Aufbau eines Informations­sicherheits­management­systems (ISMS) nach ISO 27001

Ein markanter Unterschied des Informationssicherheitsbeauftragten zum IT-Sicherheitsbeauftragten liegt in seinem Zuständigkeitsbereich.

Der IT-Sicherheitsbeauftragte (IT-Security-Consultant) entlastet die Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben bezüglich der IT Sicherheit. Er berät sie und unterstützt bei der Umsetzung. Sein Augenmerk richtet sich eher auf IT-Systeme. Er soll das Schadensrisiko innerhalb der IT durch das Treffen entsprechender Vorkehrungen im Unternehmen senken und dazu beitragen, dass sich die IT Sicherheit auf einem hohem Niveau bewegt.

Gehört eine Organisation zu den kritischen Infrastrukturen, fordert die KRITIS-Verordnung, dass ein Informationssicherheitsbeauftragter (ISB) benannt und ein Informationssicherheitsmanagementsystem (ISMS) eingeführt werden muss. Dies kann auf Basis der ISO 27001 oder einem Branchenstandard sein. Ein Nachweis der Wirksamkeit ist zu erbringen, in der Regel in Form einer Zertifizierung.

Der Informationssicherheitsbeauftragte ist zuständig für alle Belange der Informationssicherheit innerhalb einer Organisation bzw. eines festgelegten Geltungsbereiches. Er unterstützt die Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit.

Der Informationssicherheitsbeauftragte unterstützt die Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit. Zu seinen Hauptaufgaben zählen:

• das Einführen und Erhalten eines ISMS gemäß der Sicherheitsstrategie der Geschäftsführung,
• die Erstellung von Sicherheitsdokumentationen und Richtlinien,
• das Spezifizieren von Sicherheitsanforderungen an IT-Systeme,
• die Beratung und Begleitung interner Projekte zu Sicherheitsfragen,
• die Sensibilisierung und Schulung von Mitarbeitern und Externen hinsichtlich Sicherheitsfragen,
• die Kontrolle und Aufrechterhaltung eines geeigneten Sicherheitsniveaus,
• die Überwachung der Zielerreichung der Sicherheitsziele,
• die Feststellung, Beurteilung, Koordination, Dokumentation und Auswertung von Sicherheitsvorfällen nach Art, Umfang und Auswirkung,
• die Erstellung von Lageberichten zur Informationssicherheit,
• die Erstellung, Pflege und Weiterentwicklung einer Schwachstellenübersicht inkl. Verbesserungsmaßnahmen,
• das Veranstalten und Teilnehmen an regelmäßigen Reviews.

Datenschutz und Informationssicherheit werden häufig in einem Atemzug genannt, letztlich stellt der Datenschutz eine Untermenge der Informationssicherheit dar, da auch Compliance – die Einhaltung von Gesetzen, regulatorischen Anforderungen, usw. bei der Informationssicherheit berücksichtigt werden muss.

Der Datenschutz soll dafür sorgen, dass personenbezogene Daten nicht missbräuchlich verarbeitet werden. Im Grunde soll er die informationelle Selbstbestimmung und den Schutz der Privatsphäre jedes Einzelnen gewährleisten. Die Erhebung, Weiterverarbeitung und Nutzung personenbezogener Daten sind grundsätzlich nicht erlaubt, es sei denn es liegen gesetzliche Gründe oder eine Einwilligung vor. Die rechtlichen Grundlagen und Sicherheitsrichtlinien schaffen die Datenschutzgrundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG).

Demgegenüber geht es bei der Informationssicherheit um die technischen und organisatorischen Maßnahmen (TOMs) einer Organisation, welche auf Sicherheit jeglicher Art von Informationen abzielt. Genauer gesagt, um die Vertraulichkeit, Verfügbarkeit und Integrität dieser Informationen. Ein Informationssicherheitssystem soll also unberechtigte Zugriffe und Manipulationen und folglich auch wirtschaftliche Schäden verhindern.

Datenschutz und Informationssicherheit sind eng miteinander verbunden. Im Kern liegt der Unterschied darin, dass ersterer durch strenge gesetzliche Vorgaben geregelt wird, während zweitere gewisse Freiheiten bietet, wenn es um die Ansätze, Konzepte und die konkrete Umsetzung zur Erfüllung der definierten Sicherheitsziele geht. Einerseits sind Unternehmen dazu verpflichtet, sich an die gesetzlichen Vorgaben zum Datenschutz zu halten und auf der anderen Seite sollten Unternehmen auch im eigenen Interesse mit sensiblen Daten vertraulich und sicher umzugehen.

Das Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ist ein Modell zur Einführung eines Informationssicherheitsmanagementsystems. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit. ISIS12 ist eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS. Die Kompatibilität zur ISO/IEC 27001 und IT-Grundschutz ermöglicht einen späteren Umstieg auf ein umfangreicher zertifiziertes ISMS, z. B. ISO/IEC 27001 auf Basis IT-Grundschutz.

ISO 27001
Der wohl bekannteste ist die international gültige Norm ISO 27001. Diese verfolgt einen generischen prozessorientierten Ansatz und eignet sich somit für jede Branche und Organisationsgröße. Oberstes Ziel ist der Betrieb eines wirksamen und sich ständig verbessernden Informationssicherheitsmanagementsystems und erlaubt einige Freiheitsgrade in der Umsetzung. Auch hier besteht später die Weiterentwicklung in Richtung IT-Grundschutz oder TISAX.

TISAX
TISAX ist ein Standard, der sich gezielt an die Automobilbranche richtet. Dieser Standard wurde vom Verband der Automobilindustrie auf Basis der ISO 27001 entwickelt mit dem Ziel, die Freiheitsgrade der nativen ISO 27001 zu reduzieren und durch vorgegebene Leitplanken eine Vergleichbarkeit zu ermöglichen. Auf einer Plattform der ENX ist für alle registrierten Mitglieder einsehbar, wer in welcher Thematik vertrauenswürdiger Partner ist. Im Fokus von TISAX stehen insbesondere Lieferanten oder Partner wie z.B. .richtet sich konkret an die Automobilbranche – insbesondere an Lieferanten oder Partner wie z.B. Hersteller von Teilen und Komponenten, Spediteure, Datenverarbeiter,, SaaS-Anbieter, aber auch Werbeagenturen und Beratungsunternehmen.

Einer der strengsten Standards in Deutschland ist der IT-Grundschutz auf Basis der ISO 27001. Das Bundesamt für Informationssicherheit hat hier im Rahmen des IT-Grundschutzkompendiums konkrete detaillierte technische und organisatorische Anforderungen für IT-Infrastrukturen entwickelt. Die Umsetzung des IT Grundschutzes auf Basis der ISO 27001 ist deutlich aufwendiger als eine Umsetzung der nativen ISO 27001, kann aber durchaus ein sinnvoller Weg sein.

Die Wahl des richtigen Standards hängt folglich von den Zielen und Anforderungen der eigenen Organisation, deren Kunden, Lieferanten und Partnern und von gesetzlichen und regulatorischen Anforderungen ab.

Grundsätzlich sind Organisationen nicht dazu verpflichtet, einen Informationssicherheitsbeauftragten (ISB) zu benennen. Gehört Ihre Organisation zu den kritischen Infrastrukturen (KRITIS) bzw. gibt es andere bestehende gesetzliche oder regulatorische Anforderungen (wie z.B. der BNetzA), ist eine Benennung obligatorisch.

Jedoch sprechen auch viele Gründe für eine freiwillige Bestellung eines externen ISB.

Die wenigsten Organisationen sind heute in der Lage, ohne Informationen (unabhängig ob auf Papier, in Bild und Ton oder in Form von Daten) ihren Geschäftszweck zu erfüllen. Informationssicherheit bildet in vielen Fällen, insbesondere jedoch in stark IT-abhängigen Branchen die Grundlage für eine geschäftliche Zusammenarbeit. Auftraggeber möchten sichergehen, dass ihre Partner angemessen Maßnahmen ergriffen haben, um z.B. die Lieferfähigkeit zu garantieren, den Schutz unternehmenskritischer Daten zu gewährleisten oder – bei stark technisch vernetzten und voneinander abhängigen Strukturen – Risiken (z.B. hinsichtlich Betriebssicherheit oder durch Schadsoftware) zu minimieren.

Planen Sie ein Informationssicherheitsmanagement-System (ISMS) zu etablieren, sollten Sie möglichst schon zu Beginn einen Informationssicherheitsbeauftragten benennen.