Themen
Themenspecial
Großkonzerne, mittelständische Unternehmen und Organisationen setzen bei ihren Geschäftsmodellen mehr und mehr auf digitale Lösungen. Vernetzte Systeme erleichtern die Kommunikation und straffen Wertschöpfungsketten, wodurch die Anwender Wettbewerbsvorteile gegenüber ihren Konkurrenten erzielen. Je stärker dabei auf die Digitalisierung vertraut wird, desto anfälliger wird die Informationssicherheit.
Um Datendiebstahl und Cyberkriminalität außen vorzuhalten, empfiehlt es sich, mit einem ISMS ein Sicherheitskonzept zu installieren, das unternehmensweit Sicherheitsrisiken vorbeugt und Manipulationen, die meist mit großen wirtschaftlichen Schäden verbunden sind, abwehrt. Was verbirgt sich hinter einem ISMS und wie kann ein solches Sicherheitssystem im Unternehmen eingeführt werden?
Ein ISMS gewährleistet die Informationssicherheit innerhalb von Unternehmen und Organisationen! (link)
Ein ISMS ist eine Sammlung von Prozessen und Richtlinien, mit denen sensible Daten geschützt werden, um die Informationssicherheit eines Unternehmens oder einer Organisation auf Dauer zu gewährleisten und stetig zu optimieren. Das Verfahren ermöglicht es, eventuelle Bedrohungen schon im Vorfeld zu identifizieren und deren Auswirkungen durch die Anwendung geeigneter Schutzmaßnahmen zu minimieren. Ein ISMS lässt sich sowohl auf das gesamte Unternehmen als auch auf einzelne Datensätze anwenden.
Außerdem sorgt ein Informationssicherheits-Managementsystem dafür, dass wichtige Bestimmungen und Vorgaben wie beispielsweise die DSGVO (Datenschutz-Grundverordnung) oder die ISO 27001 eingehalten werden. Dabei schließt ein ISMS drei zentrale Felder ein:
Häufig werden beide Begriffe synonym benutzt. Diese Verwendung ist nicht ganz korrekt! Informationssicherheitumfasst alle Maßnahmen, die die Informationswerte einer Firma vor Sabotage, Spionage und Cyberangriffen schützen und deren Auswirkungen verhindern. Informationssicherheit kümmert sich dabei nicht nur wie die IT-Sicherheit ausschließlich um elektronische Daten, sondern bezieht Informationen in gedruckter und geschriebener Form mit ein.
Die zentrale internationale Norm für Informationssicherheit ist ISO 27001. Mit ihr wird die Entwicklung und Stabilität eines ISMS geregelt. Die Norm legt eine Reihe von Kontrollmechanismen fest, mit der sich die Informationssicherheit von Organisationen umsetzen lässt. Sie dient dazu, den Schutz aller Werte in den Wertschöpfungsketten sicherzustellen.
Heute wird von Unternehmen und Organisationen erwartet, dass sie ihre Informationssicherheit mithilfe hoher Standards gewährleisten. Besonders Unternehmen mit verzweigten Lieferketten stehen beim Gesetzgeber in der Pflicht, ein ISMS einzuführen. Zudem existieren eine Reihe von weiteren Gründen, weshalb immer mehr Unternehmen in ein funktionierendes ISMS investieren:
Die Einführung eines ISMS ist unabhängig von der Größe und der Branche für jedes Unternehmen zu empfehlen. Besonders gefährdet ist die Informationssicherheit allerdings bei digitalisierten, software-lastigen und cloud-basierten Firmen.
So gelten in der Gesundheitsbranche strenge Mindeststandards, um die Vertraulichkeit von Patientendaten zu schützen. Auch die Automobilbranche setzt zunehmend auf ISMS, damit jeder Beteiligte an den Lieferketten die Sicherheitsstandards der Branche einhält. Obendrein kommen stark reglementierte Unternehmen wie Banken und Versicherungen ohne ISMS nicht mehr aus, um Ihre Kundendaten ausreichend zu schützen.
Unternehmen und Organisationen unterliegen sich ständig ändernden Anforderungen. Daraus folgt, dass es nicht ausreicht, wenn eine Unternehmensleitung eine ISMS einmalig einführt. Es muss dabei ständig überprüft, verbessert und erweitert werden. Vom Ablauf her ähnelt die Funktionsweise eines ISMS dem PDCA-Zyklus, wie er aus dem Qualitätsmanagement bekannt ist:
Ein ISMS ist ein ganzheitlicher und präventiver Ansatz, um die Informationssicherheit für Unternehmen und Organisationen zu garantieren. Er ist mit den folgenden Vorteilen verbunden:
Um die Informationssicherheit im gesamten Unternehmen zu gewährleisten, sind klare Verantwortlichkeiten zu definieren und die notwendigen Ressourcen an Personal, Geld und Zeit bereitzustellen. Diese Aufgaben unterliegen in der Regel der Unternehmensleitung. Unter ihrer Gesamtverantwortung wird der Prozess der ISMS-Implementierung eingeleitet. Es wird eine Organisationsstruktur aufgebaut und Sicherheitsziele sowie Rahmenbedingungen formuliert. Obendrein legt die Führungsebene die Leitlinien zur Durchsetzung eines ISMS fest
Dem Top-Down-Ansatz folgend ist es üblich, einen Informationssicherheitsbeauftragten (ISB) zu ernennen, bei dem es sich um einen leitenden Manager mit IT-Erfahrung handelt. Er ist verantwortlich für die Ausgestaltung und die Umsetzung des ISMS und fungiert als Ansprechpartner für alle Fragestellungen, die mit der Informationssicherheit in Verbindung stehen. Der ISB ist vollständig in den ISMS-Prozess integriert und arbeitet gezielt mit den IT-Verantwortlichen zusammen.
Die Implementierung eines ISMS hat einen maßgeblichen Anteil an der Zukunftsfähigkeit eines Unternehmens. Dabei ist es von großer Bedeutung, dass die Geschäftsführung den Prozess nicht nur einleitet.
Sie muss die Abläufe unterstützend begleiten und die Mitarbeiter sensibilisieren. Auf diese Weise gelingt es, Strukturen und Maßnahmen zu schaffen, die imstande sind, Gefahren für die Informationssicherheit rechtzeitig zu erkennen und abzuwenden.