ISMS: Die trügerische Datensicherheit?

Wer meint, mit der Einführung eines Information Security Management System (ISMS) seine Hausaufgaben in Sachen Datensicherheit gemacht zu haben, irrt. Jetzt beginnt erst die Arbeit. [...]

Ein Information Security Management fungiert in vielen Unternehmen als Sicherheitsdach. Doch es können Schlupflöcher entstehen (c) pixabay.com

Die meisten Unternehmen müssen über kurz oder lang ein ISMS aufbauen, sei es um rechtlichen oder den Anforderungen der eigenen Kunden zu genügen, oder um die eigenen Assets und den Geschäftserfolg abzusichern. Sich danach zurückzulehnen und die Hände in den Schoß zu legen, ist aber falsch. Nach der Einführung des ISMS beginnt erst die eigentliche Arbeit in Sachen Sicherheit, und zwar für alle im Unternehmen.

Ein Vorgehen nach BSI Grundschutz oder der ISO 27001 ff bietet sich bei der Einführung eines ISMS an. In der Natur solcher Standardverfahren liegt aber, dass sie genau gegenteilige Auswirkungen auf die Sicherheit der Daten haben können – selbst wenn sie gut eingeführt werden. Drei Beobachtungen, die zum Nachdenken einladen sollen:

1. Informationssicherheit hat ein Zuhause

Mit einem strukturierten ISMS bekommt die Informationssicherheit ein Zuhause im jeweiligen Unternehmen. Bei der Einführung eines ISMS gilt der Grundsatz: alle Mitarbeiterinnen und Mitarbeiter übernehmen Aufgaben und Verantwortung in Bezug auf Informationssicherheit. Zusätzlich werden Rollen wie ein CISO (Information Security Officer) und andere benannt, die mit der Organisation der Sicherheit betraut sind.

Das kann unterschiedlich aufgenommen werden: Im Bestfall sind die Beschäftigten stolz darauf, dass sie sicher arbeiten, weil die IT-Security-Abteilung alles im Griff hat. Im schlechtesten Fall werden die Security-Kollegen als Bremser wahrgenommen, die aus Sicht der Anwender Workflows und Prozesse mit ihren Security-Anforderungen behindern.

2. Papier ist geduldig

Zum ersten Arbeitstag gehört in der Regel, dass alle Neuankömmlinge im Unternehmen eine Unterweisung in IT-Sicherheit und Datenschutz durchlesen. Danach haben wir brav per Haken oder Multiple Choice Test bestätigt, dass wir alles gelesen, verstanden und verinnerlicht haben. An diesen Vorgang können sich viele erinnern – an den Inhalt auch?

Dieser Sachverhalt ist symptomatisch für viele Prozesse, in denen per Checkliste und Dokument Sicherheit belegt werden soll. Die Inhalte der Dokumente sind korrekt und sinnvoll. Auf dem Papier allein bringen sie nur nichts. Besser wäre es, Sicherheitsanforderungen mit einem konkreten Bezug zum beruflichen Alltag zu kommunizieren und einzuüben. Auditierbarkeit und Zertifizierung ist bei der Einführung eines ISMS häufig die wichtigste Anforderung. Hier gilt: „Wer schreibt, der bleibt“, Papier ist aber geduldig. Ist die Sicherheit hergestellt, weil ich nach getaner Arbeit eine Checkliste abgehakt habe, auch wenn ich vorher ohne Sicherheitsanforderungen gearbeitet habe?

3. Auditierbarkeit versus Sicherheit

Hier versteckt sich die wichtigste Erkenntnis: Sicherheit und Auditierbarkeit sind zwei grundverschiedene Dinge. Für mehr Sicherheit ist wichtig, dass Beschäftigte ihr Verhalten so anpassen, dass sichere Arbeitsabläufe und Ergebnisse entstehen. Um Auditierbarkeit herzustellen, müssen Abläufe dokumentier- und nachvollziehbar gemacht werden.

Das funktioniert nur, wenn man Abläufe hinreichend abstrahiert, so dass sie überall anwendbar sind. Ohne Abstraktion erhält man umfassende Vorgangsbeschreibungen, in denen die Vorgaben für die konkrete Alltagssituation nicht mehr gefunden werden. Es ist also sehr wichtig, diesen Widerspruch zu verstehen. Sonst läuft man Gefahr, nur Auditierbarkeit herzustellen, ohne Sicherheit zu erreichen.

Fragen für Unternehmen zum Thema ISMS

Nicht nur innerhalb der IT-Abteilung, sondern über die ganze Organisation hinweg sollten sich Unternehmen und Beschäftigte darum folgende Fragen stellen:

  • Brauche ich ein ISMS?
  • Fühle ich mich dadurch sicherer oder zielt es eher auf die Erfüllung von Richtlinien und Dokumentation ab? Ist das für mich in Ordnung?
  • Wissen alle Beschäftigten im Unternehmen, welcher Schaden in Folge eines Sicherheitsvorfalls in ihrem Bereich entsteht?
  • Wie kann jeder seinen Job so erfüllen, dass er dadurch positiv zur Sicherheit beiträgt?

Stellen Sie sich diese Fragen, sind Sie bereits auf dem richtigen Weg, mit einem ISMS mehr für Ihre Sicherheit zu tun.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Philip Lorenzi leitet den Bereich Cybersecurity bei MaibornWolff.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*