Warum Sie diesen Ratgeber Informationssicherheit für Geschäftsführung und Vorstände nicht verpassen sollten:

Ob Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz (IT-SiG), das NIS2-Umsetzungsgesetz oder branchenspezifische Vorgaben – die rechtlichen Anforderungen an den Schutz von Informationen sind vielfältig und streng. Diese Vorgaben nicht nur zu kennen, sondern sie systematisch in die Unternehmensprozesse zu integrieren, ist eine der größten Herausforderungen für die Unternehmensleitung. Ein effektives Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um diese Anforderungen zu erfüllen.

Unser neuer Ratgeber zeigt Ihnen, kurz und übersichtlich was Sie bei der Implementierung, Überwachung und kontinuierlichen Verbesserung eines ISMS beachten sollten – praxisnah und verständlich.

Was bietet Ihnen unser “Ratgebers Informationssicherheit für die Geschäftsführung”:

1. Aufbau eines kompetenten Projektteams und klarer Rollenverteilung: Ein starkes Team und klare Verantwortlichkeiten sind die Basis für die erfolgreiche Umsetzung eines ISMS.

2. Kennzahlen und Wirksamkeitsmessung: Definieren und überwachen Sie Kennzahlen, um die Effektivität Ihres ISMS gezielt zu messen und zu optimieren.

3. Interne Audits & Auditprogramme: Audits decken Schwachstellen auf und fördern die kontinuierliche Verbesserung Ihres ISMS.

4. Managementbewertung: Prüfen Sie regelmäßig die Leistung Ihres ISMS und treffen Sie fundierte strategische Entscheidungen.

5. Integration in bestehende Unternehmensprozesse: Integrieren Sie Ihr ISMS nahtlos in die täglichen Abläufe, um es effizient und nachhaltig zu gestalten.

Fazit: Die Führungsebene ist für ein erfolgreiches ISMS essenziell

Insgesamt erfordert die erfolgreiche Implementierung und Verwaltung eines ISMS nach ISO 27001 das Engagement und die Unterstützung der Geschäftsführung auf allen Ebenen. Durch die konsequente Anwendung der im Ratgeber beschriebenen Prinzipien und Maßnahmen können Sie nicht nur die Informationssicherheit in Ihrem Unternehmen stärken, sondern auch Vertrauen bei Kunden und Partnern aufbauen und gesetzliche sowie regulatorische Anforderungen erfüllen.

Sichern Sie sich jetzt den Ratgeber und übernehmen Sie die Führung in Sachen Informationssicherheit!

Adobe Stock | 968083173 | KI generiert

Ratgeber Informationssicherheit für Geschäftsführung

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Geschäftsführer und Vorstände“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir sind ja in den vorherigen Beiträgen schon mehrfach auf das Thema Notfallvorsorge, Wiederanlaufplanung und Übungsszenarien in der IT eingegangen. In der heutigen digitalisierten Welt ist die IT-Infrastruktur das Rückgrat vieler Unternehmen. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können jedoch erhebliche Schäden verursachen. Die EU hat sich mit der NIS 2 Richtlinie und dem CRA (Cyber Resilience Act) diesem Problem angenommen.

Hier nochmal eine kurze Übersicht, was zu beachten ist:

Notfallvorsorge und Wiederanlaufplanung

Die Basis einer effektiven Notfallvorsorge bildet nach wie vor ein detaillierter IT-Notfallplan. Dieser sollte folgende Kernelemente enthalten:

  1. Risikobewertung und Bedrohungsanalyse
  2. Festlegung eines Notfallteams und klarer Verantwortlichkeiten
  3. Dokumentation von Wiederanlaufprozessen
  4. Technische und organisatorische Maßnahmen zur Risikominimierung

Ein wesentlicher Bestandteil des Notfallplans ist die Wiederanlaufplanung. Sie definiert präzise Schritte zur Wiederherstellung kritischer IT-Systeme und -Dienste. Ein effektiver Wiederanlaufplan sollte folgende Aspekte abdecken:

  • Technische und organisatorische Voraussetzungen zum Wiederanlauf
  • Detaillierte Aktivitäten für den Wiederanlauf
  • Beschreibung von Funktionstests und Übergabe in den Notbetrieb
  • Maßnahmen zur Rückführung in den Normalbetrieb

Übungsszenarien und deren Bedeutung

Regelmäßige IT-Notfallübungen sind unerlässlich, um die Wirksamkeit der Notfallpläne zu testen und das Notfallteam auf den Ernstfall vorzubereiten. Professionelle Übungsszenarien fokussieren sich auf:

  • Rasche Erfassung der IT-Situation und Lagebilderstellung
  • Anwendung von Methoden zur Problemerfassung
  • Schnelle und korrekte Lagebeurteilung
  • Hochfahren des Cyber-Notfallmanagements
  • Überprüfung der Disaster Recovery Pläne
  • Praktische Anwendung der Notfallkommunikation

Diese Übungen helfen, Schwachstellen im Notfallmanagement aufzudecken und kontinuierliche Verbesserungen vorzunehmen. Die Bedeutung der IT-Notfallvorsorge wird durch regulatorische Anforderungen wie die NIS 2 Richtlinie unterstrichen, die höhere Sicherheitsanforderungen für Unternehmen mit kritischen Infrastrukturen vorschreibt und entsprechende Nachweise einfordert.

Zusammenfassend lässt sich sagen, dass eine gründliche Notfallvorsorge, detaillierte Wiederanlaufplanung und regelmäßige Übungsszenarien entscheidend sind, um die Resilienz eines Unternehmens gegenüber IT-Notfällen zu stärken. Nur so können Unternehmen im digitalen Zeitalter bestehen und ihre Geschäftskontinuität auch in Krisensituationen sicherstellen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein ereignisreiches Jahr für Informationssicherheit, Datenschutz und KI

Das Jahr 2024 neigt sich dem Ende zu, und in unserer letzten Podcast-Folge werfen wir einen umfassenden Blick auf die Entwicklungen, Herausforderungen und Chancen in den Bereichen Informationssicherheit, Datenschutz und Künstliche Intelligenz (KI). Unternehmen sahen sich in diesem Jahr nicht nur mit neuen Regularien wie NIS2 konfrontiert, sondern auch mit einer immer stärkeren Integration von KI-Technologien, die die Arbeitswelt nachhaltig verändern.

Highlights der Folge

Künstliche Intelligenz (KI): Automatisierung und neue Perspektiven

KI hat in diesem Jahr eine Schlüsselrolle eingenommen – sei es in der Beratung, der Überprüfung von Richtlinien oder als Chance zur Automatisierung in der Informationssicherheit. Doch der Einsatz von KI bringt auch Herausforderungen mit sich, etwa hinsichtlich ihrer Berücksichtigung in Datenschutzregelungen und der Anpassung interner Prozesse.

Datenschutz und DSGVO: Kritik und neue Herausforderungen

Die Datenschutz-Grundverordnung (DSGVO) steht weiterhin im Fokus, nicht nur durch Kritik an ihrem starren Regelwerk, sondern auch durch neue Technologien, die bislang kaum in den Vorschriften berücksichtigt werden. Besonders KI wirft neue Fragen zum Umgang mit personenbezogenen Daten auf und zeigt, dass Anpassungen dringend nötig sind.

NIS2-Umsetzung: Auswirkungen auf Unternehmen

Mit der NIS2-Richtlinie kamen weitreichende Änderungen für Unternehmen, doch die Umsetzung verlief vielerorts schleppend. Die stark gestiegene Zahl betroffener Unternehmen bringt neue Anforderungen und Risiken mit sich, die den Handlungsbedarf 2024 noch einmal deutlich gemacht haben.

Awareness und Schulungen: Sensibilisierung wird essenziell

Cybergefahren und der richtige Umgang mit KI erfordern ein höheres Maß an Bewusstsein und Kompetenz. Neue gesetzliche Schulungspflichten unterstreichen, wie wichtig es ist, Mitarbeiter und Geschäftsführungen regelmäßig zu sensibilisieren und auf den neuesten Stand zu bringen.

ANMATHO AG: Zurück im Winterhuder Weg

Die ANMATHO AG kehrt an ihren ursprünglichen Standort im Winterhuder Weg in Hamburg zurück. Ein Schritt, der die Weichen für ein produktives und erfolgreiches Jahr 2025 stellt.

 

Hier ein Paar Links zum Thema „Jahresrückblick 2024“

Lesen Sie hier die Beiträge aus 2024: https://anmatho.de/neuigkeiten/blog-artikel/

Hier finden Sie die Podcasts zu den neuen Regularien: https://anmatho.de/neuigkeiten/podcast/

Regularien in der Informationssicherheit: https://www.openkritis.de/

Leitfaden zur sicheren Nutzung von KI-Systemen:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Leitfaden_KI-Systeme_230124.html

Informationen zum TDDDG: https://de.wikipedia.org/wiki/Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein und starten Sie bestens informiert ins Jahr 2025!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Künstliche Intelligenz ist mittlerweile aus dem Unternehmensalltag kaum noch wegzudenken. Die Nutzung von Chatbots, Unterstützung bei der Erstellung oder Analyse von Dokumenten und Informationen oder sogar die Entwicklung von KI in den eigenen Produkten – die Möglichkeiten des Einsatzes von KI im Unternehmen sind immens.

In dieser Episode sprechen wir über das Thema „KI im ISMS“ und inwieweit KI zum einen die Informationssicherheit im Unternehmen unterstützen kann aber auch welche Schwachstellen die Nutzung von künstlicher Intelligenz im Unternehmen eröffnen kann.

Hier ein Paar Links zum Thema „KI im ISMS – eine gute Idee?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In der heutigen digitalen Welt ist die Notfallvorsorge in der IT von entscheidender Bedeutung. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können Unternehmen erheblich schaden. Die neue NIS 2 Richtlinie, die im Januar 2023 in Kraft trat, stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union dar und hat weitreichende Auswirkungen auf die Notfallvorsorge in der IT.

Die NIS 2 Richtlinie zielt darauf ab, die Sicherheitsanforderungen für Unternehmen, die kritische Infrastrukturen betreiben, zu erhöhen. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und umfasst nun auch kleinere Unternehmen und Anbieter von digitalen Diensten. Dies bedeutet, dass mehr Organisationen verpflichtet sind, robuste Sicherheitsmaßnahmen zu implementieren und Notfallpläne zu entwickeln.

Die NIS 2 Richtlinie (Richtlinie (EU) 2022/2555) befasst sich gleich in mehreren Kapiteln mit Notfallvorsorge und Resilienz.

Die wichtigsten Kapitel, die Notfallvorsorge und Resilienz behandeln, sind:

1. Kapitel II – Sicherheitsanforderungen: Dieses Kapitel legt die grundlegenden Sicherheitsanforderungen fest, die von den betroffenen Unternehmen und Organisationen eingehalten werden müssen. Es betont die Notwendigkeit, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Dazu gehört auch die Entwicklung von Notfallplänen und die Durchführung von Risikobewertungen.

2. Kapitel III – Vorfallmanagement: In diesem Kapitel wird die Notwendigkeit eines effektiven Vorfallmanagements hervorgehoben. Unternehmen müssen Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle implementieren. Dies ist entscheidend für die Resilienz, da eine schnelle und koordinierte Reaktion auf Vorfälle die Auswirkungen auf die Organisation minimieren kann.

3. Kapitel IV – Zusammenarbeit und Informationsaustausch: Dieses Kapitel fördert die Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle ist entscheidend für die Verbesserung der Resilienz und der Notfallvorsorge auf europäischer Ebene.

4. Kapitel V – Aufsicht und Durchsetzung: Hier werden die Aufsichtsmechanismen beschrieben, die sicherstellen sollen, dass die Sicherheitsanforderungen eingehalten werden. Die Durchsetzung dieser Anforderungen trägt zur allgemeinen Resilienz der kritischen Infrastrukturen bei.

Diese Kapitel zusammen bilden den Rahmen für eine umfassende Notfallvorsorge und Resilienz-Strategie, die Unternehmen dabei unterstützt, sich besser auf Cyberbedrohungen vorzubereiten und darauf zu reagieren.

Ein zentraler Aspekt der NIS 2 Richtlinie ist die Verpflichtung zur Risikobewertung und -management. Unternehmen müssen potenzielle Bedrohungen identifizieren und Strategien entwickeln, um diese zu minimieren. Dazu gehört auch die regelmäßige Durchführung von Notfallübungen, um sicherzustellen, dass alle Mitarbeiter im Ernstfall wissen, wie sie reagieren müssen.

Darüber hinaus fordert die NIS 2 Richtlinie eine engere Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle wird gefördert, um eine schnellere Reaktion auf Cyberangriffe zu ermöglichen.

Insgesamt ist die NIS 2 Richtlinie ein wichtiger Schritt in Richtung einer besseren Notfallvorsorge in der IT. Unternehmen sollten diese Vorgaben ernst nehmen und ihre Sicherheitsstrategien entsprechend anpassen, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch ihre eigene Resilienz zu stärken. In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, ist proaktive Notfallvorsorge unerlässlich.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

Bereits am 3. März 2015 ist bei Springer Vieweg auf 216 Seiten  “Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010” von Sebastian Klipper erschienen. Soweit ich weiß, ist es nach wie vor das einzige deutschsprachige Buch speziell zum Thema Informationssicherheitsrisikomanagement.

In seinen ersten Kapiteln führt das Buch in das Risikomanagement in der ISO-Normenwelt ein. Betrachtet werden die Normen der ISO 27000-Reihe insbesondere die ISO 27005. Daneben geht der Autor auf die ISO 31000-Reihe ein. Die ISO 31000 ist eine Norm, die sich allgemein mit Risikomanagement beschäftigt. Auch wenn es für die besprochenen Normen jeweils bereits neue Versionen gibt, so sind die Ausführungen des Buches immer noch weitgehend richtig. In der ISO 27001:2022 haben sich die Anforderungen zum Risikomanagement nicht wesentlich geändert. Auch die besprochenen Risikonormen sind in ihrer Grundstruktur nicht wesentlich verändert. Diese Normen sind im ISMS nach ISO 27001 auch nur informativ, d.h. sie haben empfehlenden Charakter. Daher gibt es nichts, was in den zum Zeitpunkt des Erscheinens des  Buches gültigen Normen steht, was heute falsch wäre.

Viele ISMS-Verantwortliche, die sich mit den formalen Anforderungen der ISO 27001 vertraut gemacht haben, stehen vor der schwierigen Aufgabe, diese Anforderungen in die Praxis umsetzen zu müssen. Hier hilft das Kapitel 5 des Buches gut weiter. Besprochen werden konkrete Methoden zum Durchführen von Risiko-Assessments. Neben geläufigen Methoden wie Brainstorming oder Business Impact Analysen (BIA), werden auch in der Praxis der Informationssicherheit weniger verbreitete Methoden, wie z.B. die aus anderen Bereichen bekannte Delphi-Methode, vorgestellt. Dabei geht es darum, dass die möglicherweise unterschiedlichen Ansichten verschiedener Experten konsolidiert werden.

Zu jeder Methode wird dargelegt, in welcher Phase des Risiko-Assessments sie zum Tragen kommen kann: bei Risikoidentifikation, -abschätzung, oder -bewertung. Die Methoden werden vom Autor jeweils nach ihrer Komplexität, dem Grad der Ergebnisunsicherheit, dem Ressourcenbedarf und dem quantitativen Output bewertet. Leider funktionieren die Links zu weiterführenden Informationen nicht mehr, da der Blog des Autors anscheinend umgezogen ist.

Kapitel über die Risikokommunikation und Wirtschaftlichkeitsbetrachtungen runden das Buch ab. Gerade Wirtschaftlichkeitsbetrachtungen werden bei zu theoretischen Ansätzen des Risikomanagements auf dem Altar einer scheinbaren Vollständigkeit und “Reinheit” des gewählten Vorgehens gerne vernachlässigt. Dies führt in der Praxis jedoch früher oder später dazu, dass diese “umfassenden” Ansätze als unpraktikabel wieder verworfen werden. Man darf dem Autor dankbar sein für diesen praxisorientierten Blick auf die Materie.

Fazit

Auch wenn das Buch schon über 9 Jahre alt ist, so ist es im Kern immer noch aktuell. Außerdem ist es, wie eingangs erwähnt, weiterhin das einzige Werk in deutscher Sprache, das sich explizit mit Informationssicherheits-Risikomanagement beschäftigt. Ich kann das Buch sehr empfehlen und würde mich über eine an den aktuellen Normenstand angepasste Neuauflage freuen.

Im vorhergehenden Blog-Beitrag “Awareness – ein Konzept!” habe ich einen Überblick über eine strukturierte Vorgehensweise und The new Awareness Curve gegeben. In diesem Beitrag möchte ich auf den ersten Schritt der Awareness Curve die Sicherheits-Hygiene eingehen.

Sicherheits-Hygiene

Unter Sicherheits-Hygiene versteht man die routinemäßigen, alltagstauglichen Sicherheitspraktiken, die von Endbenutzern durchgeführt werden müssen, um ein Grundniveau an Sicherheit zu gewährleisten. Dabei ist Wert darauf zu legen, dass Maßnahmen so gestaltet sind, dass sie wenig kognitive Belastung oder Aufwand für die Menschen darstellen.  Sicherheitsmaßnahmen sollen praktikabel, intuitiv und mit den täglichen Arbeitsabläufen kompatibel sein.

Informationssicherheit wird oft als zusätzliche Belastung für den Menschen wahrgenommen, insbesondere wenn sie als zu kompliziert oder störend empfunden wird. Die Sicherheits-Hygiene muss daher einfach und effizient gestaltet sein. Sie muss selbstverständlich sein, wie das Händewaschen in der körperlichen Hygiene.

In der Sicherheits-Hygiene sind daher zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind. Dies gilt auch für die Benutzung von Werkzeugen, wie z.B. ein VPN. Die Benutzung darf im Ergebnis die Menschen kognitiv nicht mehr anstrengen als Händewaschen. Nur dann besteht eine gute Chance, dass elementare Regeln eingehalten und aus Sicherheitsperspektive notwendige Werkzeuge und Methoden auch wirklich eingesetzt werden. Anderenfalls wird es immer wieder zu Umgehungshandlungen kommen.

Die Sicherheits-Hygiene bildet damit die Grundlage für weiterführende Awareness-Maßnahmen. Sie stellt sicher, dass die grundlegenden Sicherheitspraktiken einfach verstanden und praktikabel gelebt werden können. Erst in der Folge können komplexere Themen angegangen werden. Die Sicherheits-Hygiene zielt darauf ab, ein Basisniveau an Sicherheitsbewusstsein und -verhalten in der gesamten Organisation zu etablieren. Durch die Fokussierung auf diese grundlegenden Aspekte wird eine solide Basis für die Entwicklung einer umfassenderen Sicherheitskultur geschaffen. Die Sicherheits-Hygiene ist somit der notwendige erster Schritt auf der Security Awareness Curve.

Wie es weiter geht?

Der nächste Blog-Artikel zum Thema Awareness wird sich mit dem nächsten Schritt der Awarenss Curve der Information der Mitarbeiter beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Cover Buch Domain StorytellingAm 29.06.2023 ist im dpunkt.verlag auf 254 das Buch Domain Storytelling von Stefan Hofer und Henning Schwentner erschienen.

Das Buch richtet sich nach eigenen Angaben an Softwarearchitekten, Softwareentwickler, Projektverantwortliche, Business Analysten, IT-Consultants und das IT-Management. Damit liege ich als Berater für Informationssicherheit eigentlich nicht in der Zielgruppe.

Allerdings stehen wir in der Beratung zum Informationssicherheitsmanagement vor ähnlichen Herausforderungen, wenn es darum geht, organisatorische Abläufe zu verdeutlichen, zu diskutieren und abzustimmen. Unsere Berater sind daher immer wieder auf der Suche nach geeigneten Methoden hierfür. Möglicherweise werden wir beim Domain Storytelling fündig. Domain Storytelling ist eine grafische Modellierungstechnik, die veranschaulicht, wie Menschen zusammenarbeiten. Fachexperten beschreiben Softwareexperten, wie sie Tätigkeiten in ihrem Anwendungsbereich ausführen. Dies wird gemeinsam visualisiert und hilft den Softwareexperten bei der Entwicklung der Software.
In der Beratung ist es ganz ähnlich. Berater beschreiben, wie die Abläufe sein sollen. Sie sind Fachexperten, in unserem Fall für Informationssicherheit. Die Beratungskunden haben dabei die Rolle, die sonst den Softwareexperten zukommt. Sie müssen die Abläufe in ihrer Organisation implementieren.

Das Buch führt in seinem ersten Teil in das Domain Storytelling ein. Die Methode verspricht eine einfache, unmittelbar eingängige, bildliche Darstellung von Abläufen. Dem Betrachter erklären sich die Abläufe von selbst, ohne dass er sich zuvor in die Methode einarbeiten muss. Das sind gute Voraussetzungen für einen schnellen Start. Die Autoren verdeutlichen das an eingängigen Beispielen.

Der Zweite Teil des Buches ist dem praktischen Einsatz der Methode gewidmet. Erläutert wird dies ebenfalls an zahlreichen Beispielen.

Domain Storytelling zwingt zum Formulieren im Aktiv. Bei Tätigkeiten wird klar, wer eine Tätigkeit ausführt. In Audits und in der Beratung sehen meine Kollegen und ich immer wieder Vorgabedokumente, die Passivformulierung verwenden und damit im Unklaren lassen, wer für die Umsetzung verantwortlich ist.
Ein Beispiel: In Richtlinien finden sich oft Sätze wie “Die Zugangsrechte müssen regelmäßig überprüft werden.” Die Verwendung des Passivs “muss geprüft werden” lässt offen, wer die Prüfung durchführen soll. Die Folge ist, dass ein entsprechende Prüfung mit hoher Wahrscheinlichkeit nicht stattfinden wird. Daher sind Formulierungen im Aktiv wie “Der Teamleiter IT-Administration sorgt für die Überprüfung der Zugangsrechte.” die besseren Formulierungen. Die Nutzung von Domain Storytelling zwingt nun dazu, darüber nachzudenken, zu entscheiden und entsprechend zu dokumentieren, wer was machen muss. Ein echter Gewinn.

Gut gefallen hat mir auch der Blick der Autoren nach rechts und links. So wird das Verhältnis des Domain Storytellings zu acht anderen Modellierungswerkzeugen wie beispielsweis UML und BPMN erläutert. Das ist sicherlich hilfreich für alle, die entsprechende Werkzeuge bereits im Einsatz haben.

Ein online bereitstehender Editor macht es möglich, das Gelesene sofort auszuprobieren.

Zusammenfassend kann man sagen, dass die Autoren anschaulich und mit vielen Beispielen mit dem Domain Storytelling in eine Methode einführen, die in Beratung und Schulung von großem Nutzen sein kann. Ich jedenfalls werde die Methode in meinen nächsten Schulungen und auch in der Beratung probeweise verwenden und zu einem späteren Zeitpunkt über meine Erfahrungen berichten.

Nicht erst seit der Corona Pandemie taucht der Begriff HomeOffice in der öffentlichen Diskussion des Öfteren auf. Daher verwundert es nicht, wenn man entsprechende Anforderungen auch im VDA-ISA-Katalog (TISAX®) findet – allerdings unter der Bezeichnung „Mobiles Arbeiten“ …

Mobiles Arbeiten bezeichnet in der Informationssicherheit das Arbeiten außerhalb des eigenen Firmenstandortes. Die Arbeitsleistung kann dabei sowohl in der Privatwohnung („HomeOffice“) als auch außerhalb der Privatwohnung erbracht werden, z.B. beim Treffen in den Räumlichkeiten von Kunden, während der Bahnfahrt oder im Hotel. Wesentlich sind hier die unterschiedlichen Möglichkeiten des mobil Arbeitenden, Einfluss auf seine Umgebung zu nehmen. In der eigenen Wohnung kann man die Arbeitsumgebung meist sicher gestalten, z.B. mit abschließbaren Ablagen für Papiere oder Modelle, oder indem das Mithören von Gesprächen durch geschlossene Türen und Fenster verhindert wird. Genau diese Möglichkeit, die Umgebung, in der die dienstliche Tätigkeit erbracht wird, zu Gunsten der Informationssicherheit zu gestalten, hat man in der Bahn oder beim Treffen mit Kunden meist nicht.

TISAX® – Risiko Reise

Viele der Gefährdungen entstehen dadurch, dass Informationswerte (Assets – siehe Beitrag Asset Management) bei der Reise mitgeführt und durch sehr verschiedenartige Szenarien bedroht werden. Der Verlust durch Diebstahl ist dabei ein recht offensichtliches Szenario. Verletzungen der Vertraulichkeit können aber auch durch Einsichtnahme geschehen, z.B. durch Behörden beim Grenzübertritt oder durch die Nutzung von nicht ausreichend abgesicherten Kommunikationsverbindungen. Letztlich kann eine Offenlegung aber auch durch eine unbedachte Nutzung durch den eigenen Mitarbeiter erfolgen – Stichworte wären hier „Lautes Telefonieren in der Öffentlichkeit“ oder „Einsichtnahme von Bildschirminhalten in dar Bahn oder in Flugzeugen“ … Daher werden diese Szenarien (Offenlegung bei Reisen, Verhalten bei Grenzübertritten, Vorkehrungen gegen Diebstahl u.v.a.m.) auch im VDA-ISA-Katalog, in dem Control zum mobilen Arbeiten, thematisiert.

Mögliche Maßnahmen

Die genannten Beispiele zeigen, dass es gerade beim mobilen Arbeiten in hohem Maße auf die Verlässlichkeit der eigenen Mitarbeiter ankommt, und zwar sowohl durch die Beachtung der Vorgaben des Unternehmens für das mobile Arbeiten, als auch durch das bewusste „Mitdenken“ von Gefährdungen der Informationssicherheit, die in den Vorgaben vielleicht nicht genannt sind.

Von Seiten des Arbeitgebers sollten die mobil Arbeitenden hinsichtlich der bestehenden Gefährdungen angemessen sensibilisiert werden, z.B. durch Schulungen, durch Vorgaben zum Arbeiten im HomeOffice, zum Verhalten während einer Dienstreise oder auch zu Reisen ins Ausland. Die Sensibilisierung sollte dabei auch durch Checklisten, Reisehinweise, Notfallkontakte und ähnliche Materialien unterstützt werden. Und aus diesem Grund findet sich das Thema “Sensibilisierung und Awareness” nicht nur im VDA-ISA-Katalog, sondern eigentlich in allen Standards zur Informationssicherheit.

Bei genauer Betrachtung wird man feststellen, dass viele der genannten Aspekte eine mehr oder weniger starke Verbindung zu anderen Elementen des ISMS haben, und sich daher an einigen Stellen des VDA-ISA-Kataloges wiederfinden lassen. So könnte man z.B. das HomeOffice als eine mögliche Zone im Zonenkonzept betrachten. Auch das Asset Management könnte sich wiederfinden lassen, z.B. beim Mitführen von Informationswerten oder der Vernichtung von Datenträgern (Papier) im HomeOffice. Oder bei der Umsetzung der Klassifizierung …

Der Aspekt der physischen Sicherheit, der in diesem Artikel an einigen Stellen angerissen wurde, wird im Mittelpunkt des nächsten Blogartikels stehen.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

© ANMATHO AG