Vorteile eines Informationssicherheits-Managementsystems

Spionage, (Geheimnis-)Verrat, Whistleblowing, Schutz von Geschäftsgeheimnissen, Datenschutz, Informationssicherheit – viele Begriffe kursieren, manchmal kommen dann auch noch Geheimdienstaktivitäten und Industriespionage hinzu. Doch so weit muss man beim Thema „Informationssicherheit“ gar nicht gehen. Denn allein schon durch Sicherheitslücken in der Verarbeitung von Daten und Informationen können enorme Risiken und Schäden entstehen, die es zu verhindern gilt. Aufgrund dessen ist es wichtig, dass im Unternehmen klare Regeln und Vorgaben zum richtigen und sicheren Umgang mit Daten und Informationen existieren, denn nur wer die potenziellen Risiken der Informationsweitergabe kennt, kann damit einhergehende Sicherheitsmaßnahmen auch besser verstehen und umsetzen.

Geschäfts- und Betriebsgeheimnisse wie z. B. Rezepturen, Konstruktions- und Herstellungsverfahren, aber auch Kundendaten, Verträge, Strategiepapiere oder Preisinformationen existieren in nahezu jedem Unternehmen in unterschiedlichem Ausmaß. Sie zählen mitunter sogar zu den wertvollsten Vermögenswerten und können über den künftigen wirtschaftlichen Erfolg oder Misserfolg entscheiden.

WAS HAT ES MIT DER INFORMATIONSSICHERHEIT AUF SICH?

Nachlässigkeit beim Umgang mit Datenträgern, Unachtsamkeit mit sensiblen Unterlagen, Fehler beim Versenden von Daten und kommunikative Fauxpas führen schon seit jeher zu Problemen für die Vertraulichkeit von Daten und Informationen. Der Umgang mit Daten (insbesondere den personenbezogenen) ist im Rahmen der Europäischen Datenschutzgrundverordnung (DSGVO) streng reguliert, wobei die Informationssicherheit dabei im eigenen Ermessen implementiert wird.

Bei den Vorgaben zur Einführung der Sicherheit von Daten und Informationen im Unternehmen kann sich beispielsweise an den folgenden Grundsätzen orientiert werden:

1. IT-Grundschutz
2. Normenreihe ISO/IEC 27000
3. VdS-Richtlinie 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMUs)

DEFINITION: Die Informationssicherheit befasst sich mit den technischen und organisatorischen Maßnahmen zur Sicherung aller Daten im Unternehmen, um den Informationswert zu schützen. Ein zentraler Punkt der Informationssicherheit ist, potenzielle Gefahren und Risiken – z. B. durch unbefugte Zugriffe auf Daten und Informationen oder durch die Manipulation von Daten – zu verhindern.

Bei der Informationssicherheit und dem daraus resultierenden (und idealerweise einzuführenden) Informationssicherheitsmanagementsystem (ISMS) müssen folgende Fragestellungen grundlegend geklärt werden:

• Welche (besonderen) Werte hat das Unternehmen?
• Welche Unternehmenswerte müssen geschützt werden?
• Welchen Angriffen sind diese Unternehmenswerte ausgesetzt?
• Wer hat Interesse an diesen Informationen?
• Was sind in diesem Zusammenhang angemessene Schutzmaßnahmen?

Wenn diese Fragen beantwortet sind, gilt es die Daten und Informationen mit allen Einzeldisziplinen im Unternehmen wie z. B. IT-Sicherheit, Cybersicherheit, Datenschutz, Datensicherheit, Unternehmenssicherheit, Compliance usw. zu schützen.

DIE 5 SÄULEN DER INFORMATIONSSICHERHEIT

Die Informationssicherheit soll garantieren, dass nur autorisierte Benutzer Zugriff auf Daten und Informationen erhalten und unbefugte oder unkontrollierte Zugriffe nicht erfolgen können. Um das gewährleisten zu können, stützt sich die Informationssicherheit auf 5 zentrale Säulen, die wir Ihnen nachfolgend näher vorstellen:

VERTRAULICHKEIT: Bei der Vertraulichkeit von Daten und Informationen, sei es aus datenschutzrechtlichen Gründen oder aufgrund von Betriebsgeheimnissen, die beispielsweise unter das „Gesetz zum Schutz von Geschäftsgeheimnissen“ fallen, dürfen Daten und Informationen lediglich von autorisierten und befugten Benutzern eingesehen und verwaltet werden.

INTEGRITÄT: Durch die Integrität soll verhindert werden, dass Daten und Informationen unbemerkt verändert und manipuliert werden können und somit immer vollständig und verlässlich sind. Eine Manipulation ist z. B. das Ändern, Löschen, Weglassen oder Einfügen von Daten und Informationen, die zu einer Verfälschung dieser führen.

VERFÜGBARKEIT: Die Verfügbarkeit dient der Verhinderung von Systemausfällen und Fremdzugriffen sowie der Sicherstellung der Nutzbarkeit für berechtigte Zugriffe auf Daten und Informationen. Sie ist wesentlich für die Aufrechterhaltung von Prozessen.

AUTHENTIZITÄT: Bezeichnet dabei die Echtheit und Überprüfbarkeit von Daten und Informationen.

VERBINDLICHKEIT: Gewährleistet hingegen, dass jeder Zugriff auf Daten und Informationen nachvollziehbar ist.

In jedem Unternehmen sollten entsprechende Informationssicherheitsmaßnahmen implementiert werden, damit die zuvor definierten Schutzziele eingehalten werden können. Dies gelingt durch entsprechende Vorgaben, Richtlinien und Prozesse. Somit ist ein Unternehmen in der Lage, die Sicherheit von Informationen zu steuern, zu kontrollieren und sicherzustellen.

ISMS: VORTEILE FÜR BESCHÄFTIGTE

Klare Vorgaben, Richtlinien und Prozesse führen zu einem strukturierteren Arbeitsalltag, was wiederum auch dazu führt, dass nicht immer die gleichen Fragen gestellt werden müssen wie z. B.:

• Benötigt der Lieferant eine Vertraulichkeitsvereinbarung oder eine Sicherheitsunterweisung?
• Darf ich die Dokumente „XY“ per E-Mail versenden?
• Wo lege ich Kundendaten richtig und vor allem sicher ab?
• Ist die neue Geschäftspartnerschaft schon offiziell?

Gerade der Mensch ist in einer Umgebung technischer Systeme oft einer der größten Risikofaktoren, denn viele Sicherheitsrisiken entstehen erst durch menschliches Zutun – beispielsweise in Form von Fehlverhalten oder unwissentlichen Handlungen. Der Umgang mit sensiblen Informationen betrifft i. d. R. stets alle Mitarbeiter sowie ggf. weitere externe Partner eines Unternehmens.

WICHTIG: Seine volle Wirkung kann ein Informationssicherheitsmanagementsystem nur entfalten, wenn von der Unternehmensführung bis zu den Beschäftigten, Praktikanten, Werkstudenten und externen Partnern alle an einem Strang ziehen, um die Vertraulichkeit und Integrität von Informationen jederzeit aufrechtzuerhalten.

SICHERHEITSVORKEHRUNGEN UND SCHUTZMASSNAHMEN ZUR GEWÄHRLEISTUNG DER INFORMATIONSSICHERHEIT

Unternehmen können unterschiedliche bauliche, technische, personelle und organisatorische Sicherheitsvorkehrungen und Schutzmaßnahmen etablieren. Egal, welche Maßnahmen zur Anwendung kommen, wichtig ist, dass die Anwender – also die Menschen – diese nicht umgehen oder ignorieren, sondern sich daran orientieren – für ein sicheres Unternehmen ohne Informationsabfluss und vorsätzlich herbeigeführte Sicherheitslücken.