Aufbau eines Informationssicherheits-Managements

Auf den Seiten von „Security Insider“ erschien August 2014 ein lesenswerter Artikel, der sich mit den Schwächen von IT-Sicherheit im Mittelstand befasst („Datendiebstahl im Mittelstand“) und dessen Inhalt nach wie vor höchst aktuell ist.

Die Erfahrungen und Erkenntnisse, die wir aus zahlreichen Vortragsveranstaltungen zum IT-Sicherheitsgesetz in den letzten Wochen mitgebracht haben, bestätigen das Bild, dass der Autor schon vor über einem Jahr zeichnete: Es ist nach wie vor schlecht bestellt um das Bewusstsein für die Wichtigkeit von Informationssicherheit und die Umsetzung von Schutzmaßnahmen. Das gilt insbesondere für die Führungskräfte im Unternehmen.

„Es gibt ja jetzt das IT-Sicherheitsgesetz …“

Exemplarisch ist die Antwort eines Teilnehmers auf meine Frage an mein Publikum warum man sich denn mit IT-Sicherheit befassen müsse? „Weil es ja jetzt das IT-Sicherheitsgesetz gibt“. Nein! Erstens gibt es das Bundesdatenschutzgesetz mit der Vorgabe, personenbezogene Daten technisch gegen Missbrauch zu sichern, schon seit mehr als 30 Jahren. Zweitens, vergessen Sie die Gesetze. Die Absicherung Ihrer unternehmenseigenen IT-Infrastruktur ist die Grundlage für Ihren wirtschaftlichen Erfolg – nicht mehr und nicht weniger. Doch noch immer begegnet uns im Zusammenhang mit der Diskussion um die technischen Aspekte des Datenschutzes und der IT-Sicherheit die Frage: Wen sollten denn unsere Daten interessieren? Vor ein paar Jahren konnte man vielleicht noch abwägen und überlegen, für welche mutmaßlichen Angreifer eigentlich welche Daten interessant sein könnten. Das ist lange vorbei. Im Zeitalter von „Big Data“ und unendlichen, sekundenschnellen Verknüpfungsmöglichkeiten von Daten aus verschiedenen Quellen zum Zweck der Gewinnung von geldwerten Erkenntnissen, sind im Zweifel alle Daten interessant. Interessant im Sinne einer wirtschaftlichen Verwertbarkeit.

Wo befinden sich die Kronjuwelen?

Daher gehen wir in unseren Audits zur IT-Sicherheit und beim Aufbau eines Informationssicherheitsmanagements praktisch so vor, wie der Autor des Artikels es beschreibt. Im Vordergrund stehen immer die Fragen:

– welche Daten werden verarbeitet
– wo befinden sich die Daten und
– wer hat Zugriff auf die Daten.

Dabei geht es um die Informationen des Unternehmens, die für den Erfolg und den Fortbestand des Unternehmens überlebenswichtig sind. Die Antworten auf diese Fragen sind nicht so trivial, wie es klingt. Oftmals ist gar nicht bekannt, wo sich wichtige Daten befinden und die fast grenzenlose Mobilität von Daten fügt der Unübersichtlichkeit ein weiteres Risiko hinzu.

Klassifizierung

Nützlich ist eine Klassifizierung der Daten nach ihrem Schutzbedarf, die später hilft, angemessene Schutzmaßnahmen zu definieren. Zugrunde gelegt werden dabei die klassischen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Informationen.

Ebenfalls hat es sich als eine gute Vorgehensweise erwiesen, Richtlinien und Arbeitsanweisungen zum Datenschutz und zum Umgang mit Informationen zu verfassen und diese im Unternehmen zu etablieren. Damit setzt ein Unternehmen einen „Soll-Standard“, an dem dann alle späteren Maßnahmen gemessen werden.
Im nächsten Schritt erfolgt die Analyse, ob die auf diese Weise identifizierten und bewerteten Daten technisch, aber auch organisatorisch, ausreichend abgesichert sind (die rechtliche Zulässigkeit ihrer Verarbeitung einmal vorausgesetzt). Ein Penetrationstest kann darüber ersten Aufschluss geben, aber auch die nähere Betrachtung der Firewall, der eingesetzten Anti-Virus-Maßnahmen und der Datensicherung sind Ansatzpunkte.

Nicht zu viel auf einmal wollen

Gerade wenn es in einem Unternehmen noch wenig bis keine Vorarbeiten in Sachen Datenschutz und Informationssicherheit gibt, muss man sich in kleinen Schritten voran arbeiten. Dazu bietet es sich an, an einer Stelle anzufangen und die dort gewonnenen Erkenntnisse dann Stück für Stück auf weitere Felder zu übertragen.

Der menschliche Faktor

Viele Aspekte der IT-Sicherheit sind von der Zuverlässigkeit derer abhängig, die die Maschinen bedienen. Die regelmäßige Schulung zu Fragen von Datenschutz und Informationssicherheit ist daher für alle Mitarbeiter mit Zugriff auf unternehmenskritische Daten zwingend notwendig – einschließlich der Führungskräfte und Geschäftsführung. Für letztere sollte es im Übrigen kein Sonderrecht im Umgang mit Unternehmensdaten und bezüglich der Einhaltung von Sicherheitsmaßnahmen geben, wie es leider immer noch allzu oft geschieht: ist die Nutzung von privaten von mobilen Geräten im Unternehmen aus Sicherheitsgründen verboten, gilt dies auch für Mitarbeiter in leitenden Positionen und Geschäftsführer.

Individuelle Beratung

Benötigen Sie Unterstützung beim Aufbau eines Informationssicherheitsmanagements in Ihrem Unternehmen? Sprechen Sie uns gerne an, wir entwickeln mit Ihnen ein individuelles Vorgehen.