Zertifiziertes ISMS

Daten sind zu einem entscheidenden Unternehmenswert geworden. Dar-unter befinden sich auch viele hochsensible Informationen, beispielsweise personenbezogene Kunden- und Nutzerdaten. Sie verpflichten die Unternehmen zu einem besonders verantwortungsvollen Umgang. Informationssicherheit ist nicht nur gesetzliche Pflicht, sondern auch wirtschaftliches Gebot.

Weil in der Praxis oft viele interne und externe Stellen (zum Beispiel spezialisierte Dienstleister) an der Datenverarbeitung mitwirken, ist eine umfassende Betrachtung der Informationssicherheit notwendig. Aber wie lässt sich eine systematische Informationssicherheit garantieren? Die Antwort liegt in einem Informationssicherheits-Management-System, kurz: ISMS, das an das jeweilige Unternehmen angepasst ist.

Vorbereitung des Zertifikats
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern.

Management einbeziehen
Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf.

Belegschaft sensibilisieren
Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben.

Anwendbarkeit und Risikoakzeptanz definieren
Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden.

Realistische Zeitpläne
Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen.

Pragmatische Ziele statt Perfektion
Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis.

Bewährtes einbetten
Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern.

Synergien nutzen
Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.

Was ist ein ISMS?

Unter diesem Begriff ist ein umfassendes, ganzheitliches und standardisiertes Management-System zu verstehen - mit definierten Regeln und Prozessen, die der Definition, Steuerung, Kontrolle, Wahrung und fortlaufenden Optimierung der Informationssicherheit im Unternehmen dienen. Die Norm ISO/IEC 27001 legt den internationalen Standard für ein ISMS fest.

Wozu zertifizieren?

Mit einer Zertifizierung kann ein Unternehmen die Risiken in der Informationsverarbeitung verringern sowie die Verfügbarkeit der IT-Systeme und -Prozesse erhöhen. Zudem lässt sich ein solches Zertifikat - in Deutschland unter anderem vergeben von den TÜV-Mitgliedern - nutzen, um Vertrauen bei Kunden und Anwendern zu schaffen.

Doch viele Unternehmen schrecken vor einem vollumfänglich standardkonformen Betrieb eines ISMS und der zugehörigen Zertifizierung zurück. Sie fürchten die Komplexität des Vorbereitungs- und Zertifizierungsprozesses. Dabei ist der Aufwand geringer, als es auf den ersten Blick den Anschein hat. Anders als im Qualitäts- oder Umwelt-Management entstehen hier eigentlich keine neuen Anforderungen. Vielmehr werden vorhandene beziehungsweise ohnehin erforderliche Maßnahmen in einen strategischen Gesamtkontext eingebunden und mit Prozessen hinterlegt, die eine systematische Anwendung sicherstellen.

Auch die Zertifizierung selbst bringt kaum neue Aspekte ins Unternehmen ein. Zwar wird dazu eine Zertifizierungsstelle regelmäßige (teils mehrstufige) Audits ausführen. Doch ohnehin sollte das Unternehmen im Interesse einer unabhängigen Kontrolle seiner Sicherheitsmaßnahmen bereits externe Auditierungen in Anspruch genommen haben. Ein prototypisches Vorgehen zur Etablierung eines standardkonformen und damit zertifizierbaren ISMS setzt sich aus folgenden vier Schritten zusammen.

1. Erklärung zur Anwendbarkeit

Zunächst legt das Unternehmen fest, was das ISMS leisten soll, also welche Informationswerte durch das ISMS geschützt werden müssen. Es definiert den Anwendungsbereich und die Grenzen des ISMS. Dabei sind das Geschäft, die Organisation, der Standort, die Werte und die eingesetzte Technologie zu berücksichtigen.

Bei der Festlegung der Grenzen sind auch die Schnittstellen zwischen dem Anwendungsbereich und anderen Sektoren zu beachten. Das ist beispielsweise dann wichtig, wenn Kunden extern auf ein System zugreifen können, das in den Anwendungsbereich des ISMS fällt.

Die "Erklärung zur Anwendbarkeit" bestimmt die Komplexität und den Aufwand des ISMS. Hier wird festgestellt, welche allgemein erforderlichen Schutzaspekte (Items) für das konkrete ISMS nicht nötig sind und deshalb in einer Zertifizierung keine Rolle spielen. Werden Prozesse aus dem Auswendungsbereich ausgeschlossen, muss das aber ausführlich begründet sein. Risiken, die durch Ausschlüsse von Prozessen entstehen, bedürfen der nachgewiesenen Akzeptanz durch das Management.

2. Bewertung der Risiken

In diesem Schritt geht es um die Identifizierung und Einschätzung sämtlicher Risiken innerhalb des ISMS-Anwendungsbereichs. Zunächst wird eine Methode zur Risikoeinschätzung gewählt; sie muss für das ISMS geeignet sein und den festgelegten Anforderungen für die Informationssicherheit sowie den gesetzlichen und amtlichen Ansprüchen genügen.

Daraufhin müssen Kriterien für die Risikoakzeptanz entwickelt werden. Es ist verbindlich festzulegen, welche Risiken das Unternehmen für noch vertretbar hält. Schließlich werden die konkreten Risiken identifiziert. Am Anfang dieser Aufgabe steht eine Liste der schützenswürdigen Werte, die innerhalb des ISMS-Anwendungsbereichs existieren - mitsamt den jeweils verantwortlichen (natürlichen oder juristischen) Personen.

Für jeden Wert muss festgelegt werden, welche Auswirkungen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit maximal haben darf. Dann erhält jeder Wert die möglichen Bedrohungen zugeordnet. Zudem werden jeweils die Schwachstellen aufgezeigt, durch die eine Bedrohung konkret eintreten könnte. Die identifizierten Risiken sind auch in ihrer Tragweite zu bewerten. Welche Folgen haben Sicherheitsvorfälle für das Unternehmen? Die Auswirkungen des Verlusts von Vertraulichkeit, Integrität und Verfügbarkeit der schützenswerten Werte müssen dabei berücksichtigt werden.

Anhand der identifizierten Bedrohungen und Schwachstellen sowie der vorhandenen Schutzmaßnahmen lässt sich abschätzen, mit welcher Wahrscheinlichkeit Sicherheitsvorfälle realistischerweise eintreten. So ist für jedes Risiko ein bestimmtes Niveau ermittelbar. Mit Hilfe der festgelegten Kriterien zur Risikoakzeptanz kann entschieden werden, welche Risiken noch akzeptabel sind und welchen begegnet werden muss.

3. Umsetzung der Maßnahmen

Im Rahmen der Risikobehandlung werden Maßnahmen ausgewählt, mit denen sich nicht akzeptable Risiken vermeiden oder im Niveau senken lassen. Das können interne Maßnahmen sein, aber auch Vereinbarungen mit externen Partnern hinsichtlich der Übernahme bestimmter Risiken.

Für jede Maßnahme ist ein Ziel festzulegen. Die konkrete Umsetzung wird von der zertifizierenden Stelle im Rahmen von Audits kontrolliert. Das Unternehmen muss jedoch Prozesse schaffen, die eine kontinuierliche interne Maßnahmenverfolgung und -überwachung sicherstellen. Risiken, die sich noch im Rahmen der zulässigen Risikoakzeptanz bewegen, erfordern keine Maßnahmen. Aber für jedes Risiko ist objektiv zu begründen, weshalb es für vertretbar gehalten wird.

Jeder Betrieb hat individuelle Anforderungen, die sich aus dem jeweiligen Anwendungsbereich ergeben. Das bedeutet auch, dass er nur einen Teil der möglichen Maßnahmen umsetzen muss, um den Standards von ISO/IEC 27001 zu genügen.

4. Regelmäßige Überprüfung

Die Einrichtung eines ISMS ist mit der Umsetzung der beschlossenen Maßnahmen nicht abgeschlossen. Es handelt sich um einen kontinuierlichen Prozess nach dem Plan-Do-Check-Act-Verfahren.

Die Wirksamkeit des ISMS muss regelmäßig überprüft werden - mit Hilfe geeigneter Überwachungsmaßnahmen. Änderungen, die Auswirkungen auf den Anwendungsbereich haben könnten (zum Beispiel neue Unternehmensstandorte), sind zu berücksichtigen. Werden Verbesserungspotenziale, Mängel in der Umsetzung von Maßnahmen oder veränderte beziehungsweise neue Risiken erkannt, ist ein weiterer Durchlauf des Prozesses notwendig. So wird das ISMS kontinuierlich verbessert. (qua)