Informationssicherheit in Unternehmen: Definition, Maßnahmen & Ziele, ISMS, CISO & ISB, ISO/IEC 27001, …

Lena Vierus
Informationssicherheit in Unternehmen

Inhalt

Was ist Informationssicherheit?

Die Informationen sind neben den Mitarbeitenden das wertvollste Gut eines jeden Unternehmens. Daher sind der Schutz und der vertrauliche Umgang mit Informationen essentiell für den Geschäftserfolg – und das unabhängig von Unternehmensgröße und -branche. Gerade unter den aktuellen Umständen eines potentiellen Cyberkriegs spüren Unternehmen und Organisationen, dass sie dringend aktiv werden müssen.

Erfahren Sie in diesem Beitrag, wie Sie dem Thema Informationssicherheit entsprechende Aufmerksamkeit widmen können, welche Ziele und Maßnahmen für Sie von Bedeutung sind und wie Sie am besten vorgehen, um die Informationssicherheit Ihres Unternehmens zu gewährleisten oder optimieren.

Definition Informationssicherheit

Die Informationssicherheit zielt auf die Sicherstellung der drei übergeordneten Schutzziele ab. Diese sind die…
1. Vertraulichkeit,
2. Integrität und
3. Verfügbarkeit von Informationen.

Da Informationen sowohl mithilfe von technischen als auch nicht-technischen Systemen bzw. Prozessen gespeichert, be- und verarbeitet sowie übermittelt werden, können die Eigenschaften dieser Systeme und Prozesse als zentraler Aspekt der Informationssicherheit verstanden werden. Mithilfe von geeigneten Maßnahmen werden diese Systeme und Prozesse laufend optimiert und auf die Schutzziele hin überprüft.

Dadurch wird die Absicht verfolgt, die sensiblen Unternehmensinformationen vor Gefahren bzw. Bedrohungen zu schützen, wirtschaftliche Schäden zu vermeiden und Risiken zu minimieren. Es soll also nur autorisierten Benutzern Zugriff auf Daten gewährt werden, während sie vor unbefugten und unkontrollierten Zugriffen geschützt sein sollen.

Informationen im Kontext technischer und nicht-technischer Systeme / Prozesse

Unter technischen Mechanismen wird meist die gesamte ITK-Infrastruktur (Informations- und Telekommunikationstechnik) verstanden. Die nicht-technischen Systeme umfassen beispielsweise Räume mit vertraulichem Datenmaterial (wie z. B. die Personalabteilung oder sonstige Papier-Archive), das Betriebsgelände oder den Umgang mit Informationen in den Köpfen und Gesprächen der Unternehmensmitglieder.

Relevant für die Informationssicherheit sind beide Arten gleichermaßen. Damit ein entsprechendes Sicherheitsniveau gewährleistet ist, ist es erforderlich, dass sämtliche Bereiche im Unternehmen dazu ihren Beitrag leisten.

Informationssicherheitsleitlinie: BSI IT Grundgesetz und ISO/IEC 27001

In Deutschland richtet sich die Informationssicherheit von Unternehmen meist nach zwei Standards:

  1. Dem IT-Grundschutz des BSI oder
  2. nach der NORM ISO/IEC 27001

Vor dem Hintergrund der fortschreitenden Digitalisierung und ihrer Gefahren sind beide Standards so wichtig, wie noch nie. Beide Leitlinien werden u. a. für die Einführung und nachhaltige Etablierung eines Informationssicherheits-Managementsystems (ISMS) genutzt, um dadurch ein effektives Management der Informationssicherheit zu erzielen (Hierzu später mehr).

Wir erklären schnell und einfach, wo die Unterschiede zwischen dem IT Grundschutz und der ISO/IEC 27001 liegen.

Der IT Grundschutz

Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Schutzmaßnahmen der unternehmenseigenen IT (Informationstechnik). Der BSI IT-Grundschutz Katalog gibt Anleitungen, Anforderungen, Maßnahmen und Gefährdungen an die Hand und ist auf dem Gebiet der IT deutlich konkreter und detaillierter als die ISO/IEC 27001. Er eignet sich speziell für Unternehmen und kritische Infrastrukturen, die mit hochsensiblen Daten arbeiten.

Er gilt allerdings nur auf nationaler Ebene. Wenn Sie eine international anerkannte Zertifizierung Ihrer Informationssicherheit erlangen möchten, könnte die ISO/IEC 27001 die sinnvollere Option sein.

Die ISO/IEC 27001

Mit einer Zertifizierung nach ISO/IEC 27001 – dem „State of the Art“ im internationalen Kontext – kann ein Unternehmen nachweisen, dass es sich aktiv gegen Gefährdungen der Informationssicherheit schützt und die Standards der Informationssicherheit erfüllt. Besonders für KMU bietet sich die ISO/IEC 27001 an, da sie gut skalierbar und auf die Größe und die Leistung Ihres Unternehmens anpassbar ist.

ISO/IEC 27001 ist außerdem mit anderen anerkannten Managementsystem-Normen kompatibel und kann so für die Integration in bestehende Managementsysteme und -prozesse dienen, z. B. nach ISO 9001, ISO 14001 oder ISO 50001.

BSI IT Grundschutz

  • Nationaler Standard des BSI
  • Grundsätzlich für alle anwendbar, doch besonders für behördliche Einrichtungen, Dienstleister aus dem Bereich und KRITIS Unternehmen
  • Geeignet für Behörden und Unternehmen, die mit hochsensiblen Daten arbeiten

ISO/IEC 27001

ISO/IEC 27001

  • Internationaler Standard
  • Geeignet für alle Unternehmensgrößen und Brachen, da die Norm gut skalierbar ist
  • Weltweit anerkannt für alle Schtzbedarfe

Das könnte Sie auch interessieren:

Die TISAX® Zertifizierung steht spätestens 2022 auf der To-do-Liste vieler Automobilzulieferer und -dienstleister. Das TISAX® Zertifikat signalisiert den Automobilherstellern, dass ein Unternehmen Wert auf hohe Informationssicherheit legt und diese den international anerkannten TISAX® Anforderungen entspricht. 

Zu unserem TISAX®-Beitrag

Schutzziele der Informationssicherheit

Die allgemeinen Schutzziele der Informationssicherheit umfassen die Sicherstellung der…

  • Vertraulichkeit von Informationen (Confidentiality)
  • Integrität von Informationen (Integrity)
  • Verfügbarkeit von Informationen (Availability)

Als Abkürzung der Schutzziele wird oft „C.I.A. Triade“ verwendet. Und nein, diese Abkürzung hat nichts mit dem US-amerikanischen Geheimdienst zu tun.

Vertraulichkeit

Um die Vertraulichkeit von Informationen sicherzustellen, muss gewährleistet sein, dass nur autorisierte Benutzer Zugriff auf für sie bestimmte Informationen erhalten. Nur sie dürfen diese sichten, verarbeiten oder bearbeiten. Es muss daher genau definiert werden, wer Zugriff auf welche Daten haben soll und darf. Unberechtigte Zugriffe oder die unbefugte Verarbeitung durch Dritte müssen unbedingt verhindert werden.

Integrität

Integrität setzt die Richtigkeit und Vollständigkeit von Informationen und ihren Verarbeitungsmethoden voraus. Es soll unbemerktes Verändern von Informationen verhindert werden, bzw. müssen die getätigten Änderungen nachvollziehbar gestaltet werden. Auch bei der Datenübermittlung müssen diese Aspekte erfüllt sein.

Verfügbarkeit

Die Verfügbarkeit schließt einerseits ein, dass der Zugriff auf Informationen bei Bedarf jederzeit gewährleistet werden kann und dass andererseits mögliche Systemausfälle verhindert oder zumindest minimiert werden. Vor allem die Arbeitsabläufe, die für ein Unternehmen essenziell sind, müssen vor Ausfällen geschützt werden. Am besten geht man hier mit einer Risikoanalyse vor und spielt in Szenarien durch, wie hoch die Wahrscheinlichkeit eines Ausfalls ist, wie lang die Ausfallzeit wäre und welches Schadenspotenzial gegeben ist.

Durch regelmäßig getestete Datensicherungen kann die Verfügbarkeit auch in der Notfallsituation eines Ausfalls gewährleistet werden. Diese Sicherungen müssen an einem besonders „Ausfall-sicheren“ Ort aufbewahrt werden, der z. B. brand- und wassersicher ist.

Weitere Ziele der Informationssicherheit

Neben diesen Grundzielen existieren weiter Schutzziele wie …

  • die Verbindlichkeit von Informationen,
  • die Authentizität von Informationen,
  • genauso wie die eindeutigen Zuordnungsmöglichkeiten.

Ein besonderes Schutzziel im Sinne der Datenschutzgrundverordnung (DSGVO) ist die Resilienz (Widerstandsfähigkeit/Belastbarkeit) gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen).

Doch welche konkreten Maßnahmen gibt es nun, um all diese Ziele zu sichern?

Maßnahmen und Aufgaben der Informationssicherheit

Um die Schutzziele der Informationssicherheit zu erreichen und auch nachhaltig zu bewahren, müssen verschiedene Maßnahmen getroffen und verfolgt werden. Diese technischen und organisatorischen (nicht-technischen) Maßnahmen sollten als Teil eines vollumfänglichen Sicherheitskonzeptes verstanden werden, welches ein Unternehmen erarbeiten und anschließend umsetzen muss. Verantwortlich hierfür ist in der Regel das Management selbst, welches die verschiedenen Informationssicherheits-Aufgaben dann an spezifische Einheiten delegiert.

  • Technische Maßnahmen wären z. B.:
    • Räumliche Sicherung von Daten und IT-Komponenten
    • Anwendung von Verschlüsselungsverfahren, Virensoftwares, Firewalls, Redundanzmechanismen, Authentifizierungsmethoden & Backup-Prozeduren
    • Durchführung von Softwareaktualisierungen
  • Organisatorische Maßnahmen wären z. B.
    • Schulung der Mitarbeitenden
    • Durchführen von Sensibilisierungskampagnen
    • Festlegen von Richtlinien für die Dokumentation von und den Umgang mit Passwörtern

Im Mittelpunkt der Maßnahmen steht ganz klar die Einführung eines Informationssicherheits-Managementsystems (ISMS). Ein ISMS kann als Kernkomponente gesehen werden, die als methodische Grundlage für andere Sicherheitsverfahren und -normen dienen kann.

Informationssicherheitsmanagementsystem (ISMS)

Definition ISMS

Informationssicherheit erfordert einen fortlaufenden Managementprozess und ein ISMS ermöglicht diesen.

Mit der Zertifizierung nach ISO/IEC 27001 lassen sich die umgesetzten Maßnahmen rund um das ISMS objektiv belegen und sie dient auch ihren Geschäftspartnern als Nachweis Ihrer Informationssicherheit. Das hat sich für viele Unternehmen durchaus als positiv erwiesen.

Zertifizierung nach ISO/IEC 27001

  • DIE ISO/IEC 27001 ist mittlerweile die bekannteste anerkannte Norm für Informationssicherheits-Managementsysteme. Die Norm definiert die Anforderungen für die Einführung, den Betrieb, die Überwachung, Wartung und kontinuierliche Optimierung eines dokumentierten ISMS. Sie gilt dabei international und branchenübergreifend!

Neben den allgemeinen Richtlinien greift die ISO/IEC 27001 ergänzend individuelle Faktoren und Risiken innerhalb von Unternehmen auf. Die Norm leitet Organisationen darin, eine Kultur und Ziele für das Management der Informationssicherheit zu erarbeiten. Denn Informationen bilden einen großen Bestandteil der unternehmerischen Basis ab, beeinflussen dadurch die Geschäftsfähigkeit und sind somit als immaterielle Unternehmenswerte zu verstehen.

Vorteile eines ISO/IEC 27001 zertifizierten ISMS

Die Vorteile, die mit einem zertifizierten ISMS einhergehen, sind zum Beispiel:

  • Vertraulichkeit: Informationen sind nur denjenigen zugänglich, die zum Zugriff berechtigt sind
  • Verfügbarkeit: Bei Bedarf ist der Zugang zu Informationen und zugehörigen Anlagen gewährleistet
  • Integrität: Richtigkeit und Vollständigkeit Ihrer Informationen und Verarbeitungsmethoden
  • Objektiver Sicherheitsnachweis: Alle notwendigen Voraussetzungen wurden nachweislich getroffen und durch eine dritte, unabhängige Quelle zertifiziert
  • Wettbewerbsvorteil: Kunden und Partner fordern eine nachgewiesene / zertifizierte Informationssicherheit immer häufiger an
  • Zukunftsfähigkeit: Sicherung der zukünftigen Geschäftsfähigkeit
  • Schutz vor Risiken …wie bspw. Betrug, Missbrauch, Datenverlust und Hacker-Angriffen
  • Geschärftes Bewusstsein: Unternehmenswerte und -risiken sind unter allen Mitarbeitenden und entlang der gesamten Wertschöpfungskette bekannt

Wichtig ist, dass Sie sich um kontinuierliche Sicherheit bemühen – Informationssicherheit ist nicht starr! Eigenkontrolle und kontinuierliche Verbesserungen schaffen dauerhaft Sicherheit, die sich aktuellen Anforderungen anpasst. Ein gutes Beispiel sind die immer häufiger auftretenden Hacker-Angriffe, welche dem Russland-Ukraine-Konflikt entspringen.

Kontrolliert und geleitet werden die Maßnahmen und Aufgabengebiete durch bestimmte Berufsprofile, die das Ziel verfolgen, die Informationssicherheit samt physischer Sicherheit, Datenschutz und IT-Sicherheit in Unternehmen zu gewährleisten.

Berufsprofile in der Informationssicherheit

Abzugrenzen ist der Chief Information Security Officer (CISO) – oder auch Informationssicherheitsbeauftragter (ISB) genannt – vom Chief Information Officer (CIO) und dem Chief Security Officer (CSO).

Definitionen und Unterschiede CISO / ISB vs. CIO vs. CSO

Ein CIO entwickelt die globale IT-Strategie des Unternehmens und stellt sicher, dass alle Systeme, die zur reibungslosen Geschäftstätigkeit und zum Erreichen der Unternehmensziele erforderlich sind, funktionieren und der größtmögliche Mehrwert für das Unternehmen erzielt wird.

  • Festlegen von Zielen und Strategien für die IT-Abteilung
  • Auswahl und Implementierung geeigneter Technologien zur Rationalisierung aller internen Abläufe und zur Optimierung ihres strategischen Nutzens
  • Planung und Anpassung von technologischen Systemen und Plattformen zur Verbesserung der Kundenerfahrung
  • Führung und Entwicklung des Teams in der IT-Organisation

Der CSO ist für die Unternehmenssicherheit verantwortlich. Seine Hauptaufgabe ist es, die physische und technologische Stabilität zu gewährleisten. Das beinhaltet die Sicherheit von Daten, geistigem Eigentum, physischen Gütern sowie den Schutz von Mitarbeitern.

  • Leitung der Risikokontrollmaßnahmen des Unternehmens
  • Verwaltung und Ausführung von Sicherheitsprotokollen, Spezifikationen, Richtlinien und Verfahren
  • Beaufsichtigung des Netzwerks von Sicherheitsmanagern und Auftragnehmern, um das geistige Eigentum und die Datenbankinfrastruktur des Unternehmens zu sichern
  • Koordinierung der externen Auftragnehmer zur Durchführung von unparteiischen Prüfungen zur Einhaltung der (gesetzlichen) Vorschriften
  • Pflege der Beziehungen zu lokalen, bundesstaatlichen und staatlichen Strafverfolgungsbehörden und allen relevanten Regierungsstellen
  • Untersuchung und Beaufsichtigung von Sicherheitsvorfällen und Reaktionen darauf

Die Hauptaufgabe eines CISO / ISB besteht darin, die potentiellen Bedrohungen, denen ein Unternehmen ausgesetzt ist, zu verfolgen und zu bewerten. Er organisiert, entwickelt und beobachtet also alle konkreten Informationssicherheits-Maßnahmen innerhalb der Organisation.

  • Schutz und Aufrechterhaltung der Informations- und Datensicherheit
  • Gefahren- und Compliance-Management
  • Wiederherstellung nach Katastrophen und Aufrechterhaltung der Geschäftskontinuität
  • Identitäts- und Zugriffsmanagement
  • Sicherheitsarchitektur
  • Regelung des Informationsmanagements für Finanzsysteme
  • Cyber Security

Ist ein ISB Pflicht? Wer kann ISB werden?

Im Rahmen der Digitalisierung hat die Funktion des Informationssicherheitsbeauftragten /CISO immens an Bedeutung gewonnen. Grundsätzlich besteht aber keine gesetzliche Pflicht für Unternehmen, einen ISB zu stellen. Die Ausnahme bilden sogenannte KRITIS-Unternehmen.

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“  KRITIS-Definition der Bundesressorts

Wenn die Benennung eines Informationssicherheitsbeauftragten geplant ist, streben einige Unternehmen eine interne Lösung an. Ganz wichtig bei diesem Vorhaben ist allerdings, dass kein Interessenkonflikt bestehen darf, weshalb weder ein Mitglied der Geschäftsführung noch die Leitung der IT-Abteilung die Rolle des ISB übernehmen kann. Daher ist oft die Wahl eines externen Informationssicherheitsbeauftragten eine gute Lösung.

NORM X Vorteile ISO27001
Jetzt Gesprächs-Termin vereinbaren

Zusammenfassung: Relevanz der Informationssicherheit

Mit voranschreitender Digitalisierung wachsen Möglichkeiten ebenso wie potentielle Gefahren. Der Informationssicherheit sollte entsprechend hohe Priorität zugesprochen werden – gerade im wirtschaftlichen Umfeld, denn der Geschäftserfolg steht und fällt mit der Sicherheit Ihrer Informationen.

Mit geeigneten Maßnahmen zur sicheren Speicherung, Verarbeitung und Übermittlung von Daten können sich Unternehmen aktiv vor Bedrohungen schützen, Risiken minimieren und wirtschaftliche Schäden von vorneherein vermeiden. Besonders erwähnenswert ist hier die Einführung eines ISO/IEC 27001 zertifizierten Informationssicherheits-Managementsystems (ISMS).

Zudem können Unternehmen bei Nicht-Einhaltung von gesetzlichen Vorgaben der DSGVO oder des IT-Grundschutzes sogar hohe Strafen drohen. Eine proaktive Investition in Ihre Informationssicherheit ist in jedem Fall sinnvoll. Schützen Sie sich nicht nur selber, sondern schärfen auch das Sicherheitsbewusstsein Ihrer Mitarbeiter, Kunden, Geschäftspartner und Lieferanten.

IX SCHULUNGEN

Die ISEGRIM X® Schulungen sind erfolgreich, weil …

  • ... wir das Problembewusstsein bei Ihren Mitarbeitern schaffen und das Verhalten im Umgang mit Informationen ändern.
  • ... wir Ihre Mitarbeiter nicht als Sicherheitslücke, sondern als Abwehrschirm gegen Angriffe auf die Informationssicherheit sehen.
  • ... wir Ihre Mitarbeiter für mehr Informationssicherheit motivieren und
  • ... unsere Schulungen leicht verständlich und mit praxisnahen Beispielen durchführen.
Jetzt anfragen
Oder Gesprächs-Termin vereinbaren

Abgrenzung der Fachbegriffe

Oft werden IT-Sicherheit, Datenschutz und Informationssicherheit synonym verwendet. Es gibt allerdings entscheidende Unterschiede, weshalb die Begriffe nicht als Synonyme gebraucht werden sollten.

Die IT-Sicherheit kann als ein Teilaspekt der Informationssicherheit verstanden werden.

Der Begriff IT-Sicherheit umfasst den Schutz von Daten und Informationen, die elektronisch gespeichert und verarbeitet werden – also in IT-Systemen. Diese müssen durch entsprechende Maßnahmen geschützt werden.

Während die IT-Sicherheit sich auf den Schutz von technischen Systemen bezieht, geht es in der Informationssicherheit allgemein um den Schutz von Informationen. Denn diese können nicht nur in technischen Systemen vorliegen, sondern ebenso in einem Papierarchiv oder im Kopf der Mitarbeitenden. Auch die Sicherung des Betriebsgeländes zählt dazu.

Die Informationssicherheit ist also noch etwas umfassender als die IT-Sicherheit und tritt daher im Sprachgebrauch häufiger auf. Ebenso oft begegnen einem mittlerweile die englischen Versionen der Fachbegriffe, wie Information Security, Cyber Security oder IT Safety.

Unter Datenschutz wird der Schutz von personenbezogenen Daten verstanden. Hierzu zählen beispielsweise Name, Adresse, Telefonnummer, Sozialversicherungsnummer, usw. – im Prinzip alle Daten, anhand derer sich ein direkter Personenbezug herstellen lässt.

Im Datenschutz liegt der Schwerpunkt nicht auf dem Inhalt der Daten selbst, sondern auf dem Recht der Verarbeitung dieser Informationen. Mit Einführung der DSGVO 2018 wurden gesetzliche Spezifikationen für den europäischen Raum festgelegt und maßgeblich verschärft. Die DSGVO thematisiert die rechtlichen Voraussetzungen, unter denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden dürfen. Ziel ist es, die Privatsphäre eines jeden Menschen zu schützen, indem die Möglichkeit zur informationellen Selbstbestimmung geboten wird. Erreicht wird dieses Ziel durch entsprechende Maßnahmen, die sich an der DSGVO orientieren.

Wie die IT-Sicherheit ist auch der Datenschutz ein Teilgebiet der umfassenderen Informationssicherheit.