Wettbewerbsvorteil durch ISO 27001
von Regina Mühlich, AdOrga Solutions
Schutzlos ausgeliefert oder systematisch gewappnet? Angriffe, die ein Unternehmen und seine Informationen gefährden, kommen ohne Vorwarnung. In der Welt des Internets und der Industrie 4.0 führt dies leicht zu einer Unterbrechung der IT- und der betrieblichen Prozesse.
Unberechtigte legen Systeme lahm und beschaffen sich Informationen, ungeschulte und unachtsame Mitarbeiter gefährden IT-Prozesse. Neben dem finanziellen Schaden resultieren daraus der Verlust des Kundenvertrauens, Vorteile für Mitbewerber und Imageschäden. Die ISO 27001 bietet Unternehmen hierfür einen systematischen und strukturierten Ansatz, der vertrauliche Daten schützt, die Integrität betrieblicher Daten sicherstellt sowie die Verfügbarkeit der internen IT-Systeme erhöht. Nicht bloßer Schutz, sondern ein Sicherheitskonzept mit Mehrwert…
ISO 27001 als Grundlage
Als international führende Norm für Informationssicherheits-Managementsysteme (ISMS) definiert die DIN ISO 27001 die Forderungen für die Einführung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines ISMS. Die Norm schreibt somit die Anforderungen an ein dokumentiertes ISMS im Kontext der allgemeinen Geschäftsrisiken einer Organisation fest. Des Weiteren beinhaltet sie die Regeln für die Umsetzung der Sicherheitsmaßnahmen, die auf die Bedürfnisse der jeweiligen Organisation – oder Teilen davon – zugeschnitten sind. Die individuelle Gestaltung des ISMS hängt wiederum von den Bedürfnissen und Zielen, Sicherheitsanforderungen, angewandten Verfahren und der Größe und Struktur der Organisation ab und kann nicht verallgemeinert werden. Um die konsistente und integrierte Umsetzung und Durchführung mit verwandten Managementsystemen zu unterstützen, ist die Norm unter anderem mit der ISO 9001 und auch ISO 14001 abgestimmt. Den aktuellen Anforderungen angepasst, wurde eine Revision der ISO 27001 im März 2015 veröffentlicht.
Informationssicherheit…
Was ist Informationssicherheit? Angelehnt an die Bestimmungen der ISO 27001 umfasst sie die Gewährleistung und den Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Weitere Attribute betreffen die Authentizität, Zurechenbarkeit, Verbindlichkeit und Zuverlässigkeit.
o Vertraulichkeit: Schutz von Informationen vor unberechtigter Offenlegung
o Integrität: Schutz von Informationen vor Modifikationen, Einfügungen, Löschungen, Umordnung, Duplikationen oder Wiedereinspielung
o Informationsverfügbarkeit: Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Instanzen
o Authentizität: Echtheit von Informationen oder Identitäten
o Zurechenbarkeit: Übernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte (assets)
o Verbindlichkeit: Niemand kann das Senden oder Empfangen von Informationen abstreiten oder leugnen (Proof of Origin, Proof of Delivery).
o Zuverlässigkeit: Sicherstellung eines konsistenten Verhaltens und Lieferung vorgesehener (intendierter) Ergebnisse durch eine Person oder Instanz.
Wird beispielsweise ein internes Dokument von einem Lieferanten eingesehen, gelesen oder kopiert, ist die Vertraulichkeit verletzt. Fällt hingegen ein Speichersystem aus, gehen dabei vertrags- und vertriebsrelevante Kundeninformationen verloren und existiert zugleich keine Sicherungskopie, stellt dies eine Verletzung der Informationsverfügbarkeit dar. Neben den normeninhärenten Bestimmungen stehen außerdem die gesetzlichen Vorgaben des Bundesdatenschutzgesetzes als Rahmenbedingungen der Informationssicherheit. Es gilt nun, die gesetzlichen Vorgaben mit den Inhalten und Anforderungen der Norm 27001 zusammenzufassen und strukturiert im Unternehmen umzusetzen.
…mit einem Informationssicherheits-Managementsystem (ISMS) gewährleisten
Das ISMS ist das Herzstück für alle Vorgänge und Abläufe im Bereich der IT-Sicherheit. Als ein System von Leitlinien, Verfahren, Anleitungen und zugehörigen Betriebsmitteln sowie Personal, welche zur Erreichung der Ziele eines Unternehmens oder einer Organisation erforderlich sind, ist es laufend zu überwachen, zu warten, zu verbessern und weiterzuentwickeln. Die Einführung eines ISMS selbst ist sowohl eine Frage der richtigen Methode als auch der richtigen Vorgehensweise und kann ein Unternehmen durchaus vor große Hürden stellen. Unterschiedliche Belange zwischen den Unternehmensabteilungen müssen koordiniert und in das ISMS integriert werden. Für interne ISMS/ISO 27001 Experten oft eine große Herausforderung, können externe Berater diese Hürde leichter nehmen, da sie nicht durch Interessenskonflikte im Unternehmen oder Betriebsblindheit fehlgeleitet werden. Außerdem verfügen diese aufgrund Ihrer spezialisierten Arbeitsweise in der Regel über mehr Know-how für die Implementierung eines ISMS und mehr Erfahrung für dessen Aufrechterhaltung. Eine erfolgreiche Kommunikation wie auch der Informationsaustausch sind ebenfalls wichtige Eckpfeiler für die Einführung und Optimierung eines ISMS oder für die Vorbereitung einer Zertifizierung.
„PDCA“-Modell zur Umsetzung des ISMS
Die DIN ISO 27001 verwendet das „Plan-Do-Check-Act“-Modell, um die ISMS-Prozesse in Organisationen zu strukturieren:
Daraus resultieren folgende Aufgaben:
ISMS Aufgaben
Planen (Plan)
Festlegen Festlegen der ISMS-Leitlinie, -Ziele, -Prozesse und –Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen
Durchführen (Do)
Umsetzen und Durchführen Umsetzen und Durchführen der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren.
Prüfen (Check)
Überwachen und Überprüfen Einschätzen und ggf. Messen der Prozessleistung an der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren
Handeln (Act)
Instandhalten und Verbessern Einleiten und Durchführen von Korrektur- und Vorbeugungsmaßnahmen, basierend auf den Ergebnissen von internen ISMS-Audits und Überprüfungen des Managements und anderen wesentlichen Informationen, zur ständigen Verbesserung des ISMS.
Wettbewerbsvorteil und Sicherheitsgewinn
Die ISO 27001 umfasst branchen- und größenunabhängig ein umfangreiches Sicherheitskonzept, das das unternehmerische Eigeninteresse widerspiegelt. Die Umsetzung stellt besonders für klein- und mittelständische Betriebe einen Wettbewerbsvorteil dar: Den gesetzlichen Anforderungen gerecht werden, das (IT-)Risiko im eigenen Unternehmen erkennen, einordnen und es vor allem minimieren, um somit seinen Kunden und Auftraggebern gegenüber einen gewissen Standard zu gewährleisten. Der Gesetzgeber fordert eine Zertifizierung nach ISO 27001 nicht. Unabhängig davon erleichtert die ISO 27001 aber die Einhaltung gesetzlicher Auflagen und bietet viele unternehmerische Vorteile. Mit einer Zertifizierung lässt sich zum Beispiel nachweisen, dass die Sicherheitsanforderungen, die technischen und organisatorischen Maßnahmen nach § 9 BDSG, beziehungsweise die Anforderungen aus der mit dem Kunden vereinbarten Auftragsdatenverarbeitung (ADV) nach § 11 BDSG erfüllt sind und eingehalten werden. Auf diese Weise bieten Unternehmen und Organisationen ein Mehr an Vertrauenswürdigkeit und Sicherheit.
Nicht zuletzt zeigt die BND-/NSA-Affäre, dass das Thema Wirtschaftsspionage sehr große Bedeutung für deutsche Unternehmen hat, die stark vom Schutz ihrer Innovationen gegen unberechtigte Zugriffe abhängig sind. Mit zunehmender Digitalisierung steigt auch die Verwundbarkeit. Daten- und IT-Sicherheit erwachsen zum entscheidenden Vorteil und zum Schlüsselfaktor für die Wettbewerbsfähigkeit. Die Einführung eines ISMS und die Zertifizierung nach ISO 27001 sind jedoch kein Spaziergang für ein Unternehmen und können sicherlich nicht „so nebenbei“ erfolgen. Die Unterstützung durch einen externen Experten hilft bei der zielgerichteten Umsetzung eines IT-Sicherheitsmanagementsystem nach ISO 27001 und bietet den entsprechenden vergleichbaren und nachvollziehbaren Rahmen – zum Schutz von Unternehmen, Geschäftspartnern und Kunden.
Schutzlos ausgeliefert oder systematisch gewappnet? Angriffe, die ein Unternehmen und seine Informationen gefährden, kommen ohne Vorwarnung. In der Welt des Internets und der Industrie 4.0 führt dies leicht zu einer Unterbrechung der IT- und der betrieblichen Prozesse.
Unberechtigte legen Systeme lahm und beschaffen sich Informationen, ungeschulte und unachtsame Mitarbeiter gefährden IT-Prozesse. Neben dem finanziellen Schaden resultieren daraus der Verlust des Kundenvertrauens, Vorteile für Mitbewerber und Imageschäden. Die ISO 27001 bietet Unternehmen hierfür einen systematischen und strukturierten Ansatz, der vertrauliche Daten schützt, die Integrität betrieblicher Daten sicherstellt sowie die Verfügbarkeit der internen IT-Systeme erhöht. Nicht bloßer Schutz, sondern ein Sicherheitskonzept mit Mehrwert…
ISO 27001 als Grundlage
Als international führende Norm für Informationssicherheits-Managementsysteme (ISMS) definiert die DIN ISO 27001 die Forderungen für die Einführung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines ISMS. Die Norm schreibt somit die Anforderungen an ein dokumentiertes ISMS im Kontext der allgemeinen Geschäftsrisiken einer Organisation fest. Des Weiteren beinhaltet sie die Regeln für die Umsetzung der Sicherheitsmaßnahmen, die auf die Bedürfnisse der jeweiligen Organisation – oder Teilen davon – zugeschnitten sind. Die individuelle Gestaltung des ISMS hängt wiederum von den Bedürfnissen und Zielen, Sicherheitsanforderungen, angewandten Verfahren und der Größe und Struktur der Organisation ab und kann nicht verallgemeinert werden. Um die konsistente und integrierte Umsetzung und Durchführung mit verwandten Managementsystemen zu unterstützen, ist die Norm unter anderem mit der ISO 9001 und auch ISO 14001 abgestimmt. Den aktuellen Anforderungen angepasst, wurde eine Revision der ISO 27001 im März 2015 veröffentlicht.
Informationssicherheit…
Was ist Informationssicherheit? Angelehnt an die Bestimmungen der ISO 27001 umfasst sie die Gewährleistung und den Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Weitere Attribute betreffen die Authentizität, Zurechenbarkeit, Verbindlichkeit und Zuverlässigkeit.
o Vertraulichkeit: Schutz von Informationen vor unberechtigter Offenlegung
o Integrität: Schutz von Informationen vor Modifikationen, Einfügungen, Löschungen, Umordnung, Duplikationen oder Wiedereinspielung
o Informationsverfügbarkeit: Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Instanzen
o Authentizität: Echtheit von Informationen oder Identitäten
o Zurechenbarkeit: Übernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte (assets)
o Verbindlichkeit: Niemand kann das Senden oder Empfangen von Informationen abstreiten oder leugnen (Proof of Origin, Proof of Delivery).
o Zuverlässigkeit: Sicherstellung eines konsistenten Verhaltens und Lieferung vorgesehener (intendierter) Ergebnisse durch eine Person oder Instanz.
Wird beispielsweise ein internes Dokument von einem Lieferanten eingesehen, gelesen oder kopiert, ist die Vertraulichkeit verletzt. Fällt hingegen ein Speichersystem aus, gehen dabei vertrags- und vertriebsrelevante Kundeninformationen verloren und existiert zugleich keine Sicherungskopie, stellt dies eine Verletzung der Informationsverfügbarkeit dar. Neben den normeninhärenten Bestimmungen stehen außerdem die gesetzlichen Vorgaben des Bundesdatenschutzgesetzes als Rahmenbedingungen der Informationssicherheit. Es gilt nun, die gesetzlichen Vorgaben mit den Inhalten und Anforderungen der Norm 27001 zusammenzufassen und strukturiert im Unternehmen umzusetzen.
…mit einem Informationssicherheits-Managementsystem (ISMS) gewährleisten
Das ISMS ist das Herzstück für alle Vorgänge und Abläufe im Bereich der IT-Sicherheit. Als ein System von Leitlinien, Verfahren, Anleitungen und zugehörigen Betriebsmitteln sowie Personal, welche zur Erreichung der Ziele eines Unternehmens oder einer Organisation erforderlich sind, ist es laufend zu überwachen, zu warten, zu verbessern und weiterzuentwickeln. Die Einführung eines ISMS selbst ist sowohl eine Frage der richtigen Methode als auch der richtigen Vorgehensweise und kann ein Unternehmen durchaus vor große Hürden stellen. Unterschiedliche Belange zwischen den Unternehmensabteilungen müssen koordiniert und in das ISMS integriert werden. Für interne ISMS/ISO 27001 Experten oft eine große Herausforderung, können externe Berater diese Hürde leichter nehmen, da sie nicht durch Interessenskonflikte im Unternehmen oder Betriebsblindheit fehlgeleitet werden. Außerdem verfügen diese aufgrund Ihrer spezialisierten Arbeitsweise in der Regel über mehr Know-how für die Implementierung eines ISMS und mehr Erfahrung für dessen Aufrechterhaltung. Eine erfolgreiche Kommunikation wie auch der Informationsaustausch sind ebenfalls wichtige Eckpfeiler für die Einführung und Optimierung eines ISMS oder für die Vorbereitung einer Zertifizierung.
„PDCA“-Modell zur Umsetzung des ISMS
Die DIN ISO 27001 verwendet das „Plan-Do-Check-Act“-Modell, um die ISMS-Prozesse in Organisationen zu strukturieren:
Daraus resultieren folgende Aufgaben:
ISMS Aufgaben
Planen (Plan)
Festlegen Festlegen der ISMS-Leitlinie, -Ziele, -Prozesse und –Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen
Durchführen (Do)
Umsetzen und Durchführen Umsetzen und Durchführen der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren.
Prüfen (Check)
Überwachen und Überprüfen Einschätzen und ggf. Messen der Prozessleistung an der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren
Handeln (Act)
Instandhalten und Verbessern Einleiten und Durchführen von Korrektur- und Vorbeugungsmaßnahmen, basierend auf den Ergebnissen von internen ISMS-Audits und Überprüfungen des Managements und anderen wesentlichen Informationen, zur ständigen Verbesserung des ISMS.
Wettbewerbsvorteil und Sicherheitsgewinn
Die ISO 27001 umfasst branchen- und größenunabhängig ein umfangreiches Sicherheitskonzept, das das unternehmerische Eigeninteresse widerspiegelt. Die Umsetzung stellt besonders für klein- und mittelständische Betriebe einen Wettbewerbsvorteil dar: Den gesetzlichen Anforderungen gerecht werden, das (IT-)Risiko im eigenen Unternehmen erkennen, einordnen und es vor allem minimieren, um somit seinen Kunden und Auftraggebern gegenüber einen gewissen Standard zu gewährleisten. Der Gesetzgeber fordert eine Zertifizierung nach ISO 27001 nicht. Unabhängig davon erleichtert die ISO 27001 aber die Einhaltung gesetzlicher Auflagen und bietet viele unternehmerische Vorteile. Mit einer Zertifizierung lässt sich zum Beispiel nachweisen, dass die Sicherheitsanforderungen, die technischen und organisatorischen Maßnahmen nach § 9 BDSG, beziehungsweise die Anforderungen aus der mit dem Kunden vereinbarten Auftragsdatenverarbeitung (ADV) nach § 11 BDSG erfüllt sind und eingehalten werden. Auf diese Weise bieten Unternehmen und Organisationen ein Mehr an Vertrauenswürdigkeit und Sicherheit.
Nicht zuletzt zeigt die BND-/NSA-Affäre, dass das Thema Wirtschaftsspionage sehr große Bedeutung für deutsche Unternehmen hat, die stark vom Schutz ihrer Innovationen gegen unberechtigte Zugriffe abhängig sind. Mit zunehmender Digitalisierung steigt auch die Verwundbarkeit. Daten- und IT-Sicherheit erwachsen zum entscheidenden Vorteil und zum Schlüsselfaktor für die Wettbewerbsfähigkeit. Die Einführung eines ISMS und die Zertifizierung nach ISO 27001 sind jedoch kein Spaziergang für ein Unternehmen und können sicherlich nicht „so nebenbei“ erfolgen. Die Unterstützung durch einen externen Experten hilft bei der zielgerichteten Umsetzung eines IT-Sicherheitsmanagementsystem nach ISO 27001 und bietet den entsprechenden vergleichbaren und nachvollziehbaren Rahmen – zum Schutz von Unternehmen, Geschäftspartnern und Kunden.