JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Künstliche Intelligenz ist mittlerweile aus dem Unternehmensalltag kaum noch wegzudenken. Die Nutzung von Chatbots, Unterstützung bei der Erstellung oder Analyse von Dokumenten und Informationen oder sogar die Entwicklung von KI in den eigenen Produkten – die Möglichkeiten des Einsatzes von KI im Unternehmen sind immens.

In dieser Episode sprechen wir über das Thema „KI im ISMS“ und inwieweit KI zum einen die Informationssicherheit im Unternehmen unterstützen kann aber auch welche Schwachstellen die Nutzung von künstlicher Intelligenz im Unternehmen eröffnen kann.

Hier ein Paar Links zum Thema „KI im ISMS – eine gute Idee?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In der heutigen digitalen Welt ist die Notfallvorsorge in der IT von entscheidender Bedeutung. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können Unternehmen erheblich schaden. Die neue NIS 2 Richtlinie, die im Januar 2023 in Kraft trat, stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union dar und hat weitreichende Auswirkungen auf die Notfallvorsorge in der IT.

Die NIS 2 Richtlinie zielt darauf ab, die Sicherheitsanforderungen für Unternehmen, die kritische Infrastrukturen betreiben, zu erhöhen. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und umfasst nun auch kleinere Unternehmen und Anbieter von digitalen Diensten. Dies bedeutet, dass mehr Organisationen verpflichtet sind, robuste Sicherheitsmaßnahmen zu implementieren und Notfallpläne zu entwickeln.

Die NIS 2 Richtlinie (Richtlinie (EU) 2022/2555) befasst sich gleich in mehreren Kapiteln mit Notfallvorsorge und Resilienz.

Die wichtigsten Kapitel, die Notfallvorsorge und Resilienz behandeln, sind:

1. Kapitel II – Sicherheitsanforderungen: Dieses Kapitel legt die grundlegenden Sicherheitsanforderungen fest, die von den betroffenen Unternehmen und Organisationen eingehalten werden müssen. Es betont die Notwendigkeit, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Dazu gehört auch die Entwicklung von Notfallplänen und die Durchführung von Risikobewertungen.

2. Kapitel III – Vorfallmanagement: In diesem Kapitel wird die Notwendigkeit eines effektiven Vorfallmanagements hervorgehoben. Unternehmen müssen Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle implementieren. Dies ist entscheidend für die Resilienz, da eine schnelle und koordinierte Reaktion auf Vorfälle die Auswirkungen auf die Organisation minimieren kann.

3. Kapitel IV – Zusammenarbeit und Informationsaustausch: Dieses Kapitel fördert die Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle ist entscheidend für die Verbesserung der Resilienz und der Notfallvorsorge auf europäischer Ebene.

4. Kapitel V – Aufsicht und Durchsetzung: Hier werden die Aufsichtsmechanismen beschrieben, die sicherstellen sollen, dass die Sicherheitsanforderungen eingehalten werden. Die Durchsetzung dieser Anforderungen trägt zur allgemeinen Resilienz der kritischen Infrastrukturen bei.

Diese Kapitel zusammen bilden den Rahmen für eine umfassende Notfallvorsorge und Resilienz-Strategie, die Unternehmen dabei unterstützt, sich besser auf Cyberbedrohungen vorzubereiten und darauf zu reagieren.

Ein zentraler Aspekt der NIS 2 Richtlinie ist die Verpflichtung zur Risikobewertung und -management. Unternehmen müssen potenzielle Bedrohungen identifizieren und Strategien entwickeln, um diese zu minimieren. Dazu gehört auch die regelmäßige Durchführung von Notfallübungen, um sicherzustellen, dass alle Mitarbeiter im Ernstfall wissen, wie sie reagieren müssen.

Darüber hinaus fordert die NIS 2 Richtlinie eine engere Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle wird gefördert, um eine schnellere Reaktion auf Cyberangriffe zu ermöglichen.

Insgesamt ist die NIS 2 Richtlinie ein wichtiger Schritt in Richtung einer besseren Notfallvorsorge in der IT. Unternehmen sollten diese Vorgaben ernst nehmen und ihre Sicherheitsstrategien entsprechend anpassen, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch ihre eigene Resilienz zu stärken. In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, ist proaktive Notfallvorsorge unerlässlich.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

Bereits am 3. März 2015 ist bei Springer Vieweg auf 216 Seiten  “Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010” von Sebastian Klipper erschienen. Soweit ich weiß, ist es nach wie vor das einzige deutschsprachige Buch speziell zum Thema Informationssicherheitsrisikomanagement.

In seinen ersten Kapiteln führt das Buch in das Risikomanagement in der ISO-Normenwelt ein. Betrachtet werden die Normen der ISO 27000-Reihe insbesondere die ISO 27005. Daneben geht der Autor auf die ISO 31000-Reihe ein. Die ISO 31000 ist eine Norm, die sich allgemein mit Risikomanagement beschäftigt. Auch wenn es für die besprochenen Normen jeweils bereits neue Versionen gibt, so sind die Ausführungen des Buches immer noch weitgehend richtig. In der ISO 27001:2022 haben sich die Anforderungen zum Risikomanagement nicht wesentlich geändert. Auch die besprochenen Risikonormen sind in ihrer Grundstruktur nicht wesentlich verändert. Diese Normen sind im ISMS nach ISO 27001 auch nur informativ, d.h. sie haben empfehlenden Charakter. Daher gibt es nichts, was in den zum Zeitpunkt des Erscheinens des  Buches gültigen Normen steht, was heute falsch wäre.

Viele ISMS-Verantwortliche, die sich mit den formalen Anforderungen der ISO 27001 vertraut gemacht haben, stehen vor der schwierigen Aufgabe, diese Anforderungen in die Praxis umsetzen zu müssen. Hier hilft das Kapitel 5 des Buches gut weiter. Besprochen werden konkrete Methoden zum Durchführen von Risiko-Assessments. Neben geläufigen Methoden wie Brainstorming oder Business Impact Analysen (BIA), werden auch in der Praxis der Informationssicherheit weniger verbreitete Methoden, wie z.B. die aus anderen Bereichen bekannte Delphi-Methode, vorgestellt. Dabei geht es darum, dass die möglicherweise unterschiedlichen Ansichten verschiedener Experten konsolidiert werden.

Zu jeder Methode wird dargelegt, in welcher Phase des Risiko-Assessments sie zum Tragen kommen kann: bei Risikoidentifikation, -abschätzung, oder -bewertung. Die Methoden werden vom Autor jeweils nach ihrer Komplexität, dem Grad der Ergebnisunsicherheit, dem Ressourcenbedarf und dem quantitativen Output bewertet. Leider funktionieren die Links zu weiterführenden Informationen nicht mehr, da der Blog des Autors anscheinend umgezogen ist.

Kapitel über die Risikokommunikation und Wirtschaftlichkeitsbetrachtungen runden das Buch ab. Gerade Wirtschaftlichkeitsbetrachtungen werden bei zu theoretischen Ansätzen des Risikomanagements auf dem Altar einer scheinbaren Vollständigkeit und “Reinheit” des gewählten Vorgehens gerne vernachlässigt. Dies führt in der Praxis jedoch früher oder später dazu, dass diese “umfassenden” Ansätze als unpraktikabel wieder verworfen werden. Man darf dem Autor dankbar sein für diesen praxisorientierten Blick auf die Materie.

Fazit

Auch wenn das Buch schon über 9 Jahre alt ist, so ist es im Kern immer noch aktuell. Außerdem ist es, wie eingangs erwähnt, weiterhin das einzige Werk in deutscher Sprache, das sich explizit mit Informationssicherheits-Risikomanagement beschäftigt. Ich kann das Buch sehr empfehlen und würde mich über eine an den aktuellen Normenstand angepasste Neuauflage freuen.

 

 

Im vorhergehenden Blog-Beitrag “Awareness – ein Konzept!” habe ich einen Überblick über eine strukturierte Vorgehensweise und The new Awareness Curve gegeben. In diesem Beitrag möchte ich auf den ersten Schritt der Awareness Curve die Sicherheits-Hygiene eingehen.

Sicherheits-Hygiene

Unter Sicherheits-Hygiene versteht man die routinemäßigen, alltagstauglichen Sicherheitspraktiken, die von Endbenutzern durchgeführt werden müssen, um ein Grundniveau an Sicherheit zu gewährleisten. Dabei ist Wert darauf zu legen, dass Maßnahmen so gestaltet sind, dass sie wenig kognitive Belastung oder Aufwand für die Menschen darstellen.  Sicherheitsmaßnahmen sollen praktikabel, intuitiv und mit den täglichen Arbeitsabläufen kompatibel sein.

Informationssicherheit wird oft als zusätzliche Belastung für den Menschen wahrgenommen, insbesondere wenn sie als zu kompliziert oder störend empfunden wird. Die Sicherheits-Hygiene muss daher einfach und effizient gestaltet sein. Sie muss selbstverständlich sein, wie das Händewaschen in der körperlichen Hygiene.

In der Sicherheits-Hygiene sind daher zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind. Dies gilt auch für die Benutzung von Werkzeugen, wie z.B. ein VPN. Die Benutzung darf im Ergebnis die Menschen kognitiv nicht mehr anstrengen als Händewaschen. Nur dann besteht eine gute Chance, dass elementare Regeln eingehalten und aus Sicherheitsperspektive notwendige Werkzeuge und Methoden auch wirklich eingesetzt werden. Anderenfalls wird es immer wieder zu Umgehungshandlungen kommen.

Die Sicherheits-Hygiene bildet damit die Grundlage für weiterführende Awareness-Maßnahmen. Sie stellt sicher, dass die grundlegenden Sicherheitspraktiken einfach verstanden und praktikabel gelebt werden können. Erst in der Folge können komplexere Themen angegangen werden. Die Sicherheits-Hygiene zielt darauf ab, ein Basisniveau an Sicherheitsbewusstsein und -verhalten in der gesamten Organisation zu etablieren. Durch die Fokussierung auf diese grundlegenden Aspekte wird eine solide Basis für die Entwicklung einer umfassenderen Sicherheitskultur geschaffen. Die Sicherheits-Hygiene ist somit der notwendige erster Schritt auf der Security Awareness Curve.

Wie es weiter geht?

Der nächste Blog-Artikel zum Thema Awareness wird sich mit dem nächsten Schritt der Awarenss Curve der Information der Mitarbeiter beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Cover Buch Domain StorytellingAm 29.06.2023 ist im dpunkt.verlag auf 254 das Buch Domain Storytelling von Stefan Hofer und Henning Schwentner erschienen.

Das Buch richtet sich nach eigenen Angaben an Softwarearchitekten, Softwareentwickler, Projektverantwortliche, Business Analysten, IT-Consultants und das IT-Management. Damit liege ich als Berater für Informationssicherheit eigentlich nicht in der Zielgruppe.

Allerdings stehen wir in der Beratung zum Informationssicherheitsmanagement vor ähnlichen Herausforderungen, wenn es darum geht, organisatorische Abläufe zu verdeutlichen, zu diskutieren und abzustimmen. Unsere Berater sind daher immer wieder auf der Suche nach geeigneten Methoden hierfür. Möglicherweise werden wir beim Domain Storytelling fündig. Domain Storytelling ist eine grafische Modellierungstechnik, die veranschaulicht, wie Menschen zusammenarbeiten. Fachexperten beschreiben Softwareexperten, wie sie Tätigkeiten in ihrem Anwendungsbereich ausführen. Dies wird gemeinsam visualisiert und hilft den Softwareexperten bei der Entwicklung der Software.
In der Beratung ist es ganz ähnlich. Berater beschreiben, wie die Abläufe sein sollen. Sie sind Fachexperten, in unserem Fall für Informationssicherheit. Die Beratungskunden haben dabei die Rolle, die sonst den Softwareexperten zukommt. Sie müssen die Abläufe in ihrer Organisation implementieren.

Das Buch führt in seinem ersten Teil in das Domain Storytelling ein. Die Methode verspricht eine einfache, unmittelbar eingängige, bildliche Darstellung von Abläufen. Dem Betrachter erklären sich die Abläufe von selbst, ohne dass er sich zuvor in die Methode einarbeiten muss. Das sind gute Voraussetzungen für einen schnellen Start. Die Autoren verdeutlichen das an eingängigen Beispielen.

Der Zweite Teil des Buches ist dem praktischen Einsatz der Methode gewidmet. Erläutert wird dies ebenfalls an zahlreichen Beispielen.

Domain Storytelling zwingt zum Formulieren im Aktiv. Bei Tätigkeiten wird klar, wer eine Tätigkeit ausführt. In Audits und in der Beratung sehen meine Kollegen und ich immer wieder Vorgabedokumente, die Passivformulierung verwenden und damit im Unklaren lassen, wer für die Umsetzung verantwortlich ist.
Ein Beispiel: In Richtlinien finden sich oft Sätze wie “Die Zugangsrechte müssen regelmäßig überprüft werden.” Die Verwendung des Passivs “muss geprüft werden” lässt offen, wer die Prüfung durchführen soll. Die Folge ist, dass ein entsprechende Prüfung mit hoher Wahrscheinlichkeit nicht stattfinden wird. Daher sind Formulierungen im Aktiv wie “Der Teamleiter IT-Administration sorgt für die Überprüfung der Zugangsrechte.” die besseren Formulierungen. Die Nutzung von Domain Storytelling zwingt nun dazu, darüber nachzudenken, zu entscheiden und entsprechend zu dokumentieren, wer was machen muss. Ein echter Gewinn.

Gut gefallen hat mir auch der Blick der Autoren nach rechts und links. So wird das Verhältnis des Domain Storytellings zu acht anderen Modellierungswerkzeugen wie beispielsweis UML und BPMN erläutert. Das ist sicherlich hilfreich für alle, die entsprechende Werkzeuge bereits im Einsatz haben.

Ein online bereitstehender Editor macht es möglich, das Gelesene sofort auszuprobieren.

Zusammenfassend kann man sagen, dass die Autoren anschaulich und mit vielen Beispielen mit dem Domain Storytelling in eine Methode einführen, die in Beratung und Schulung von großem Nutzen sein kann. Ich jedenfalls werde die Methode in meinen nächsten Schulungen und auch in der Beratung probeweise verwenden und zu einem späteren Zeitpunkt über meine Erfahrungen berichten.

Nicht erst seit der Corona Pandemie taucht der Begriff HomeOffice in der öffentlichen Diskussion des Öfteren auf. Daher verwundert es nicht, wenn man entsprechende Anforderungen auch im VDA-ISA-Katalog (TISAX®) findet – allerdings unter der Bezeichnung „Mobiles Arbeiten“ …

Mobiles Arbeiten bezeichnet in der Informationssicherheit das Arbeiten außerhalb des eigenen Firmenstandortes. Die Arbeitsleistung kann dabei sowohl in der Privatwohnung („HomeOffice“) als auch außerhalb der Privatwohnung erbracht werden, z.B. beim Treffen in den Räumlichkeiten von Kunden, während der Bahnfahrt oder im Hotel. Wesentlich sind hier die unterschiedlichen Möglichkeiten des mobil Arbeitenden, Einfluss auf seine Umgebung zu nehmen. In der eigenen Wohnung kann man die Arbeitsumgebung meist sicher gestalten, z.B. mit abschließbaren Ablagen für Papiere oder Modelle, oder indem das Mithören von Gesprächen durch geschlossene Türen und Fenster verhindert wird. Genau diese Möglichkeit, die Umgebung, in der die dienstliche Tätigkeit erbracht wird, zu Gunsten der Informationssicherheit zu gestalten, hat man in der Bahn oder beim Treffen mit Kunden meist nicht.

TISAX® – Risiko Reise

Viele der Gefährdungen entstehen dadurch, dass Informationswerte (Assets – siehe Beitrag Asset Management) bei der Reise mitgeführt und durch sehr verschiedenartige Szenarien bedroht werden. Der Verlust durch Diebstahl ist dabei ein recht offensichtliches Szenario. Verletzungen der Vertraulichkeit können aber auch durch Einsichtnahme geschehen, z.B. durch Behörden beim Grenzübertritt oder durch die Nutzung von nicht ausreichend abgesicherten Kommunikationsverbindungen. Letztlich kann eine Offenlegung aber auch durch eine unbedachte Nutzung durch den eigenen Mitarbeiter erfolgen – Stichworte wären hier „Lautes Telefonieren in der Öffentlichkeit“ oder „Einsichtnahme von Bildschirminhalten in dar Bahn oder in Flugzeugen“ … Daher werden diese Szenarien (Offenlegung bei Reisen, Verhalten bei Grenzübertritten, Vorkehrungen gegen Diebstahl u.v.a.m.) auch im VDA-ISA-Katalog, in dem Control zum mobilen Arbeiten, thematisiert.

Mögliche Maßnahmen

Die genannten Beispiele zeigen, dass es gerade beim mobilen Arbeiten in hohem Maße auf die Verlässlichkeit der eigenen Mitarbeiter ankommt, und zwar sowohl durch die Beachtung der Vorgaben des Unternehmens für das mobile Arbeiten, als auch durch das bewusste „Mitdenken“ von Gefährdungen der Informationssicherheit, die in den Vorgaben vielleicht nicht genannt sind.

Von Seiten des Arbeitgebers sollten die mobil Arbeitenden hinsichtlich der bestehenden Gefährdungen angemessen sensibilisiert werden, z.B. durch Schulungen, durch Vorgaben zum Arbeiten im HomeOffice, zum Verhalten während einer Dienstreise oder auch zu Reisen ins Ausland. Die Sensibilisierung sollte dabei auch durch Checklisten, Reisehinweise, Notfallkontakte und ähnliche Materialien unterstützt werden. Und aus diesem Grund findet sich das Thema “Sensibilisierung und Awareness” nicht nur im VDA-ISA-Katalog, sondern eigentlich in allen Standards zur Informationssicherheit.

Bei genauer Betrachtung wird man feststellen, dass viele der genannten Aspekte eine mehr oder weniger starke Verbindung zu anderen Elementen des ISMS haben, und sich daher an einigen Stellen des VDA-ISA-Kataloges wiederfinden lassen. So könnte man z.B. das HomeOffice als eine mögliche Zone im Zonenkonzept betrachten. Auch das Asset Management könnte sich wiederfinden lassen, z.B. beim Mitführen von Informationswerten oder der Vernichtung von Datenträgern (Papier) im HomeOffice. Oder bei der Umsetzung der Klassifizierung …

Der Aspekt der physischen Sicherheit, der in diesem Artikel an einigen Stellen angerissen wurde, wird im Mittelpunkt des nächsten Blogartikels stehen.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In dieser Episode sprechen wir über zentrale Regularien und Gesetze im Bereich der Informationssicherheit: NIS2, KRITIS-Dachgesetz, DORA, Finanzmarktdigitalisierungsgesetz und dem Cyberresilienz Act. Wir beleuchten die Gemeinsamkeiten, Ergänzungen und Dopplungen dieser Vorschriften und diskutieren, wie sie zusammenspielen, um den Schutz kritischer Infrastrukturen zu stärken. Dabei gehen wir insbesondere auf die Maßnahmen ein die Unternehmen zukünftig umsetzen müssen. Ein spannender Überblick für alle, die mit Cybersecurity und regulatorischen Anforderungen zu tun haben!

Hier ein Paar Links zum Thema „NIS2 & Co – Gemeinsamkeiten, Ergänzungen, Dopplungen“

https://www.consilium.europa.eu/de/policies/cybersecurity/

https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html

https://germany.representation.ec.europa.eu/news/strengere-regeln-fur-cybersicherheit-und-die-resilienz-kritischer-einrichtungen-der-eu-kraft-2023-01-16_de

https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

https://european-union.europa.eu/institutions-law-budget/law/types-legislation_de

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In unserem vorangegangenen Beitrag „Die Bedeutung interner Audits…“ haben wir einen kurzen Überblick gegeben, warum interne Audits wichtig für die Informationssicherheit im Unternehmen ist. Im heutigen Beitrag gehen wir darauf ein, welche Inhalte bei einer Ausbildung zum Auditor geschult werden.

Die Inhalte der Ausbildung für interne Auditoren, insbesondere im Kontext der ISO 27001, vermittelt den Teilnehmern eine Vielzahl von Kenntnissen und Fähigkeiten, die für die Durchführung effektiver Audits im Bereich Informationssicherheit erforderlich sind. Hier sind einige der wichtigsten Inhalte:

  1. Grundlagen der ISO 27001
    Grundsätzliches Verständnis der ISO 27001-Norm und ihrer Anforderungen.
    Überblick über das Informationssicherheitsmanagementsystem (ISMS) und dessen Bedeutung.
  2. Der Auditprozess
    Die Phasen des Auditprozesses: Planung, Durchführung, Berichterstattung und Nachverfolgung.
    Die Erstellung von Auditplänen und -Checklisten.
  3. Auditmethoden und -techniken
    Verschiedene Auditmethoden (z. B. Dokumentenprüfung, Interviews, Beobachtungen).
    Welche Techniken eignen sich zur Datensammlung und -analyse.
  4. Risikomanagement
    Die Grundlagen des Risikomanagements im Kontext der Informationssicherheit. Wie läuft die Identifikation und Bewertung von Risiken.
  5. Kommunikationsfähigkeiten
    Wie kommuniziert man im Audit zielführend mit den beteiligten Stakeholdern und wie präsentiere ich die Ergebnisse des Audits verständlich und nachvollziehbar
  6. Dokumentation und Berichterstattung
    Erstellung von Auditberichten und Dokumentation der Ergebnisse. Wie wird die Nachverfolgung von Maßnahmen zur Behebung von festgestellten Mängeln durchgeführt.
  7. Rechtliche und regulatorische Anforderungen
    Verständnis der relevanten gesetzlichen und regulatorischen Anforderungen im Bereich Informationssicherheit.
  8. Verhaltens- und Ethikrichtlinien
    Bedeutung von Integrität und Objektivität im Auditprozess und der Umgang mit Interessenkonflikten.
  9. Kontinuierliche Verbesserung
    – Methoden zur Identifikation von Verbesserungsmöglichkeiten im ISMS.
    – Implementierung von Änderungen basierend auf Audit-Ergebnissen.
  10. Praktische Übungen
    Durchführung von Rollenspielen oder Simulationen, um die erlernten Fähigkeiten in der Praxis anzuwenden.

Die Ausbildung zum internen Auditor ist darauf ausgelegt, Auditoren nicht nur mit dem notwendigen Wissen auszustatten, sondern auch praktische Fähigkeiten zu vermitteln, die sie benötigen, um effektive und objektive Audits durchzuführen.

Weitere Beiträge aus dieser Reihe behandeln die nachfolgenden Punkte:

  • Unterschiede zwischen internen und externen Audits (Teil 3)
  • Erstellung eines Auditprogrammes (Teil 4)
  • Aufbau und Planung von internen Audits (Teil 5)
  • Durchführung interner Audits (Teil 6)
  • Berichterstattung und Nachverfolgung (Teil 7)
  • Herausforderungen und Best Practices (Teil 8)

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den letzten Jahren hat das Arbeiten von zu Hause aus eine ganz neue Bedeutung erlangt. Für viele von uns ist das HomeOffice mittlerweile nicht mehr nur eine vorübergehende Lösung, sondern fester Bestandteil unseres Arbeitsalltags. Doch während flexible Arbeitszeiten und der Komfort des eigenen Zuhauses verlockend sind, birgt das HomeOffice auch erhebliche Herausforderungen, insbesondere wenn es um die Sicherheit von Daten geht.

Hier kommt unser Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ ins Spiel!

Warum ist Informationssicherheit im Homeoffice so wichtig?

In einer zunehmend digitalen Welt sind Daten ein wertvolles Gut. Im Homeoffice ist die Gefahr von Sicherheitslücken besonders groß, da private Netzwerke oft weniger geschützt sind als die Infrastruktur in einem Büro. Cyberangriffe, Phishing und Datenverluste können nicht nur für Sie, sondern auch für Ihr Unternehmen schwerwiegende Konsequenzen haben. Daher ist es entscheidend, dass Sie die richtigen Maßnahmen ergreifen, um sensible Informationen zu schützen.

Was bietet Ihnen unser Homeoffice-Ratgeber?

  1. Einführung in das Thema HomeOffice: Welche Unterschiede gibt es im rechtlichen Sinne und welche Vorteile und Herausforderungen bietet das HomeOffice.
  2. Grundlagen der Informationssicherheit und des Datenschutzes: Worum geht es, was ist rechtlich zu beachten und welche Risiken ist man im HomeOffice ausgesetzt.
  3. Technische und Organisatorische Maßnahmen: Erfahren Sie, welche technischen und organisatorischen Maßnahmen getroffen werden sollten, um ein sicheres Arbeiten zu gewährleisten.
  4. Datenschutzaspekte: Im Homeoffice wird oft mit vertraulichen Informationen gearbeitet. Wir zeigen, wie diese sicher gespeichert, übertragen und nach Gebrauch ordnungsgemäß entsorgt werden.
  5. Schulung und Sensibilisierung von Mitarbeitern: Wir beleuchten die Bedeutung der Mitarbeiterfortbildung, bieten Methoden und Best Practices für Schulungen.
  6. Herausforderungen für die Zukunft: Hier werden aktuelle Trends und die Technologien und Arbeitsmodelle der Zukunft aufgezeigt.
  7. Regeln für Arbeitnehmer und Arbeitgeber: Eine Checkliste zeigt, was zu bedenken ist.

Für wen ist der Ratgeber geeignet?

Es richtet sich sowohl an Unternehmen, die ihre Mitarbeiter auf die Arbeit von zu Hause aus vorbereiten und unterstützen möchten, als auch an Einzelpersonen, die die Grundlagen und Best Practices für sicheres Arbeiten von zu Hause aus kennenlernen möchten. Dieser Ratgeber bietet umfassende Informationen, um das digitale Arbeitsumfeld sicher zu gestalten.

Fazit: Investieren Sie in die Sicherheit im Homeoffice

Das HomeOffice ist nicht nur ein Ort der Produktivität, sondern auch ein potenzielles Ziel für Cyberangriffe. Mit unserem Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ erhalten Sie wertvolle Anleitungen und Tipps, um die sensiblen Daten vor Bedrohungen zu schützen und ein sicheres Arbeitsumfeld zu schaffen.

Laden Sie sich jetzt den Ratgeber herunter und sorgen Sie dafür, dass das HomeOffice sicher und effizient bleibt!

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!