Für viele Unternehmen ist die ISO 27001 immer noch ein Buch mit sieben Siegeln. Wir sprachen mit Dominik Seifert, Consultant für Informationssicherheit & ISO 27001, ISMS/ISO 27001 Lead-Auditor und CISA von der complimant AG in Kirchweidach über Zweck, Inhalte und Einführung der Norm in einem Unternehmen.
DATEN EINES UNTERNEHMENS SIND SCHÜTZENSWERT
Herr Seifert, Sie verhelfen Unternehmen zu mehr Informationssicherheit. Was kann man sich konkret darunter vorstellen?
Der Begriff Informationssicherheit umfasst sämtliche Informationen, die in irgendeiner Art in einem Unternehmen entlang der gesamten Wertschöpfungskette „berührt“ werden. Es sind also erst einmal alle Daten eines Unternehmens in gewissem Maße als „schützenswert“ zu erachten. Und es sind hinsichtlich der Maßnahmen zu diesem Thema dann auch sämtliche Personen, die Einfluss auf diese Daten haben können, mit an Bord zu nehmen – also z. B. auch der Freelancer, der Hausmeister oder der Putzdienst. Da heutzutage nahezu alle Kernprozesse der digitalen Datenverarbeitung unterliegen, steigt die Abhängigkeit der Unternehmen hier in enormen Schritten – völlig unabhängig von welcher Branche oder Unternehmensgröße wir sprechen.
Warum müssen noch weitere Maßnahmen ergriffen werden, wenn ich bereits eine sichere IT betreibe und meine Mitarbeiter zur Verschwiegenheit verpflichtet habe?
Hier greifen Sie gleich einen ganz entscheidenden Aspekt auf – die Mitarbeiter. Diese sind bezogen auf die Informationssicherheit nämlich leider stets mit die größte Schwachstelle. Das bedeutet jedoch nicht, dass die Belegschaft mit Androhungen oder noch strengeren Verschwiegenheitsklauseln eingeschüchtert werden sollte. Vielmehr sehe ich hier in der konsequenten Umsetzung des sog. „Need to know“-Prinzips (Jeder soll also genau nur das sehen und verarbeiten können, was zur Ausübung seiner Tätigkeit unbedingt von Nöten ist) und vor allem in gezielten und regelmäßig wiederkehrenden Schulungsmaßnahmen das größte Potential.
Die IT wird hier oftmals etwas überschätzt – sie legt als technische Infrastruktur einen äußerst wichtigen Grundstein – definitiv, doch andere Themenbereiche sind der IT – bezogen auf ihren Beitrag zu mehr Informationssicherheit – mindestens gleichzusetzen.
FALSCHE VERWENDUNG VON INFORMATIONEN KANN EXISTENZBEDROHEND SEIN
Welche einfachen Maßnahmen kann ich denn verhältnismäßig schnell umsetzen?
Große Effekte kann man bereits erzielen, wenn man die heutigen Zugriffsrechte einer kritischen Prüfung unterzieht. Hier sollte durch geeignete Ordnerstrukturen und Rollenzuweisungen dafür gesorgt werden, dass der einzelne Mitarbeiter eben nur auf solche Informationen zugreifen kann, die für seine Arbeit notwendig sind. Das schließt natürlich auch ein, dass Rechte bei einer Beendigung oder Veränderung des Anstellungsverhältnisses auch wieder entzogen werden. Mindestens genauso wirkungsvoll ist eine konsequente Sensibilisierung der Mitarbeiter. Hier sind z. B. gezielte Schulungen zu Passwortkonventionen oder dem Umgang mit Datenträgern und mobilen Geräten sehr hilfreich. Heutzutage nehmen Mitarbeiter diesbezügliche Hinweise immer häufiger nicht als Last, sondern aber dankend auf, denn die tagtäglichen Pressemeldungen sorgen hier – im Privat- wie auch im Berufsleben – für gewisse Unsicherheiten.
Bin ich eigentlich gezwungen, Maßnahmen zur Steigerung der Informationssicherheit zu ergreifen?
Neben den bekannten gesetzlichen Vorgaben an die Unternehmensleitung – beispielsweise aus dem Bundesdatenschutzgesetz – sollte man sich stets bewusst machen, dass eine missbräuchliche oder versehentlich falsche Verwendung von Informationen zu einem großen oder gar existenzbedrohlichen Imageschaden für das Unternehmen führen kann. Das schließt neben klassischen Schwachstellen natürlich auch Wirtschaftsspionage mit ein, von der viele Unternehmen – besonders auch im Mittelstand – betroffen sind. Wie die Skandale der letzten Monate zeigten, passiert das tatsächlich in sämtlichen Unternehmensgrößen und -branchen.
Bei vielen Branchen wie z. B. der Automobilindustrie wird ein wirksames Informationssicherheitsmanagementsystem – kurz ISMS – darüber hinaus sogar vertraglich bzw. in Ausschreibungen gefordert. Hier entscheidet das Thema also ganz konkret über Erhalt oder Nichterhalt von Millionenaufträgen.
Als Nachweis dient hier meist eine Zertifizierung gemäß der ISO-Norm 27001, welche einen enormen Anschub in den letzten 1-2 Jahren verzeichnet.
DIE NORM BIETET DEN RAHMEN FÜR EIN WIRKSAMES ISMS
Was genau umfasst denn die Norm ISO 27001?
Die Norm gibt den Rahmen für ein wirksames Informationssicherheitsmanagementsystem vor und bietet eine Sammlung von in der Praxis bewährten technischen und organisatorischen Maßnahmen. Entscheidend ist hierbei der risikoorientierte Ansatz: Nicht jedes Unternehmen muss alle Maßnahmen bis zur Perfektion umsetzen. Ziel ist immer, eine Minimierung der Risiken bis hin zu einem „angemessenen“ Schutzniveau, das in jedem Unternehmen aber individuell abhängig von den Produkten, Dienstleistungen, Zielbranchen und eben den verarbeiteten Daten ist.
Wie weit ist der Weg hin zu einem ISO 27001-Zertifikat?
Für eine Annäherung an das Thema ISO 27001 empfiehlt sich zunächst ein Einstiegsaudit im Sinne einer Soll-Ist-Analyse, in dessen Rahmen innerhalb von zwei bis drei Tagen festgestellt werden kann, wie nah ein Unternehmen einer erfolgreichen Zertifizierung bereits ist. Am Ende sollte ein priorisierter Maßnahmenkatalog stehen, der alle erforderlichen Schritte aufzeigt, die bis zu einem Zertifizierungs-Audit zwingend umgesetzt werden müssen. Hier zeigt sich schnell, wie hoch der tatsächliche Aufwand für die Einführung eines ISMS sein wird, welcher z. B. durch ein bereits vorhandenes, ähnliches Managementsystem – wie nach ISO 9001 – stark vermindert werden kann.