzes werden Informationen als schützenswerte Ressource begriffen. Nicht alle Systeme und darauf verarbeitete Informationen müssen auf die gleiche Weise gesichert werden. Im Mittelpunkt des Managementsystems steht eine Risikobetrachtung, die von den Verantwortlichen gesteuert wird. Unternehmen starten deshalb auch mit einer sogenannten Erklärung zur Anwendbarkeit („Statement of Applicability“), die auch für die spätere Zertifizierung relevant ist. Der öffentliche Unternehmensauftritt kann eine niedrigere Schutzklassifizierung erhalten als das Kundenportal, das einen Zugang auf vertrauliche Daten ermöglicht. Ähnliches gilt für den Aufenthaltsraum mit Tischkicker, der in einem Sicherheitszonenkonzept weniger kritisch betrachtet wird als der Serverraum. Ein Standort, an dem alle operativen Wertschöpfungsprozesse zusammenlaufen, gehört in den Anwendungsbereich des Geschäftsfortsetzungs-Managements (Business Continuity Management) und ist damit auch vom ISMS erfasst, um die Verfügbarkeit der Informationen zu gewährleisten.
Wo fängt man am besten an?
Neben der Erklärung zur Anwendbarkeit gilt es zu Beginn, sich auf eine Leitlinie zur Informationssicherheit zu einigen. Die Führungsebene muss die verschiedenen Unternehmensziele hier in Einklang bringen mit dem Schutz der vielfältigen Informationen, die jeden Tag anfallen. Der Sicherung von Daten und Unternehmensressourcen wird an dieser Stelle nicht als der gern unterstellte Blocker gesehen, sondern als längerfristiger Vorteil, der als Selbstverständnis über alle Hierarchien hinweg begriffen wird. Entscheidend für das Funktionieren eines ISMS sind hier gelebte und kontinuierliche Prozesse, die mit dem Unternehmen wachsen können, um den ständig wechselnden Gefahren der Cybersicherheit standhalten zu können.
Wie geht es weiter?
Nach ersten Workshops und Sensibilisierungen für den Themenkomplex, werden Verantwortliche benannt – meist bereits vorhandenes Personal – die wichtige Rollen innerhalb der neu aufzubauenden Sicherheitsorganisation einnehmen. Neben Projekt- und Fachverantwortlichen sind neue, dedizierte Rollen erforderlich, etwa Informationssicherheits-Beauftragte (Information Security Officer). Es folgt eine Fit-Gap Analyse, um festzustellen welche Teile des Anforderungskatalogs der Norm bereits erfüllt werden und welche nicht. All das, was in der Informationssicherheit gefordert wird, ist nicht grundlegend neu und oft bereits Teil der täglichen Arbeit. Der Aha-Effekt stellt sich meist bereits recht früh ein.
Was hat es mit der Risikobewertung auf sich?
Das ISMS folgt einem risikobasierten Ansatz, in den man an dieser Stelle bereits eingestiegen ist. Im Kern geht es darum, Risiken für die IT- und Informationssicherheit zu erkennen und diesen mit entsprechenden Maßnahmen zu begegnen. Die Maßnahmen werden von den Verantwortlichen selbst festgelegt, die Norm gibt lediglich den Rahmen vor. Risikobasierter Ansatz heißt also, dass das Unternehmen anhand eines systematischen Ansatzes selbst entscheidet, welche Schwachstellen auf welche Weise behandelt werden sollen. Nicht jeder schwächelnde Server muss gleich ausgetauscht werden, sofern keine kritischen Informationen übermittelt werden. Das möglicherweise fehlende Sicherheitsbewusstsein der Reinigungskräfte erfordert nicht unbedingt vollumfängliche Sicherheitsschulungen, eine Verpflichtung in den Verträgen kann ausreichend sein. Der Fit-Gap Analyse schließt sich deshalb ein Umsetzungs- und Maßnahmenplan an. Es folgt die schrittweise Umsetzung der Maßnahmen, um das ISMS so nach und nach vom Ist-Stand auf den Soll-Stand zu heben.
Zertifizierung des ISMS
Nicht erst mit der Datenschutzgrundverordnung (betriebliche Umsetzung bis Mai 2018) kommen Zertifizierungen eine größere Bedeutung zu. Der maßgebliche Zweck der ISO 27001 ist die Zertifizierung des eigenen ISMS. Eine Erstzertifizierung bedeutet nicht, dass alle Anforderungen der Norm vollumfänglich erfüllt sein müssen, Prüfung und Audit verlangen vielmehr Regelprozesse und eine funktionierende Sicherheitsorganisation. Im Ergebnis ist ein zertifiziertes ISMS neben den eigenen Zugewinnen auch ein gutes Verkaufsargument nach außen, kann aber genauso gegenüber zukünftigen Prüfungen der Aufsichtsbehörden sinnvoll sein, die den Standard ebenfalls anerkennen. Ein funktionierendes ISMS sagt deutlich mehr aus, als eine ausgefüllte Checkliste der technischen und organisatorischen Maßnahmen gemäß der Anlage des BDSG.
Es lässt sich festhalten: Spätestens mit einem ISO-Zertifikat warten IT- und Informationssicherheit nicht mehr als Blocker auf, sondern als das Verkaufsargument in einer digitalen Welt: geprüfte und zertifizierte Sicherheit der verarbeiteten Daten. Ein Vertrauensbeweis gegenüber Auftraggebern und Endkunden. Die Zertifizierung ist dabei kein Hexenwerk, denn jeder Auditor weiß: Bei der richtigen Umsetzung braucht sich die Organisation nicht der Norm anzupassen, sondern die Norm der Organisation.