ISMS: Die trügerische Datensicherheit?

Wer meint, mit der Einführung eines Information Security Management System (ISMS) seine Hausaufgaben in Sachen Datensicherheit gemacht zu haben, irrt. Jetzt beginnt erst die Arbeit. [...]

Ein Information Security Management fungiert in vielen Unternehmen als Sicherheitsdach. Doch es können Schlupflöcher entstehen (c) pixabay.com

Die meisten Unternehmen müssen über kurz oder lang ein ISMS aufbauen, sei es um rechtlichen oder den Anforderungen der eigenen Kunden zu genügen, oder um die eigenen Assets und den Geschäftserfolg abzusichern. Sich danach zurückzulehnen und die Hände in den Schoß zu legen, ist aber falsch. Nach der Einführung des ISMS beginnt erst die eigentliche Arbeit in Sachen Sicherheit, und zwar für alle im Unternehmen.

Ein Vorgehen nach BSI Grundschutz oder der ISO 27001 ff bietet sich bei der Einführung eines ISMS an. In der Natur solcher Standardverfahren liegt aber, dass sie genau gegenteilige Auswirkungen auf die Sicherheit der Daten haben können – selbst wenn sie gut eingeführt werden. Drei Beobachtungen, die zum Nachdenken einladen sollen:

1. Informationssicherheit hat ein Zuhause

Mit einem strukturierten ISMS bekommt die Informationssicherheit ein Zuhause im jeweiligen Unternehmen. Bei der Einführung eines ISMS gilt der Grundsatz: alle Mitarbeiterinnen und Mitarbeiter übernehmen Aufgaben und Verantwortung in Bezug auf Informationssicherheit. Zusätzlich werden Rollen wie ein CISO (Information Security Officer) und andere benannt, die mit der Organisation der Sicherheit betraut sind.

Das kann unterschiedlich aufgenommen werden: Im Bestfall sind die Beschäftigten stolz darauf, dass sie sicher arbeiten, weil die IT-Security-Abteilung alles im Griff hat. Im schlechtesten Fall werden die Security-Kollegen als Bremser wahrgenommen, die aus Sicht der Anwender Workflows und Prozesse mit ihren Security-Anforderungen behindern.

2. Papier ist geduldig

Zum ersten Arbeitstag gehört in der Regel, dass alle Neuankömmlinge im Unternehmen eine Unterweisung in IT-Sicherheit und Datenschutz durchlesen. Danach haben wir brav per Haken oder Multiple Choice Test bestätigt, dass wir alles gelesen, verstanden und verinnerlicht haben. An diesen Vorgang können sich viele erinnern – an den Inhalt auch?

Dieser Sachverhalt ist symptomatisch für viele Prozesse, in denen per Checkliste und Dokument Sicherheit belegt werden soll. Die Inhalte der Dokumente sind korrekt und sinnvoll. Auf dem Papier allein bringen sie nur nichts. Besser wäre es, Sicherheitsanforderungen mit einem konkreten Bezug zum beruflichen Alltag zu kommunizieren und einzuüben. Auditierbarkeit und Zertifizierung ist bei der Einführung eines ISMS häufig die wichtigste Anforderung. Hier gilt: „Wer schreibt, der bleibt“, Papier ist aber geduldig. Ist die Sicherheit hergestellt, weil ich nach getaner Arbeit eine Checkliste abgehakt habe, auch wenn ich vorher ohne Sicherheitsanforderungen gearbeitet habe?

3. Auditierbarkeit versus Sicherheit

Hier versteckt sich die wichtigste Erkenntnis: Sicherheit und Auditierbarkeit sind zwei grundverschiedene Dinge. Für mehr Sicherheit ist wichtig, dass Beschäftigte ihr Verhalten so anpassen, dass sichere Arbeitsabläufe und Ergebnisse entstehen. Um Auditierbarkeit herzustellen, müssen Abläufe dokumentier- und nachvollziehbar gemacht werden.

Das funktioniert nur, wenn man Abläufe hinreichend abstrahiert, so dass sie überall anwendbar sind. Ohne Abstraktion erhält man umfassende Vorgangsbeschreibungen, in denen die Vorgaben für die konkrete Alltagssituation nicht mehr gefunden werden. Es ist also sehr wichtig, diesen Widerspruch zu verstehen. Sonst läuft man Gefahr, nur Auditierbarkeit herzustellen, ohne Sicherheit zu erreichen.

Fragen für Unternehmen zum Thema ISMS

Nicht nur innerhalb der IT-Abteilung, sondern über die ganze Organisation hinweg sollten sich Unternehmen und Beschäftigte darum folgende Fragen stellen:

  • Brauche ich ein ISMS?
  • Fühle ich mich dadurch sicherer oder zielt es eher auf die Erfüllung von Richtlinien und Dokumentation ab? Ist das für mich in Ordnung?
  • Wissen alle Beschäftigten im Unternehmen, welcher Schaden in Folge eines Sicherheitsvorfalls in ihrem Bereich entsteht?
  • Wie kann jeder seinen Job so erfüllen, dass er dadurch positiv zur Sicherheit beiträgt?

Stellen Sie sich diese Fragen, sind Sie bereits auf dem richtigen Weg, mit einem ISMS mehr für Ihre Sicherheit zu tun.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Philip Lorenzi leitet den Bereich Cybersecurity bei MaibornWolff.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*