Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Für viele Unternehmen ist die ISO 27001 immer noch ein Buch mit sieben Siegeln. Wir sprachen mit Dominik Seifert, Consultant für Informationssicherheit & ISO 27001, ISMS/ISO 27001 Lead-Auditor und CISA von der complimant AG in Kirchweidach über Zweck, Inhalte und Einführung der Norm in einem Unternehmen.
DATEN EINES UNTERNEHMENS SIND SCHÜTZENSWERT
Herr Seifert, Sie verhelfen Unternehmen zu mehr Informationssicherheit. Was kann man sich konkret darunter vorstellen?
Der Begriff Informationssicherheit umfasst sämtliche Informationen, die in irgendeiner Art in einem Unternehmen entlang der gesamten Wertschöpfungskette „berührt“ werden. Es sind also erst einmal alle Daten eines Unternehmens in gewissem Maße als „schützenswert“ zu erachten. Und es sind hinsichtlich der Maßnahmen zu diesem Thema dann auch sämtliche Personen, die Einfluss auf diese Daten haben können, mit an Bord zu nehmen – also z. B. auch der Freelancer, der Hausmeister oder der Putzdienst. Da heutzutage nahezu alle Kernprozesse der digitalen Datenverarbeitung unterliegen, steigt die Abhängigkeit der Unternehmen hier in enormen Schritten – völlig unabhängig von welcher Branche oder Unternehmensgröße wir sprechen.
Warum müssen noch weitere Maßnahmen ergriffen werden, wenn ich bereits eine sichere IT betreibe und meine Mitarbeiter zur Verschwiegenheit verpflichtet habe?
Hier greifen Sie gleich einen ganz entscheidenden Aspekt auf – die Mitarbeiter. Diese sind bezogen auf die Informationssicherheit nämlich leider stets mit die größte Schwachstelle. Das bedeutet jedoch nicht, dass die Belegschaft mit Androhungen oder noch strengeren Verschwiegenheitsklauseln eingeschüchtert werden sollte. Vielmehr sehe ich hier in der konsequenten Umsetzung des sog. „Need to know“-Prinzips (Jeder soll also genau nur das sehen und verarbeiten können, was zur Ausübung seiner Tätigkeit unbedingt von Nöten ist) und vor allem in gezielten und regelmäßig wiederkehrenden Schulungsmaßnahmen das größte Potential.
Die IT wird hier oftmals etwas überschätzt – sie legt als technische Infrastruktur einen äußerst wichtigen Grundstein – definitiv, doch andere Themenbereiche sind der IT – bezogen auf ihren Beitrag zu mehr Informationssicherheit – mindestens gleichzusetzen.
FALSCHE VERWENDUNG VON INFORMATIONEN KANN EXISTENZBEDROHEND SEIN
Welche einfachen Maßnahmen kann ich denn verhältnismäßig schnell umsetzen?
Große Effekte kann man bereits erzielen, wenn man die heutigen Zugriffsrechte einer kritischen Prüfung unterzieht. Hier sollte durch geeignete Ordnerstrukturen und Rollenzuweisungen dafür gesorgt werden, dass der einzelne Mitarbeiter eben nur auf solche Informationen zugreifen kann, die für seine Arbeit notwendig sind. Das schließt natürlich auch ein, dass Rechte bei einer Beendigung oder Veränderung des Anstellungsverhältnisses auch wieder entzogen werden. Mindestens genauso wirkungsvoll ist eine konsequente Sensibilisierung der Mitarbeiter. Hier sind z. B. gezielte Schulungen zu Passwortkonventionen oder dem Umgang mit Datenträgern und mobilen Geräten sehr hilfreich. Heutzutage nehmen Mitarbeiter diesbezügliche Hinweise immer häufiger nicht als Last, sondern aber dankend auf, denn die tagtäglichen Pressemeldungen sorgen hier – im Privat- wie auch im Berufsleben – für gewisse Unsicherheiten.
Bin ich eigentlich gezwungen, Maßnahmen zur Steigerung der Informationssicherheit zu ergreifen?
Neben den bekannten gesetzlichen Vorgaben an die Unternehmensleitung – beispielsweise aus dem Bundesdatenschutzgesetz – sollte man sich stets bewusst machen, dass eine missbräuchliche oder versehentlich falsche Verwendung von Informationen zu einem großen oder gar existenzbedrohlichen Imageschaden für das Unternehmen führen kann. Das schließt neben klassischen Schwachstellen natürlich auch Wirtschaftsspionage mit ein, von der viele Unternehmen – besonders auch im Mittelstand – betroffen sind. Wie die Skandale der letzten Monate zeigten, passiert das tatsächlich in sämtlichen Unternehmensgrößen und -branchen.
Bei vielen Branchen wie z. B. der Automobilindustrie wird ein wirksames Informationssicherheitsmanagementsystem – kurz ISMS – darüber hinaus sogar vertraglich bzw. in Ausschreibungen gefordert. Hier entscheidet das Thema also ganz konkret über Erhalt oder Nichterhalt von Millionenaufträgen.
Als Nachweis dient hier meist eine Zertifizierung gemäß der ISO-Norm 27001, welche einen enormen Anschub in den letzten 1-2 Jahren verzeichnet.
DIE NORM BIETET DEN RAHMEN FÜR EIN WIRKSAMES ISMS
Was genau umfasst denn die Norm ISO 27001?
Die Norm gibt den Rahmen für ein wirksames Informationssicherheitsmanagementsystem vor und bietet eine Sammlung von in der Praxis bewährten technischen und organisatorischen Maßnahmen. Entscheidend ist hierbei der risikoorientierte Ansatz: Nicht jedes Unternehmen muss alle Maßnahmen bis zur Perfektion umsetzen. Ziel ist immer, eine Minimierung der Risiken bis hin zu einem „angemessenen“ Schutzniveau, das in jedem Unternehmen aber individuell abhängig von den Produkten, Dienstleistungen, Zielbranchen und eben den verarbeiteten Daten ist.
Wie weit ist der Weg hin zu einem ISO 27001-Zertifikat?
Für eine Annäherung an das Thema ISO 27001 empfiehlt sich zunächst ein Einstiegsaudit im Sinne einer Soll-Ist-Analyse, in dessen Rahmen innerhalb von zwei bis drei Tagen festgestellt werden kann, wie nah ein Unternehmen einer erfolgreichen Zertifizierung bereits ist. Am Ende sollte ein priorisierter Maßnahmenkatalog stehen, der alle erforderlichen Schritte aufzeigt, die bis zu einem Zertifizierungs-Audit zwingend umgesetzt werden müssen. Hier zeigt sich schnell, wie hoch der tatsächliche Aufwand für die Einführung eines ISMS sein wird, welcher z. B. durch ein bereits vorhandenes, ähnliches Managementsystem – wie nach ISO 9001 – stark vermindert werden kann.
Ähnliche Artikel
ISO 27018 Standard für...
Seit August letzten Jahres gibt es die neue ISO-Norm ISO/IEC 27018. Diese Erweiterung der...
- By Ingo Kaiser
- Datenschutz
ISO 27001 – Versionen...
Seit 1. Okt. 2013 ist der neue Standard ISO/IEC 27001:2013 verbindlich anzuwenden und...
- By Ingo Kaiser
- ISO 27001
Zur ISO 27001 über ISIS12
Manchen Unternehmen, die sich für ein zertifiziertes Informationssicherheitssystem...
- By Ingo Kaiser
- ISO 27001