Als Informationssicherheit bezeichnet man die sichere Verarbeitung von Informationen (Daten) in einer Organisation (Unternehmen, Behörde, Verband, Verein, und weitere). Dabei sind Vorsorge-Aufgaben, wie sie z.B. im KonTraG, HGB, AktG vorkommen, essentiell.
Verantwortlich sind hierbei nach außen die Leitung der Organisation und nach innen das Sicherheitsmanagement. In diesem schnell wandelnden Gebiet muss sich der IT-Sicherheitsbeauftragte eines Unternehmens vertraut machen.
Die Zielsetzung der Informationssicherheit besteht in der Einhaltung von Compliance. Dazu zählen zum einen das Einhalten von Vorgaben, Gesetzen, Richtlinien und zum anderen die Sicherstellung von Verträgen und Standards.
Dabei sollten folgende Sicherheitsziele erreicht werden:
Je nach Unternehmensgröße unterscheidet sich die Aufstellung einer Sicherheitsorganisation. Das Profil eines IT-Sicherheitsbeauftragten ist immer genau festzulegen und im Rahmen einer Arbeitsplatzbeschreibung oder Tätigkeitsdarstellung schriftlich zu fixieren. Auf diese Weise lassen sich die Zuständigkeiten festlegen.
Lehrgang - Der IT-SicherheitsbeauftragteUm seine Aufgaben optimal und effizient umsetzen zu können sollte ausreichend Budget eingeplant werden. Weiterhin müssen die Voraussetzungen im Rahmen der Technik (Büroausstattung, spezielle Werkzeuge etc.) geschaffen werden. Darüber hinaus ist es wichtig, ausreichend Personal für diese Aufgaben einzuplanen. Dabei müssen Vertreter eingeplant werden, die die Aufgaben in Abwesenheit des Rolleninhabers übernehmen können.
Neben der Einführung in die Aufgaben und Pflichten des IT-Sicherheitsbeauftragten sind Leit- und Richtlinien sowie Sicherheitskonzepte relevant. Dabei spielen aktuelle Standards, wie die ISO 27000-Reihe und die Neufassung des IT-Grundschutzes, eine wichtige Rolle. Gleichermaßen zählen Cloud Computing, Identity & Access Management, Mobile Security und Business Continuity (BCM) zu den wesentlichen Prozessen der Informationssicherheit.
Lehrgang - Der IT-Sicherheitsbeauftragte
Die folgenden Aufgaben und Themen sind Teil einer umfassenden IT-Sicherheitsstrategie im Unternehmen und sollen nachfolgend kurz erläutert werden:
IT-Notfallplanung
Die IT-Notfallplanung informiert über aktuelle Standards und gesetzliche Anforderungen der Notfallplanung, die Notfallorganisation sowie Verfahren zur Notfallbewältigung.
IT-Notfallmanagement
Unterbrechungen entscheidender Geschäftsprozesse, die unbemerkte Verfälschung von Daten und Anwendungen, auch die ungewollte Preisgabe sensibler Informationen können zu erheblichen finanziellen Verlusten führen. Um derartige IT-Notfälle effizient behandeln und die Business Continuity erreichen zu können, müssen Unternehmen und Behörden Präventiv-Maßnahmen ergreifen und eine reaktive Notfallorganisation aufbauen.
Aufbau des IT-Notfallmanagements
Das IT-Notfallmanagement kann als Teil des Sicherheitsmanagements (ISMS) aufgebaut sein, hier ist das Sicherheitsziel die Verfügbarkeit. Darüber hinaus kann das IT-Notfallmanagement als Teil des Business Continuity (BCMS) aufgebaut sein, welches dann für kritische IT-Anwendungen zuständig ist. Zudem kann ein Unternehmen das IT-Notfallmanagement auch als eigenständige Aufgabe deklarieren.
IT-Notfallbeauftragter
Unternehmen müssen einen IT-Notfallbeauftragen bestimmen. Die Tätigkeiten unterscheiden sich je nach Unternehmensgröße.
Business Continuity
Business Continuity (BC) ist die Fähigkeit einer Organisation, ihre Service Level selbst unter herausfordernden Umständen aufrechterhalten zu können.
Business Continuity Management
Business Continuity Management (BCM) ist ein Prozess, welcher ein Ziel und verschiedene Aufgaben beinhaltet und über einen entsprechenden Aufbau verfügt Es ist ein unternehmensweiter Prozess zur Minimierung finanzieller, rechtlicher und weiteren Auswirkungen in Folge widriger Umstände. BC-Maßnahmen müssen geplant und umgesetzt werden. Ziel ist es ein normgerechtes Business Continuity Management System (BCMS) aufzubauen.
Verfahren des BCM nach ISO 22301
ISO 22301 legt Anforderungen für ein Krisenmanagementsystem fest, welches Unternehmen vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt, dass sich das Unternehmen davon erholt. Zudem legt es die Begrifflichkeiten fest und spezifiziert die Anforderungen an das BCMS.
Bedrohungsszenarien
Eine Bedrohung ist ein bestimmter Ablauf, welcher eine Gefährdung hervorruft. Zu jeder Art von Gefährdung gibt es meistens viele Bedrohungen.
Die Management-Ebene in der Organisation müssen alle Betroffenen motivieren und unterstützen, um die Wirksamkeit des BCMS sicherzustellen. Die Risikoermittlung erfolgt nach ISO 27005.
Notfallleitlinie erstellen
Es muss der Geltungsbereich der Notfall-Leitlinie festgelegt werden sowie die Anforderungen und Ziele, aber auch die Risiken dürfen nicht außer Acht gelassen werden. Zudem sollte der Stellenwert sowie die grundsätzliche Regelung des Notfallmanagements klar gemacht werden. Dazu gehören auch präventive Maßnahmen, die im Rahmen eines Notfallvorsorgekonzeptes erstellt werden müssen.
Business Impact Analysis (BIA)
Verfahren und Kriterien zur Analyse der Risiken und des Business Impacts sollten folgende Aspekte enthalten:
Informationssicherheit liegt in der Verantwortung der Leitungsebene. Sie delegiert die Verantwortung intern in einem bestimmten Umfang an das Sicherheitsmanagement. Im Eigeninteresse eines IT-Verantwortlichen liegt die klare Definition der eigenen Verantwortlichkeit.
Das Aufgabenfeld umfasst Aufbau und Pflege eines IT-Sicherheitskonzepts sowie die Pflicht, den Arbeitgeber auf mögliche Risiken hinzuweisen. Sollten die arbeitsvertraglichen Pflichten verletzt werden kann das Sicherheitsmanagement haftbar und im schlimmsten Fall sogar strafbar gemacht werden.
Man unterscheidet zwischen zivilrechtlicher und öffentlich-rechtlicher Haftung. Zudem muss man eine Unterscheidung in Innenverhältnis und Außenverhältnis treffen. Im Innenverhältnis gibt es einen IT-Verantwortlichen und vertragliche Regelungen sind von besonderer Bedeutung. Gegenüber Dritten haftet der IT-Verantwortliche in erster Linie aus allgemeinen gesetzlichen Vorschriften. Außerdem haften auch Arbeitnehmer und Geschäftsführung auf unterschiedliche Art und Weise.
Seminar - IT-NotfallplanungNachfolgend finden Sie eine kleine Auswahl wichtiger Gesetze, Normen und Standards mit entsprechender Bedeutung im Rahmen der IT-Sicherheit im Unternehmen.
Abb.: IT-Sicherheit und Datensicherheit im Unternehmen - Bastian Weltjen / fotolia by Adobe
Das neue IT-Sicherheitsgesetz wurde im Juli 2015 verabschiedet. Das Gesetz dient zur Erhöhung der Sicherheit informationstechnischer Systeme. Die Anforderungen des ITSG sind wie folgt:
Betroffene Unternehmen sind insbesondere die sogenannten kritischen Infrastrukturen (KRITIS). Dazu zählen Unternehmen aus folgenden Bereichen:
Somit spielt die Sicherheit der IT-Systeme, besonders im Bereich der kritischen Infrastrukturen, eine enorm wichtige Rolle. Für die Umsetzung des ITSG müssen organisatorische und technische Vorkehrungen getroffen werden. Für diese Vorkehrungen müssen branchenspezifische Standards mit aufgeführt sein, insofern diese nach Feststellung des BSI (Bundesamt zur Sicherheit in der Informationstechnik) zur Einhaltung des ITSG geeignet sind.
Fragt man die Unternehmen, welche IT-Sicherheitszertifizierung sie haben oder planen, wird an erster Stelle die ISO-27001-Zertifizierung genannt. Ziel ist es, Unternehmen bei der Definition ihrer Anforderungen für geeignete IT-Sicherheitsmechanismen und beim Aufbau eines dokumentierten Informationssicherheits-Managementsystems zu unterstützen.
Die internationale Norm ISO 27001 stellt das Rahmenwerk für das Management der Informationssicherheit (ISMS) dar. Es beschreibt die Anforderung an ein Informationssicherheits-Managementsystem (ISMS). Die ISO 27001 ist die Vorgabe für eine mögliche Zertifizierung.
Dabei sind nationale und internationale Strukturen vorhanden:
Zunehmende Bedeutung hat die ISO 27001 in Deutschland mit der Einführung der BSI-Grundschutz-Zertifizierung erfahren. Mit ihr kann nachgewiesen werden, dass die IT-Infrastruktur die Vorgaben der ISO 27001 erfüllt und dass diese unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und ggf. einer IT-Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Die Risikoanalyse ist bei IT-Systemen mit hohem oder sehr hohem Schutzbedürfnis erforderlich. Hier wird die ergänzende Norm ISO 27005 herangezogen. Zusätzlich stellt das BSI mit dem Standard 100-4 einen Standard für ein unternehmensweites Notfallmanagement zur Verfügung.
Voraussetzung für das ISO-27001-Zertifikat auf Basis von IT-Grundschutz ist die Überprüfung durch einen vom BSI zertifizierten ISO-27001-Grundschutz-Auditor.
Eine weitere Basis stellt der IT-Grundschutz in der Informationssicherheit dar. Dieser Grundschutz dient zur Identifikation und Umsetzung relevanter Sicherheitsmaßnahmen. Dazu hat das BSI konkrete Anforderungen festgelegt, die es zu beachten gilt. Die Informationen zum IT-Grundschutz sind für jedes Unternehmen zugänglich.
Die BSI-Standards enthalten Empfehlungen für Methoden, Prozesse, Verfahren, Vorgehensweisen und Maßnahmen zur Informationssicherheit. Behörden und Unternehmen können die Empfehlungen des BSI nutzen und an ihre eigenen Anforderungen anpassen. Herstellern von Informationstechnik oder Dienstleistern helfen die Empfehlungen dabei, ihre Angebote sicherer zu machen.
COBIT ist ein international anerkannter Rahmen für ein internes Kontrollsystem. Es dient zur Strukturierung von IT und IT-Prozessen und betrachtet folgende Ziele:
COBIT definiert hierbei nicht, wie die Anforderungen umzusetzen sind, sondern was umzusetzen ist.
Information Technology Infrastructure Library (ITIL) ist eine Darlegung festgelegter Prozesse, die in jeder IT-Infrastruktur von mittleren und großen Unternehmen vorkommen. Leitgedanke ist das IT-Service-Management, welches in die Phasen
gegliedert ist. Hierzu werden in Form von Best Practices die notwendigen Prozesse, die Organisation und die Werkzeuge beschrieben. Ebenso werden Risiken, kritische Erfolgsfaktoren und die Überwachung der Prozesse behandelt.
IT-Kennzahl
Folgende Beispiele sind u.a. für IT-Kennzahlen festgelegt:
IT-Kennzahlensystem
Auch im IT-Bereich sind Kennzahlen die Koordinaten des Steuerungsobjektes im jeweiligen Zustandsraum. Ein Kennzahlensystem ist grundsätzlich eine Liste von Kennzahlen. Es gibt Tägliche Kennzahlen der IT-Organisation und Langzeit-Kennzahlen sowie noch weitere Kennzahlen.
Balanced Scorecard
Die Balanced Scorecard ist ein Instrument für die strategische Steuerung von Unternehmensorganisationen. Mithilfe dieses Tools soll die operative Umsetzung der Zielsetzungen optimal unterstützt werden. Die IT-Balanced Scorecard weist darüber hinaus spezielle Anforderungen in der IT auf.
IT Benchmarking-Methode
Die IT-Benchmarking-Methode, im Rahmen eines effektiven IT-Controllings ist geeignet, um die relative Position der eigenen Organisation im Teilnehmerfeld abzuschätzen und zu ermitteln, ob realistische Optimierungspotenziale vorhanden sind. Zudem lässt sich herausfinden, in welchen Prozessen und Funktionen hohe Potenziale zu erwarten sind. Es wird aufgezeigt, wie groß das Optimierungspotenzial ist. IT-Controller sollten mit dieser Methode Ziele für Kostenoptimierungsprogramme definieren.
IT-Reporting
Berichte sind standardisierte, periodische oder fallweise Präsentationen von Controllingergebnissen, die entsprechende Zusammenhänge aufzeigen. Reports enthalten Kennzahlen sowie Kommentare und Empfehlungen, die zur Kennzahlen Optimierung beitragen. Das Reporting geht immer an die IT-Führung, kann aber auch an IT-Kunden oder IT-Lieferanten gehen.