Zum Newsletter anmelden

Jetzt kostenlosen Newsletter abonnieren und einmal im Monat neue Ideen, interessante Artikel, Inspirationen und viele Tipps erhalten! Wir geben Ihre Daten nicht weiter! Eine Abmeldung ist jederzeit möglich.
I agree with the Nutzungsbedingungen
 
 

NSA, BND und die Folgen der Datenschnüffelei

NSA, BND und die Folgen der Datenschnüffelei - Bild 1Ein Gastbeitrag unseres IT-Experten und Referenten Holger Schellhaas.

Die Angst des Business vor der IT hat sich drastisch erhöht. Die Sicherheit der IT wird immer mehr zu einem strategischen Thema. Dabei geht es neben Sicherheit und Datenschutz aus technischer Sicht zunehmend auch um die damit zusammen hängenden organisatorischen Aspekte.
Image, Geschäftserfolg und Unternehmensstabilität hängen in entscheidendem Maße von qualifizierten Management-Systemen und Management-Prozessen zur Informationssicherheit ab.

Die Frage ist, wann und wie sich ein Unternehmen mit Informationssicherheit auseinandersetzt und warum es vielleicht sogar eine Zertifizierung anstrebt:  Auch wenn die Presse fast täglich davon berichtet - in der Regel wohl leider nicht aus eigenem, inneren Antrieb, sondern weil es von Geschäftspartnern oder Aufsichtsbehörden erwartet wird, bei Ausschreibungen verbindlich vorgeschrieben ist oder zur Bewertung der Kreditwürdigkeit erforderlich ist.

Neues IT-Sicherheitsgesetz

Das neue IT-Sicherheitsgesetz - das erste seiner Art in Deutschland und in der Wirkung vergleichbar mit der Einführung des Sicherheitsgurts vor vielen Jahren - liegt bereits im Bundestag zur Beratung. Die Bundesregierung zwingt alle Unternehmen mit kritischen Infrastrukturen - das sind allen voran Energieversorger, Unternehmen aus dem Gesundheitswesen und Finanzdienstleister - mehr für die Informationssicherheit zu tun. Die Finanzdienstleister werden zudem vom Bundesamt für Finanzen (BaFin) gezwungen, ein funktionierendes IT-Sicherheitsmanagement einzurichten, um die Sicherheit der IT-Prozesse und der IT-Systeme zu gewährleisten, haben. Die MaRisk der BaFin zählt konkrete Schutzkategorien der IT-Sicherheit auf und verweist auf die gängigen Standards, nämlich ISO 27001 und die des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Ich persönlich habe die Erfahrung gemacht, dass die intelligente Umsetzung gängiger Standards direkt zur Minimierung der Risiken in den Geschäftsprozessen führt. Seit längerem begleite ich ein mittelständisches Versicherungsunternehmen, Tochter des italienischen Generali-Konzerns, und eine bekannte Sparkasse dabei - in beiden Fällen im Auftrag  des Vorstands, die Compliance-Ziele nach MaRisk umzusetzen und gleichzeitig die IT-Qualitätsziele und IT-Anforderungen der Kunden zu erfüllen. Ziel ist, die Verantwortlichen bei der Gewährleistung der Zertifizierungsfähigkeit nach ISO 27001 auf Basis des BSI IT-Grundschutzes tatkräftig zu unterstützen.

Das dient auch dem Image: Die NÜRNBERGER Lebensversicherung z.B. tut Gutes und spricht auch darüber, dass sie erneut das „Deutsche IT- Sicherheitszertifikat nach ISO 27001 auf der Basis von IT-Grundschutz“ vom BSI erhalten haben. Die NÜRNBERGER verfolgen zwei Ziele: Umfang und Niveau der Sicherheitsmaßnahmen sollen sich an den betrieblichen Erfordernissen orientieren. Und es werden relevante Gesetze, Regularien und Richtlinien eingehalten.

Die Frage ist also nicht, warum sich ein Unternehmen mit rund 200 Mitarbeitern mit Konzepten wie dem IT-Grundschutz auseinandersetzt. Die Frage ist, wie man sich so konkret und so einfach wie möglich mit den Herausforderungen auseinandersetzt: Das Bewusstsein für Sicherheit verändern, den IT-Betrieb vom Management auf „Zuruf“ in geregelte Abläufe überführen und die Infrastruktur auf ein angemessenes Sicherheitsniveau bringen – alles behutsam, schrittweise und mit Augenmaß, damit das im Tagesablauf erfolgt und in die Köpfe der Beteiligten auch rein geht.

Ich widerspreche da der häufig geäußerten Meinung, Compliance mit gesetzlichen Vorgaben oder ISO-Standards bringe keine Sicherheit, sondern bedeute lediglich, Regeln zu erfüllen, die von Verbänden, Banken oder dem Gesetzgeber aufgestellt wurden. Die sukzessive Verankerung nachvollziehbarer Regeln und eines Sicherheitsbewusstseins bei den Mitarbeitern ist gerade heute eine der wichtigsten Maßnahmen und der wirksamste Schutz gegen die vielfältigen Bedrohungen.

Rolle von Standards

Das Schöne an den Standards ist, dass sie den Unternehmen sagen, was praktisch zu tun ist. ISO 27001 sagt, was zu tun ist, BSI IT-Grundschutz sagt, wie es zu tun ist, wird also deutlich konkreter.

In beiden Fällen geht es um ein Managementsystem, die Vorgehensweise im Projekt ist ähnlich:

  • „Tone at the Top“ - Teilhabe des Managements: Die ermittelten wesentlichen Sicherheitslücken sind der Einstig zur aktiven Einbeziehung der Unternehmensleitung und für die Erstellung unternehmensweiter, vom Vorstand zu genehmigender Richtlinien und Verfahrensanweisungen zum Management der IT-Sicherheit.

  • „Scope“ für den Aufbau des Managementsystems zur Informationssicherheit: Gemeinsam mit dem Leiter der Organisation, dem Leiter des Risikomanagements und dem Leiter IT haben wir uns entschieden, den „Scope“ auf die kritischen Kernprozesse zu legen.

  • Basis-Sicherheitschecks für wesentliche Bausteine: Für alle IT-Systeme, die mit dem Schadensmanagement verbunden sind – von IT-Anwendungen bis hin zu Servern, Netzkomponenten und sogar Räumen, die bei der Informationsverarbeitung zum Schadensmanagement beteiligt sind – wird die Compliance mit dem BSI-Standard analysiert und es werden die Schwachstellen identifiziert, wo gehandelt werden muss.

  • „Aufräumen“ im IT-Betrieb: Das Ergebnis des Sicherheitschecks zeigt, dass die technische Umsetzung gar nicht so schlecht ist - viel besser als erwartet, aber es fehlen Dokumente und Nachweise zur unternehmerischen Risikovorsorge, die Betriebshandbücher sind nicht einheitlich, Installationen laufen nicht standardisiert. Der ISO-Standard hilft hier ungemein: Vernünftige Regeln werden eingeführt und die Dokumentation wird optimiert, dafür wird alles Überflüssige, nicht Wertschöpfende abgebaut.

  • Awareness-Programme: Wir entwickeln Trainings und Kampagnen zur Sensibilisierung der Manager und Mitarbeiter in der IT und im Fachbereich und führen diese auch selbst durch.


Auch die IT-Administratoren der von mir betreuten Unternehmen sind mittlerweile überzeugt, dass sogar das aufwändigere Vorgehen nach BSI Grundschutz ein geeignetes Mittel auch bei kleineren Unternehmen ist, um schrittweise ein angemessenes Sicherheitsniveau zu erreichen - wenn man es richtig macht! Andere Länder beneiden uns um ein solches Nachschlagwerk, weil es übersichtlich und checklistenartig wie ein „Spickzettel“ aufgebaut und standardisiert ist.

Der Autor Holger Schellhaas, , Partner der Gotscharek & Company GmbH, ist Referent der Seminare “ISO 27001 Foundation Zertifizierungskurs” am 8.-9.6., 27.-28.7. und 12.-13.10.2015 in München und “ISO 27001 und Grundschutz nach BSI - Sicherheit mit Methode” am 13.-14.7.2015 in München. Der Foundationkurs befähigt zur erfolgreichen Prüfung, der BSI-Kurs vermittelt praktische Fertigkeiten, ein Managementsystem zur Informationssicherheit auf Basis der Grundschutz-Methodik aufzubauen.

siehe: https://www.gotscharek-company.com/Academy/trainingsangebot

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Datenschutzerklärung stimme zu