SENPRO.IT-News #1
Informationssicherheitsmanagementsysteme (ISMS)
Carsten Jockel - 09.05.2023
Grundlegende Informationen über ISMS
Bedingt durch die immer größere Bedeutung von IT-Systemen für die Geschäftsprozesse von Unternehmen bekommt die Informationssicherheit einen immer höheren Stellenwert. Diese ist nach wie vor auch durch Risiken wie Feuer oder Wasser aber heutzutage insbesondere auch durch Cyberangriffe erheblich gefährdet. Daher sind technische und organisatorische Maßnahmen erforderlich, um IT-Systeme zu schützen.
Ein Information Security Management System (ISMS) definiert Regeln und Verfahren, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Ziel ist die dauerhafte Definition, Steuerung, Kontrolle, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden.
Im Deutschen wird das ISMS als Informationssicherheitsmanagementsystem oder häufig auch als Managementsystem für die Informationssicherheit bezeichnet.
Wie alle Managementsysteme liegt auch das ISMS im Verantwortungsbereich der Unternehmensführung. Das ISMS geht von den Geschäftsprozessen aus und verfolgt einen bei der Unternehmensführung beginnenden Top-Down-Ansatz zur Durchsetzung der IT-Sicherheit. Das Aufstellen und Verabschieden von Sicherheitsrichtlinien erfolgt durch das Top-Management, die eigentliche Ausarbeitung der Details und Umsetzung kann an andere Führungskräfte oder Mitarbeiter übertragen werden. Sehr häufig erfolgt dies durch den Informationssicherheitsbeauftragten.
Nötige Schritte zur Umsetzung eines ISMS
Die Planung, Umsetzung und Aufrechterhaltung des ISMS lässt sich in einzelne Prozessschritte unterteilen. Im ersten Schritt ist festzulegen, was das ISMS leisten soll und welche Werte und Informationen zu schützen sind. Sowohl der Anwendungsbereich als auch die Grenzen des ISMS sind klar zu definieren. In der Regel erfolgt dies in einer sogenannten Leitlinie, wie sie auch aus anderen Managementsystemen bekannt ist.
Basierend auf einer Analyse der Geschäftsprozesse muss die IT-Struktur analysiert werden. Im Rahmen der sogenannten Business Impact Analyse (BIA) werden die für die Geschäftsprozesse relevanten Ressourcen ermittelt und wechselseitige Abhängigkeiten zwischen Prozessen und Unternehmensbereichen aufgezeigt. Die Ermittlung von Auswirkungen bei Prozessausfällen, die Kritikalität jedes Geschäftsprozesse für das Unternehmen oder die Organisation und die benötigten Wiederanlaufzeiten werden aufgedeckt.
Anschließend sind innerhalb des Anwendungsbereichs des ISMS die Risiken zu identifizieren und einzuordnen. Kern der Risikoanalyse ist dabei die Betrachtung von Eintrittswahrscheinlichkeiten und Schadenshöhen der Risiken. Sehr häufig werden dabei Kataloge mit Elementarrisiken heran-gezogen.
Kriterien hierfür können gesetzliche Anforderungen oder Compliance-Richtlinien sein. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Es muss klar erkennbar sein, welche Auswirkungen durch die einzelnen Risiken entstehen können. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, sind dabei zu berücksichtigen.
Auf Basis dieser Risikobewertung erfolgt die Auswahl und Umsetzung geeigneter Maßnahmen zur Behandlung von Risiken. Hierfür gibt es grundsätzlich vier Möglichkeiten: Vermeidung, Verminderung, Verlagerung und Akzeptanz. Die beschlossenen und umgesetzten Maßnahmen sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Werden Mängel oder neue Risiken erkannt, müssen die Prozesse von Risikobewertung und Risikobehandlung neu durchlaufen werden.
Im Rahmen des ISMS fokussieren die Business Impact Analyse und die Risikoanalyse ausschließlich auf Geschäftsprozesse und Risiken, die von IT-Systemen ausgehen. Im Unterschied dazu befasst sich das Business Continuity Management (Notfallmanagement) mit allen Geschäftsprozessen und allen Risiken für die Geschäftsprozesse, also auch solchen, die nicht von IT-Systemen abhängen. Ein ISMS beinhaltet somit immer auch ein Notfallmanagement für IT-Systeme und damit einen Teilbereich des Notfallmanagements der gesamten Organisation oder des gesamten Unternehmens.
Normen und Rahmenwerke für ISMS – Zertifizierung eines ISMS
Die Einführung eines ISMS kann auf der Basis verschiedener Normen und Rahmenwerke erfolgen. Die international bekannteste Norm ist die Standardreihe ISO/IEC 2700x. Wichtige Bestandteile der Standardreihe sind ISO 27001 (Zertifizierungsanforderungen) und ISO 27003 (Entwicklung und Implementierung des ISMS). Vorteil der ISO27001 ist, dass diese Norm mit anderen ISO-Normen wie denjenigen für das Qualitätsmanagement (ISO 9001), das Umweltmanagement (ISO14001), das Energiemanagement (ISO50001) oder auch das Business Continuity Management (ISO22301) gemeinsame Grundlagen hat und somit ein integriertes Managementsystem aufgebaut werden kann.
Im deutschsprachigen Raum weit verbreitet sind darüber hinaus die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik BSI). Sie stellen ein Konzept für die Umsetzung eines ISMS dar. Der BSI-Standard 200-1 bietet Hilfestellungen bei der Einführung, Umsetzung und Aufrechterhaltung eines Information Security Management Systems und sind an die Norm ISO/IEC 27001 angepasst. Für deutsche Behörden stellt der IT-Grundschutz eine Art Standard für die Informationssicherheit dar. Wesentliche Ziele des IT-Grundschutz sind die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.
Das bayerische IT-Sicherheitscluster stellt mit CISIS12 ein weiteres Rahmenwerk zur Verfügung, das auf Unternehmen und Organisationen bis ca. 250 Mitarbeiter abzielt und sehr klar strukturiert zu einem ISMS führt. CISIS12 ist dabei kompatibel mit dem BSI-Grundschutz und auch mit der ISO27001. Dadurch kann ein ISMS auf der Basis von CISIS12 später in eines auf der Basis des BSI-Grundschutz oder der ISO27001 überführt werden.
Weitere Normen sind zum Beispiel VDS10000 oder die Tisax.
Die Verwendung eines dieser Rahmenwerke zur Einführung eines ISMS und die Orientierung an dem entsprechenden Standard hilft in erheblichem Maß dabei, eine strukturierte Umsetzung erfolgreich durchzuführen. Sie ist aber auch eine notwendige Voraussetzung dafür, das ISMS zertifizieren zu lassen. Die Zertifizierung erfolgt durch eine zugelassene Zertifizierungsstelle, wobei das ISMS von einem oder mehreren Auditoren geprüft wird.
Eine solche Zertifizierung ist für die meisten Unternehmen und Organisationen nicht gesetzlich vorgeschrieben. Ausnahmen bilden hier zum Bei-spiel Unternehmen der sogenannten kritischen Infrastruktur. Allerdings kann eine Zertifizierung auch freiwillig erfolgen, um zum Beispiel Kunden den Stellenwert der Informationssicherheit im Unternehmen darzulegen. Darüber hinaus gibt es viele insbesondere größere Unternehmen oder solche mit besonderen Sicherheitsanforderungen, die nur mit zertifizierten Lieferanten zusammenarbeiten.
Die Rolle eines IT-Sicherheitsbeauftragten im ISMS
Eine Aufgabe innerhalb des ISMS ist die Benennung eines Informationssicherheitsbeauftragten (ISB) oder IT-Sicherheitsbeauftragten (ITSiBe). Während der ITSiBe ausschließlich für die Sicherheit elektronischer Daten zuständig ist, betrachtet der ISB auch Daten, die nicht in elektronischer Form vorliegen.
Der ISB (englisch CISO für Chief Information Security Officer) ist verantwortlich für die Planung, Umsetzung, Prüfung und Verbesserung der Informationssicherheit eines Unternehmens oder einer Organisation. Er berichtet und berät die Unternehmens- oder Organisationsleitung in Fragen der Informationssicherheit. Er ist dabei vom Datenschutzbeauftragten zu unterscheiden dessen Tätigkeit auf den Schutz personenbezogener Daten fokussiert.
Der ISB ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Die oberste Leitung des Unternehmens oder der Organisation benennt den ISB. Er ist dieser direkt unterstellt und berichtet regelmäßig an sie. Zur Durchführung seiner Aufgaben ist er mit eigenem finanziellem Budget ausgestattet.
Für viele kleine und mittelständische Unternehmen ist es finanziell zu aufwendig, einen eigenen ISB zu beschäftigen. Darüber hinaus ist es sehr schwierig entsprechend qualifiziertes Personal zu finden, da der Markt leergefegt ist. Hier bietet sich an, mit geeigneten Unternehmen zu kooperieren, die eine externe Lösung anbieten. Häufig werden diese Lösungen als virtueller CISO (vCISO) oder als CISO as a service angeboten.
Das ISMS und der Datenschutz
Da innerhalb des ISMS personenbezogene Daten keine Sonderstellung genießen und alle zu schützenden Daten prinzipiell gleichbehandelt werden, muss ein ISMS nicht zwingend auch den Datenschutz im Unternehmen beinhalten. Es hilft zwar generell die Daten zu schützen, garantiert aber nicht die Sicherheit der Verarbeitung sämtlicher personenbezogener Daten. Ein ISMS ersetzt aus diesem Grund kein Datenschutz-Managementsystem. Um dem Datenschutz gerecht zu werden, sind geeignete weitere Maßnahmen zu definieren und umzusetzen. Zudem ist ein zusätzlicher Datenschutzbeauftragter zu benennen. Dabei ist zu beachten, dass die Vereinigung der Funktionen von Informationssicherheitsbeauftragten und Datenschutzbeauftragten in einer Person zwar zulässig ist, häufig aber zu Interessenkonflikten führen kann.
Über Carsten Jockel
Carsten Jockel ist Geschäftsführer der Senpro IT GmbH. Nach
dem Studium der Physik und Betriebswirtschaftslehre arbeitete er in
verschiedenen Beratungsunternehmen in der IT-Branche. Im Jahr 2008 gründete er
die Senpro IT GmbH als klassisches Systemhaus für IT-Infrastrukturen. Inzwischen
hat Carsten Jockel weitreichende Kenntnisse hinzuerworben und berät Kunden als
CISO, externer Datenschutzbeauftragter, als Business Continuity Manager (BCM)
oder im BSI IT-Grundschutz. Er hat zwei Kinder, kocht gern und liebt es im
Garten zu arbeiten.