ISO 27001, BSI IT-Grundschutz oder ISIS12: Welches ISMS eignet sich für unsere Organisation?

INHALTE DES BEITRAGS

Ist meine Organisation verpflichtet, sich um Informationssicherheit zu kümmern?
Das ISMS
Etablierte Standards zur Informationssicherheit nutzen

ISO 27001, BSI IT-Grundschutz oder ISIS12: Welches ISMS eignet sich für unsere Organisation?

In früheren Beiträgen wurde bereits öfter darauf hingewiesen, dass heutzutage keine Organisation mehr am Thema Informationssicherheit bzw. Informationssicherheitsmanagementsystem (ISMS) vorbeikommt. Gilt es doch in Zuge dessen, schützenswerte Informationen inklusive der Untermenge der personenbezogenen Daten vor Zerstörung, Manipulation, Enthüllung und Missbrauch zu schützen. Informationen sind Werte, die von entscheidender Wichtigkeit für den Geschäftsbetrieb einer Organisation sind. Damit sind diese nicht auf personenbezogene Daten beschränkt, sondern umfassen z. B. auch Geschäftsgeheimnisse. Da Informationen in analoger und digitaler Form in einer Organisation vorliegen, wird schnell klar, dass es hier mit reiner IT-Sicherheit nicht getan ist.

Daher spannt die Informationssicherheit mit ihren Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit schon seit jeher einen Bogen sowohl über technische als auch organisatorische Schwachstellen einer Organisation. Deren Risiken gilt es, durch geeignete Maßnahmen im Hinblick auf Eintrittswahrscheinlichkeit und Schadensausmaß zu minimieren.

In der Kürze dieses Artikels soll versucht werden, die Anforderungen an ein ISMS zu skizzieren und drei bekannte Vertreter von Standards zur Informationssicherheit etwas näher darzustellen. Da diese Standards in sich sehr komplex und umfangreich sind, musste eine gewisse Abstraktion vorgenommen werden.

Ist meine Organisation verpflichtet, sich um Informationssicherheit zu kümmern?

Ein Informationssicherheitskonzept bzw. Informationssicherheitsmanagementsystem einzuführen, ist ein anspruchsvolles Projekt. Und wie bei jedem Projekt dieser Tragweite kommt die Frage auf: „Wo steht, dass wir das machen müssen?“ Alle rechtlichen Auflagen und Vorschriften aufzuzählen, denen man eine solche Verpflichtung entnehmen kann, würde zu weit führen. Beispielhaft seien hier Folgende genannt:

• 11 BayEGovG1 (Verpflichtung öffentlicher Stellen in Bayern zu Einführung und Betrieb eines Informationssicherheitskonzepts)
• das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen
• 32 DSGVO „Sicherheit der Verarbeitung“ Organisationen sollen ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherstellen, das neben Art, Umfang und Zweck der Verarbeitung nicht nur den Stand der Technik und Kosten berücksichtigt, sondern auch die Eintrittswahrscheinlichkeit und die Risiken für die Betroffenen beachtet. Das Ganze unter der Prämisse der kontinuierlichen Überprüfung und Weiterentwicklung.

Auch wenn es in vielen Organisationen nicht gerne gehört wird, spätestens seit Art. 32 DSGVO kommt man an einem ganzheitlichen Ansatz zum Schutz von Informationen und damit einem Informationssicherheitsmanagementsystem nur noch mit ausgeprägter Risikofreude vorbei.

Das ISMS

Ein ISMS stellt Regeln und Verfahrensweisen auf, legt aber auch Zuständigkeiten fest, um Informationssicherheit in einer Organisation auf Dauer sicherzustellen. Innerhalb eines ISMS ist klar definiert, wie sich Informationssicherheit steuern, kontrollieren, sicherstellen und kontinuierlich verbessern lässt. Vorhandene, aber auch zukünftige Risiken für Informationen sollen identifizierbar und beherrschbar werden. Üblicherweise geht der Anstoß für ein ISMS von der Organisationsleitung aus (zumindest in der Theorie).

• Schritt 1: Identifikation und Definition der zu schützenden Informationen („Werte“) der Organisation, des Geltungsbereichs und der Schutzziele der Organisation, Startschuss Leitlinie Informationssicherheit.
• Schritt 2: Identifikation vorhandener Risiken für diese Werte sowie Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe (finanzielle Schäden für die Organisation, mögliche Rechts- und Vertragsverstöße, Rufschäden, Risiken für die Rechte und Freiheiten von Betroffenen sowie Beeinträchtigung der Aufgabenerfüllung).
• Schritt 3: Auswahl, Planung und Umsetzung geeigneter und organisationsspezifischer technischer und organisatorischer Maßnahmen zur Vermeidung bzw. Minimierung der in Schritt 2 identifizierten und organisationsspezifischen Risiken.
• Schritt 4: Regelmäßige und wiederkehrende Prüfung und Optimierung der Schutzmaßnahmen auf ihre Wirksamkeit hin. Werden dabei Mängel oder neue Schwachstellen aufgrund von Veränderungen in der Organisation oder von außen einwirkend erkannt, beginnt der Prozess erneut.

Am Ende stellt ein ISMS einen klassischen PDCA-Kreislauf dar (Plan – Do – Check – Act/Adjust).

Etablierte Standards zur Informationssicherheit nutzen

Jeder der hier genannten Standards deckt die Einführung, Umsetzung, Aufrechterhaltung sowie ständige Verbesserung eines ISMS ab und stellt diese sicher. Dabei dienen die Standards nicht nur als Orientierungshilfe, sondern bringen erprobte Prozesse, Verfahren und grundlegende Management-Werkzeuge mit, die sich seit Jahrzehnten in kleinen und großen Organisationen bewährt haben und weiterentwickelt wurden. Und ein weiteres Bonbon: Alle haben für Standard-Risiken bereits einen mehr oder weniger umfangreichen Werkzeugkasten an möglichen Gegenmaßnahmen zur Risikobeseitigung im Gepäck.

Hinzu kommt: Arbeiten Sie nach einem der bekannten Standards, dann wissen Prüfer damit direkt etwas anzufangen. Ihre „Informationssicherheitseigenkreation“ werden Sie stets erst umständlich erklären und darlegen müssen.

Doch eins sollte auch klar sein: Informationssicherheit bedeutet auch immer Dokumentation. Daran ändert auch ein Standard für ein ISMS nichts. Ohne Softwareunterstützung sollte man sich möglichst auch nicht an dem Thema versuchen.

Auszug aus: Kuhrau, Sascha: ISO 27001, BSI IT-Grundschutz oder ISIS12: Welches ISMS eignet sich für unsere Organisation?. In: Datenschutz für Praktiker, März 2021, S. 4–9.