Information Security Management

Relevante Unternehmensrisiken erkennen und absichern

Der studierte Elektrotechnik-Ingenieur Ulf-Gerrit Weber begann seine Karriere als Netzwerk-Entwickler bei der Eltec Elektronik, einem Hersteller für Industrierechner und Industrial Imaging-Lösungen, bevor er in den Vertrieb des Unternehmens wechselte. Bei dem Systemintegrator Controlware arbeitete der Security-Experte anschließend überwiegend als Vertriebsbeauftragter für IT-Security-Lösungen. Seit 2004 ist er Senior Security Consultant bei Axians IT Security, wo er die Konzeption und Implementierung technischer und organisatorischer Security-Projekte verantwortet. Durch den kontinuierlichen Kundenkontakt kennt er aktuelle Security-Bedrohungen aus erster Hand und verfügt über umfangreiches Praxiswissen.
Sogenannte Information Security Management Systeme (ISMS) können Security-Dienstleistern helfen, die Sicherheitsrisiken ihrer Kunden besser einzuschätzen und sie dabei zu unterstützen, die richtigen Gegenmaßnahmen nach Angriffen von Cyberkriminellen in die Wege zu leiten.
Vor der Einführung eines Information Security Management Systems sollte beim Kunden eruiert werden, welche Daten besonders schützenswert sind.
Vor der Einführung eines Information Security Management Systems sollte beim Kunden eruiert werden, welche Daten besonders schützenswert sind.
Foto: G-Stock Studio - shutterstock.com

Unternehmen müssen sich gegen zahlreiche Risiken wappnen. Das Thema Cyber Security wird dabei häufig sehr divers behandelt. Wirkliche Sicherheit liefert jedoch nur ein ganzheitlicher Ansatz. Ein Information Security Management System - auch ISMS genannt - hilft dank umfassende Risikoanalyse, die relevanten Bedrohungen zu erkennen und effektiv auszuschalten.

Die Angriffe der Cyberkriminellen werden immer raffinierter

Ob Kryptotrojaner, Malware, Distributed Denial of Service (DDoS) oder die Offenlegung von Geschäftsgeheimnissen durch Hacker - die Informationssicherheit von Unternehmen ist auf vielfältige Weise bedroht. Zwar haben die meisten Firmen ihre Hausaufgaben in Bezug auf das Risikomanagement gemacht und eine aktuelle Cyber-Security-Strategie formuliert. Doch ist diese oft nicht einheitlich und schützt damit nicht wirksam vor Angriffen oder Cyberkriminalität.

Die Ansprüche der einzelnen Abteilungen an das, was die IT leisten und wie sicher sie sein muss, sind meist zu verschieden. So können die Ansprüche und Interessen einzelner Abteilungen an das, was die IT für sie leisten muss und wo sie sich absichern wollen, sehr stark divergieren.

Diese Gründe sprechen für die Einführung eines Information Security Management Systems.
Diese Gründe sprechen für die Einführung eines Information Security Management Systems.
Foto: Carmao

Um ein Unternehmen effektiv gegen Risiken abzusichern, ist ein einheitliches Vorgehen in Sachen Cyber Security notwendig. Wie auch beim betrieblichen Risikomanagement müssen Strukturen geschaffen werden, die helfen, Risiken zu erkennen, zu evaluieren und wirksam abzuwenden. Wie aber können Unternehmen erkennen, welchen Risiken sie ausgesetzt sind, wie relevant diese Risiken sind und wo Sicherheitsmaßnahmen ansetzen müssen?

Risiken identifizieren - Gefahrenklassen abschätzen

Ein Information Security Management System (ISMS) liefert ein wirksames Tool, um tatsächlich Informationssicherheit über alle Abteilungen innerhalb des Unternehmens zu erreichen und abzusichern und darüber hinaus auch Lieferanten und Geschäftspartner einzubeziehen. Ein ISMS ist die Basis, um Risiken zu identifizieren, zu quantifizieren und effiziente Gegenmaßnahmen einzuleiten. Dazu steht die Risikobetrachtung am Beginn.

Wer ein ISMS einführen möchte, muss sich die Frage stellen, wo sein Unternehmen am verletzlichsten ist. Welche Daten machen den Kern der Geschäftstätigkeit aus? Sind es beispielsweise die Rezepte eines Lebensmittelherstellers, die Roboterbefehle eines Automobilzulieferers oder die Verträge von Versicherungskunden? Es schließt sich die Frage nach weiteren Risiken an. Welche gilt es um jeden Preis zu senken, welche sind ohne Gegenmaßnahmen tolerierbar?

Diese Gründe sprechen gegen die Einführung eines Information Security Management Systems.
Diese Gründe sprechen gegen die Einführung eines Information Security Management Systems.
Foto: Carmao

Jedes Unternehmen muss hier für sich die Entscheidung treffen, wo die Linie zu ziehen ist und wie umfassend es sich absichern will. Eine Risikomatrix oder auch eine Heatmap hilft dabei, anhand von einzelnen Gefahrenklassen die Bedrohungen zu klassifizieren und abzuschätzen, wie dringend gegen sie eingeschritten werden muss.

Was ein Information Security Management System leisten muss

Auch bei dieser Betrachtung ist die Strategie des Unternehmens ausschlaggebend: Welche Schadenshöhe wäre noch verkraftbar? Geht es darum, dass Schäden gar nicht erst auftreten oder akzeptiert man bei der Investition in Abwehrmaßnahmen ein festgelegtes Kosten-Nutzen-Verhältnis? Wie hoch ist die Eintrittswahrscheinlichkeit eines bestimmten Risikos und wie hoch wäre ein potentieller Schaden voraussichtlich beziffert?

Alle diese Fragen beantwortet die statistische Analyse. Anhand der Risikoanalyse zeigt sich deutlich, welche Bedrohungen wirklich relevant sind. Auf Basis dieser Analyse lassen sich nun die passenden Gegenmaßnahmen aufsetzen, die damit auch über die Art und Höhe der erforderlichen Investition in Cyber-Security-Systeme Aufschluss geben.

Bevor die Abwehrmechanismen und -Systeme jedoch technisch aufgebaut werden, sollte ein Konzept inklusive der nötigen Regeln für den späteren Betrieb eines solchen Systems erstellt sein. Auch sind Rollen, Handlungsanweisungen und Prozesse für die beteiligten Abteilungen zu definieren. Diese können durchaus sehr unterschiedlich sein.

Ein ISMS berücksichtigt die Bedürfnisse aller Anwender

Da ein ISMS das gesamte Unternehmen umfasst, ist es für die Konzeption und den Einführungsprozess sinnvoll, alle betroffenen Player an einen Tisch zu holen. Auf diese Weise werden verschiedene Blickrichtungen, etwa die der Geschäftsführung, der Personalabteilung oder des IT-Teams, gebündelt und eine gemeinsame Linie entsteht.

Diese lässt sich im ISMS-Konzept wie auch in der begleitenden Informationssicherheits-Richtlinie verankern. Letztere strukturiert das Information Security Management und definiert die Hauptansprechpartner für das Thema Cyber Security. Es hat sich bewährt, dass der CISO (Chief Information Security Officer) oder ISO (Information Security Officer) nach Einführung des ISMS für dessen Weiterentwicklung und Optimierung zuständig ist.

Da die Einführung eines ISMS bedeutet, sich auf einen kontinuierlichen Weg der Verbesserung zu begeben, ist es ebenfalls essentiell, die erarbeiteten Schritte und Maßnahmen stets lückenlos zu dokumentieren. Nur so lässt sich schließlich auch der gemeinsame Kenntnisstand erhalten, wenn das System wächst und sich verändert.

In Security-Belangen Hilfe von außen mit einbeziehen

Ein ISMS ermöglicht ein strukturiertes Vorgehen, mit dem sich Gefahren kontinuierlich identifizieren und bewerten lassen. Die Informationssicherheit lässt sich nur durch kontinuierliches Nachsteuern permanent und schlagkräftig verbessern. Dieses Nachsteuern übernimmt am besten der (C)ISO oder eine externe Instanz, denn der IT-Leiter und die weiteren Verantwortlichen innerhalb des Unternehmens sind nicht neutral. Sie müssen Budget und Manpower im Fokus behalten.

(C)ISOs oder externe Dienstleister hingegen können die Security-Maßnahmen unbefangen von abteilungsinternen Fragen und risikoorientiert der Unternehmensleitung empfehlen. Dies Spezialisten unterstützen nicht nur bei der Einführung und Konzeption eines ISMS. Sie stehen während der Umstellung der Prozesse und danach beratend zur Seite, übernehmen die Schulung der Mitarbeiter ebenso wie das komplette Outsourcing eines ISMS. Auf Wunsch bauen sie ein zertifizierungsfähiges ISMS auf, so dass Firmen auch Dritten gegenüber sicherstellen können, dass von ihnen eine geringe Gefahr in Bezug auf Cyberbedrohungen ausgeht.

Mehr zum Thema "Information Security Management":
Network as a Service
Die führenden IT-Security-Dienstleister
IT-Security-Anbieter aus Sicht des Channels

Zur Startseite