,

Interne Audits – die Ausbildung zum Auditor – Teil 2

In unserem vorangegangenen Beitrag „Die Bedeutung interner Audits…“ haben wir einen kurzen Überblick gegeben, warum interne Audits wichtig für die Informationssicherheit im Unternehmen sind. Im heutigen Beitrag gehen wir darauf ein, welche Inhalte bei einer Ausbildung zum Auditor geschult werden.

Die Inhalte der Ausbildung für interne Auditoren, insbesondere im Kontext der ISO 27001, vermittelt den Teilnehmern eine Vielzahl von Kenntnissen und Fähigkeiten, die für die Durchführung effektiver Audits im Bereich Informationssicherheit erforderlich sind. Hier sind einige der wichtigsten Inhalte:

  1. Grundlagen der ISO 27001
    Grundsätzliches Verständnis der ISO 27001-Norm und ihrer Anforderungen.
    Überblick über das Informationssicherheitsmanagementsystem (ISMS) und dessen Bedeutung.
  2. Der Auditprozess
    Die Phasen des Auditprozesses: Planung, Durchführung, Berichterstattung und Nachverfolgung.
    Die Erstellung von Auditplänen und -Checklisten.
  3. Auditmethoden und -techniken
    Verschiedene Auditmethoden (z. B. Dokumentenprüfung, Interviews, Beobachtungen).
    Welche Techniken eignen sich zur Datensammlung und -analyse.
  4. Risikomanagement
    Die Grundlagen des Risikomanagements im Kontext der Informationssicherheit. Wie läuft die Identifikation und Bewertung von Risiken.
  5. Kommunikationsfähigkeiten
    Wie kommuniziert man im Audit zielführend mit den beteiligten Stakeholdern und wie präsentiere ich die Ergebnisse des Audits verständlich und nachvollziehbar
  6. Dokumentation und Berichterstattung
    Erstellung von Auditberichten und Dokumentation der Ergebnisse. Wie wird die Nachverfolgung von Maßnahmen zur Behebung von festgestellten Mängeln durchgeführt.
  7. Rechtliche und regulatorische Anforderungen
    Verständnis der relevanten gesetzlichen und regulatorischen Anforderungen im Bereich Informationssicherheit.
  8. Verhaltens- und Ethikrichtlinien
    Bedeutung von Integrität und Objektivität im Auditprozess und der Umgang mit Interessenkonflikten.
  9. Kontinuierliche Verbesserung
    – Methoden zur Identifikation von Verbesserungsmöglichkeiten im ISMS.
    – Implementierung von Änderungen basierend auf Audit-Ergebnissen.
  10. Praktische Übungen
    Durchführung von Rollenspielen oder Simulationen, um die erlernten Fähigkeiten in der Praxis anzuwenden.

Die Ausbildung zum internen Auditor ist darauf ausgelegt, Auditoren nicht nur mit dem notwendigen Wissen auszustatten, sondern auch praktische Fähigkeiten zu vermitteln, die sie benötigen, um effektive und objektive Audits durchzuführen.

Weitere Beiträge aus dieser Reihe behandeln die nachfolgenden Punkte:

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Ratgeber HomeOffice

In den letzten Jahren hat das Arbeiten von zu Hause aus eine ganz neue Bedeutung erlangt. Für viele von uns ist das HomeOffice mittlerweile nicht mehr nur eine vorübergehende Lösung, sondern fester Bestandteil unseres Arbeitsalltags. Doch während flexible Arbeitszeiten und der Komfort des eigenen Zuhauses verlockend sind, birgt das HomeOffice auch erhebliche Herausforderungen, insbesondere wenn es um die Sicherheit von Daten geht.

Hier kommt unser Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ ins Spiel!

Warum ist Informationssicherheit im Homeoffice so wichtig?

In einer zunehmend digitalen Welt sind Daten ein wertvolles Gut. Im Homeoffice ist die Gefahr von Sicherheitslücken besonders groß, da private Netzwerke oft weniger geschützt sind als die Infrastruktur in einem Büro. Cyberangriffe, Phishing und Datenverluste können nicht nur für Sie, sondern auch für Ihr Unternehmen schwerwiegende Konsequenzen haben. Daher ist es entscheidend, dass Sie die richtigen Maßnahmen ergreifen, um sensible Informationen zu schützen.

Was bietet Ihnen unser Homeoffice-Ratgeber?

  1. Einführung in das Thema HomeOffice: Welche Unterschiede gibt es im rechtlichen Sinne und welche Vorteile und Herausforderungen bietet das HomeOffice.
  2. Grundlagen der Informationssicherheit und des Datenschutzes: Worum geht es, was ist rechtlich zu beachten und welche Risiken ist man im HomeOffice ausgesetzt.
  3. Technische und Organisatorische Maßnahmen: Erfahren Sie, welche technischen und organisatorischen Maßnahmen getroffen werden sollten, um ein sicheres Arbeiten zu gewährleisten.
  4. Datenschutzaspekte: Im Homeoffice wird oft mit vertraulichen Informationen gearbeitet. Wir zeigen, wie diese sicher gespeichert, übertragen und nach Gebrauch ordnungsgemäß entsorgt werden.
  5. Schulung und Sensibilisierung von Mitarbeitern: Wir beleuchten die Bedeutung der Mitarbeiterfortbildung, bieten Methoden und Best Practices für Schulungen.
  6. Herausforderungen für die Zukunft: Hier werden aktuelle Trends und die Technologien und Arbeitsmodelle der Zukunft aufgezeigt.
  7. Regeln für Arbeitnehmer und Arbeitgeber: Eine Checkliste zeigt, was zu bedenken ist.

Für wen ist der Ratgeber geeignet?

Es richtet sich sowohl an Unternehmen, die ihre Mitarbeiter auf die Arbeit von zu Hause aus vorbereiten und unterstützen möchten, als auch an Einzelpersonen, die die Grundlagen und Best Practices für sicheres Arbeiten von zu Hause aus kennenlernen möchten. Dieser Ratgeber bietet umfassende Informationen, um das digitale Arbeitsumfeld sicher zu gestalten.

Fazit: Investieren Sie in die Sicherheit im Homeoffice

Das HomeOffice ist nicht nur ein Ort der Produktivität, sondern auch ein potenzielles Ziel für Cyberangriffe. Mit unserem Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ erhalten Sie wertvolle Anleitungen und Tipps, um die sensiblen Daten vor Bedrohungen zu schützen und ein sicheres Arbeitsumfeld zu schaffen.

Laden Sie sich jetzt den Ratgeber herunter und sorgen Sie dafür, dass das HomeOffice sicher und effizient bleibt!

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 5)

Auditprogramme als Steuerungsinstrument

In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.

In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.

Verantwortung für die Auditprogramme

Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.

Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.

Aufgaben der für das Auditprogramm verantwortlichen Person

Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:

  • Ausmaß des Auditprogramms festlegen
  • Auswahl der Auditteams
  • Koordinierung und Zeitplanung aller Audits des Auditprogramms
  • Festlegung der Auditziele
  • Festlegung des Auditumfangs
  • Festlegung Auditkriterien
  • Bestimmung der Auditmethoden
  • Berichterstattung an den Auditauftraggeber (die oberste Leitung)
  • Überwachung des Auditprogramms

Bestimmen der verantwortlichen Person für das Auditprogramm

Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:

  • gute Kenntnisse von Auditprinzipien,  -methoden und -prozessen
  • gute Kenntnisse der relevanten Normen und Referenzdokumente
  • gute Kenntnisse der auditierten Organisation und deren Kontext
  • gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
  • gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements

Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.

Auftraggeber des Auditprogramms

In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.

In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.

Abschluss und Fazit

Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Kennzahlen im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die ISO 27001 gibt in Kapitel 9 vor, dass Überwachung, Messung, Analyse und Bewertung des ISMS stattfinden muss – und ist damit eine klare Aufforderung Kennzahlen zu erheben. Aber wie findet man nun am welche, die aussagekräftig sind und nicht nur mittels Raketenwissenschaft erhoben werden können?

Dieser Podcast richtet sich an die Informationssicherheitsbeauftragten im Unternehmen, weitere Verantwortliche im ISMS und natürlich an die Geschäftsführung, die das ISMS verantwortet.

In unserer Folge „Kennzahlen im ISMS gehen wir auf folgende Aspekte ein:

  • Tipps zum Finden von Kennzahlen
  • Hilfe in der ISO 27004
  • Kennzahlen, interne Audits, Managementbewertung – ein Kreislauf
  • Sinnvolle Kennzahlen im ISMS
  • Umgang mit den Ergebnissen

Hier ein Paar Links zum Thema 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Projektteam im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Zu viele Köche verderben den Brei – aber wie viele Köche braucht man eigentlich, um einen wirklich schmackhaften Brei zu bekommen? Eine ähnliche Frage kann man sich bei der Zusammenstellung des Projektteams für die Einführung eines ISMS stellen: wer sollte unbedingt dabei sein, damit alle Aspekte des Unternehmens sich auch im ISMS widerspiegeln?

In unserer Folge „Einführung eines ISMS – Zusammenstellung des Projektteams“ gehen wir auf folgende Aspekte ein:

  • Grundlage Kapitel 7 der ISO 27001 „Unterstützung“
  • Bestimmung des notwendigen Personenkreises
  • Gründe zum Einbinden von Personal und IT
  • Lokale ISB / Sicherheitskoordinatoren – „Helferlein“ für den besseren Kommunikationsfluss
  • Hilfestellung durch die ISO 27002 bzw. den Anhang A der ISO 27001

Dieser Podcast richtet sich an die Verantwortlichen im ISMS, die für die Zusammenstellung der Projektgruppe zuständig sind, sowie die Geschäftsleitung, die das gesamte ISMS verantwortet.

Hier ein Paar Links zum Thema „Einführung eines ISMS – Zusammenstellung des Projektteams“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Richtlinien im Unternehmen

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In allen Managementsystemen wie einem ISMS oder QMS sind Richtlinien als dokumentierter Nachweis wie Prozesse laufen sollen, essenziell.

In diesem Podcast wollen wir darauf eingehen, wie man Richtlinien möglichst einfach, einheitlich und verständlich erstellt und im Unternehmensalltag integriert. Dabei ist es auch wichtig, Richtlinien nicht als Hürde oder bürokratische Zeitfresser zu sehen, sondern als sinnvolle Leitplanken, die im Arbeitsalltag, bei Unklarheiten und bei Haftungsfragen hilfreich sind.

Dieser Podcast richtet sich an die Unternehmensleitung und an alle die für die Erstellung und den Lebenszyklus von Richtlinien zuständig sind.

In unserer Folge „Richtlinien im Unternehmen – Tipps bei der Erstellung und Umsetzung“ gehen wir auf folgende Aspekte ein:

  • Hinweise vor dem Erstellen von Richtlinien
  • Zusammenhang Richtlinien und gelebte Prozesse
  • Verständlich, prägnant, prozessnah – Tipps zum Schreiben von Richtlinien
  • Lebenszyklus von Richtlinien – Richtlinienmanagement und kontinuierlicher Verbesserungsprozess
  • Wie bekommt man die Richtlinien zu den Mitarbeitern?

Hier ein Paar Links zum Thema Richtlinien im Unternehmen – Tipps bei der Erstellung und Umsetzung“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Wirksamkeitsmessung im ISMS – Managementbewertung

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel erläutert die Funktion der “Managementbewertung” bei der Überprüfung der Wirksamkeit des ISMS.

Managementbewertung

Wie viele andere Aspekte eines ISMS findet man auch die Forderung nach einer Bewertung des ISMS durch die oberste Leitung einer Organisation in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Die Bewertung durch die eigene Leitung ist immer ein wichtiger Bestandteil.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” sowie “Interne Audits” habe ich mich in vergangenen Artikeln bereits gewidmet. Hier soll es jetzt um den letzten Punkt die Managementbewertung gehen.

Die ISO 27001:2022 fordert: “Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten …”  Zweck ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS sicherzustellen.

In der Regel hat die Geschäftsführung einen Mitarbeiter mit dem Aufbau und dem Betrieb des ISMS beauftragt, den Informationssicherheitsbeauftragten (IS-Beauftragter). Die konkrete Benennung kann hiervon abweichen, darauf kommt es hier nicht an. Wesentlich ist, dass die Geschäftsführung eine Aufgabe, die eigentlich die ihre ist, an einen Mitarbeiter übertragen hat. Sie muss sich daher in angemessener Weise davon überzeugen, dass diese Aufgabe von ihrem Beauftragten angemessen und wirksam wahrgenommen wird. in der ISO 27001 (Kapitel 9.3) dient die dort sogenannte  Managementbewertung (engl. Management Review) dazu, die Eignung, Angemessenheit und Wirksamkeit des ISMS festzustellen.

Da es sich um eine eigenständige Leistung der Geschäftsführung handelt, könnte diese theoretisch die Bewertung alleine durchführen. In der Praxis besteht die Managementbewertung fast immer aus einem Vortrag des IS-Beauftragten, gefolgt von einer wertenden Reaktion der Geschäftsführung. Die Wertung ist dabei der eigentlich wichtige Teil  der Veranstaltung. Kenntnisnahme ist keine Wertung und genügt nicht.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 schreibt “in geplanten Abständen” vor. Dies wird nun üblicherweise mit mindestens einmal jährlich interpretiert und in die Praxis in einmal im Kalenderjahr übersetzt. Die Frage, ob das gewählte Intervall angemessen und zielführend ist, wird dabei häufig nicht gestellt. Das ist schade.

In sehr großen Unternehmen, die eine ausgewachsene Informationssicherheitsorganisation betreiben, ist dies einmal jährlich oft ausreichend. In mittelständischen Unternehmen, in den die oberste Leitung  auch sonst noch häufiger operative Entscheidungen trifft, sollten die Abstände verkürzt werden. Man kann sich dabei gerne an anderen Bereichen des Unternehmens orientieren. Wie oft tragen beispielsweise der Vertrieb, das Marketing, das Personalwesen oder der Datenschutz bei der Geschäftsführung vor und holen sich deren Entscheidungen ab? Die Managementbewertung nach ISO 27001 beansprucht dabei kein eigenes Meeting. Sie kann gerne als ein Tagesordnungspunkt in einer ohnehin stattfinden Runde stattfinden. Wichtig ist, das inhaltlich alle im Kapitel 9.3 aufgeführten Punkte auch behandelt werden.

Ergebnisse der Managementbewertung

Die Geschäftsführung muss im Ergebnis die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS feststellen oder entsprechende Maßnahmen einleiten, um diese herzustellen.

Weiterhin bedarf es Entscheidungen zu Möglichkeiten der Verbesserung des ISMS. Dies können z.B. Entscheidungen zur Einführung bestimmter Systeme, zur Ressourcenanpassung oder zur Zuweisung von Befugnissen sein.

Die Ergebnisse der Managementbewertung müssen dokumentiert werden.

Damit findet diese kleine Serie von Artikeln zu den Forderungen des Kapitel 9 der ISO 27001 seinen Abschluss. Zukünftige Artikel werden konkrete Möglichkeiten der Umsetzung skizzieren.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

/von
,

Awareness – ein Konzept!

Nachdem mein Kollege Andreas Lange in seiner Artikelserie “Awareness – Maßnahme oder Konzept?” den Blick auf die Wichtigkeit der konzeptionellen Ebene gelenkt hat, möchte ich hier ein konkretes Konzept vorstellen. Wir wollen weg von einer Aneinanderreihung von Einzelmaßnahmen, hin zu einem planvollen, auf die Ziele des Informationssicherheitsmanagementsystems (ISMS) abgestimmten Vorgehen. Dieser Artikel soll einen ersten Überblick geben. In folgenden Blog-Artikeln werden die einzelnen Schritte detaillierter beschrieben.

Zum Vorgehen bei der Security Awareness gibt es viele Ansätze. Wir haben uns entschieden, bei unserer Arbeit einem Ansatz zu folgen, der u. a. am Lehrstuhl für Human-Centered Security am Horst-Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entwickelt wurde. In diesen Ansatz betten wir die Vorgehensweise eines ISMS nach ISO 27001 ein.

Der Ansatz hat seinen Weg in die Praxis gefunden und wird neben unseren eigenen Seminaren u. a. auch im Kurs IT-Security-Beauftragter der TÜV-Rheinland-Akademie gelehrt. Damit hat der Ansatz den Weg aus Forschung und Lehre gefunden und darf als Stand der Technik gesehen werden.

Ausgangslage

Von Mitarbeitern wird erwartet, dass sie bei ihrer täglichen Arbeit alle informationssicherheits-­relevanten Regeln und Vorschriften einhalten. Wenn diese Regelungen lange eingeübten, weitgehend automatisierten Handlungen zuwiderlaufen, wird dies nur schwer gelingen. Es bedarf daher neuer „sicherer“ Routinen. Diese können nicht allein angeordnet, sondern müssen eingeübt werden. Überdies muss ein Grundverständnis bei den Mitarbeitern erzeugt werden, damit sie die Maßnahmen langfristig und nachhaltig umsetzen.

Vorgehensweise

Organisationen müssen dafür sorgen, dass Mitarbeiter sowie weitere Personen, die unter der Aufsicht der Organisation Tätigkeiten ausüben, ihre Tätigkeiten unter Beachtung der Informationssicherheitsregeln ausführen. Bewusstsein und Wissen allein reichen hierfür nicht aus. Benötigt werden neue sichere Verhaltensweisen. Diese müssen eingeübt und als neue Routine im täglichen Arbeiten verankert werden. Überdies sollte die Leitung als gutes Vorbild vorangehen und diese Routinen vorleben.

Die Herangehensweise der Organisation an das Thema Awareness sollte strukturiert erfolgen. Die folgenden Schritte legen ein mögliches Vorgehen fest:

  1. Auswahl der Themen bzw. Themenbereich
  2. Festlegen der Ziele der Awareness-Kampagne(n)
  3. Umsetzung und Überprüfung der Wirksamkeit

Bei der Auswahl der Themen bzw. Themenbereich sollten zuvorderst die Ergebnisse des eigenen Risikomanagements und die eigenen Informationssicherheitsziele berücksichtigt werden. Auch weitere Aspekte wie Informationssicherheitsvorfälle in der eigenen oder bei vergleichbaren Organisationen der gleichen Branche, eine Betrachtung der eigenen Informationswerte („Kronjuwelen“), die eigene Unternehmenskultur, Anforderungen wichtiger Stakeholder, die Analyse und Bewertung der eigenen Informationssicherheitskennzahlen sowie die Ergebnisse von Audits sollten in die Auswahl einfließen.

Die Ziele der Awareness-Kampagne(n) sollten als konkrete, operative Ziele formuliert sein. Das heißt sie müssen spezifisch, messbar, erreichbar, relevant und mit einem Zeitrahmen versehen sein (SMART). Messbarkeit erfordert Kriterien, anhand derer bestimmt werden kann, ob oder in welchem Grad das Ziel erreicht wurde (Zielerreichungskriterien). Die Ziele sind vor dem Start der Umsetzung festzulegen und zu dokumentieren. Zudem sollten die Ziele den Mitarbeitern bekannt gemacht werden, wenn es der Zielerreichung dienlich ist.

The new Awareness Curve

Die Umsetzung erfolgt in neun größtenteils aufeinander aufbauenden Schritten:

  1. Sicherheits-Hygiene: In der Sicherheits-Hygiene sind zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind.
  2. Information: Mitarbeiter brauchen Informationen über die bestehenden Regelungen, d.h. die Regeln müssen bekannt gemacht werden und für den Mitarbeiter verfügbar sein.
  3. Sensibilisierung: Die Mitarbeiter müssen sensibilisiert werden. Dabei sollten keine Bedrohungsmodelle genutzt werden, keine Angst erzeugt, sondern motiviert werden.
  4. Wissen und Verstehen: Mitarbeiter müssen wissen und grundlegend verstehen, wie ihr derzeitiges „unsicheres“ Verhalten durch die Bedrohungen ausgenutzt werden kann.
  5. Zustimmung: Mitarbeiter sollen aktiv und möglichst freiwillig zustimmen, ihren Teil zu leisten, d.h. ihr eigenes Verhalten ggfs. zu ändern.
  6. Selbstwirksamkeitserwartung: Die Mitarbeiter sollen eine Selbstwirksamkeitserwartung entwickeln. Das bedeutet, überzeugt zu sein, dass man das erwünschte Verhalten tatsächlich leisten kann und dass man hierdurch einen wichtigen Beitrag leistet.
  7. Fähigkeiten implementieren: Daraufhin werden die neuen Fähigkeiten implementiert. Das erwünschte neue Verhalten wird eingeübt. Dabei werden die Mitarbeiter daran erinnert, dass sie den neuen Verhaltensweisen zugestimmt haben, wie das alte Verhalten aussah und warum es nicht mehr ausgeübt wird.
  8. Verankerung: Das neue Verhalten muss verankert, ein Rückfall in alte Gewohnheiten unterbunden werden.
  9. Sicheres Verhalten: Im letzten Schritt ist das neue sichere Verhalten zur Routine geworden.

Zu jedem Schritt sind geeignet Werkzeuge und Methoden zur Unterstützung zu wählen. Bei der Auswahl von externen Dienstleistern und Services sollte darauf geachtet werden, dass alle Teilschritte des dargestellten Umsetzungsprozesses abgedeckt sind. Ggfs. müssen diese durch weitere Maßnahmen ergänzt werden.

Alle Maßnahmen sollten entsprechend der Bedürfnisse der verschiedenen Adressaten (SW-Entwickler, IT, Personalabteilung, Marketing, Vertrieb etc.) zielgruppengerecht ausgewählt und umgesetzt werden.

Um sicher zu gehen, dass die Voraussetzungen für die Durchführung des jeweils nächsten Prozessschrittes gegeben sind und das Erreichen der definierten Ziele insgesamt zu gewährleisten, sollte nach jedem Prozessschritt eine Wirksamkeitsprüfung durchgeführt werden. Ggfs. ist der Schritt zu wiederholen bzw. zu vertiefen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Neuerungen in der ISO Norm 27001/27002

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In 2022 wurden die ISO Normen 27001 und 27002 aktualisiert. Neben kleineren Änderungen und Ergänzungen in den Normkapiteln der ISO 27001 gab es große Änderungen in der ISO 27002 und damit auch im Anhang der ISO 27001, in den Controls und Maßnahmen zur Umsetzung eines ISMS. Bis 2025 müssen alle bereits zertifizierten ISM Systeme nach den aktualisierten Normen ausgerichtet werden, daher ist eine Beschäftigung mit den Änderungen unumgänglich.

In unserer Folge „Neuerungen in der ISO Norm 27001/27002“ gehen wir auf folgende Aspekte ein:

  • Zeitlicher Ablauf – Umstellungsfristen, Zertifizierungen
  • Änderungen der Norm in den Normkapiteln und im Anhang
  • Tipps zur Einbindung neuer Controls
  • Sicht eines Auditors zur Prüfung der Änderungen

Hier ein Paar Links zum Thema Neuerungen in der ISO Norm 27001/27002

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

BCM bei einem Cyber-Angriff auf eine öffentliche Einrichtung

– Business Continuity Management (BCM) nach BSI-Grundschutz bei einem Cyber-Angriff auf eine öffentliche Einrichtung –

Wer in den letzten Tagen und Wochen die Berichterstattung verfolgt hat wird auch vom Angriff auf die Stadt und den Landkreis Fürth gelesen haben. Sogenannte DDos-Angriffe von verschiedenen IP-Adressen aus unterschiedlichen Ländern haben zu einer starken Belastung des Servers geführt. Die Angriffe konnten bisher aber erfolgreich abgewehrt werden.

In einer zunehmend digitalisierten Welt sind öffentliche Einrichtungen und Behörden verstärkt Cyber-Angriffen ausgesetzt. Diese Angriffe können erhebliche Auswirkungen auf den Betrieb und die Sicherheit dieser Institutionen haben. Daher ist es von entscheidender Bedeutung, dass sie über robuste Business Continuity Management (BCM)-Maßnahmen verfügen, um sich gegen solche Angriffe zu verteidigen und im Falle eines Vorfalls schnell wieder handlungsfähig zu werden.

BCM nach BSI IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinem Grundschutzkonzept eine bewährte Methode, um die Informationssicherheit in öffentlichen Einrichtungen zu gewährleisten. Business Continuity Management ist ein integraler Bestandteil dieses Konzepts und umfasst Maßnahmen, um die Auswirkungen von Cyber-Angriffen zu minimieren und die Kontinuität des Betriebs sicherzustellen.

Ein entscheidender Schritt im BCM ist die Risikoanalyse, bei der potenzielle Bedrohungen und Schwachstellen identifiziert werden. Im Falle eines Cyber-Angriffs kann dies bedeuten, die Anfälligkeiten der IT-Infrastruktur und der verwendeten Software zu untersuchen sowie potenzielle Angriffsvektoren zu identifizieren. Auf dieser Grundlage können dann gezielte Sicherheitsmaßnahmen ergriffen werden, um die Risiken zu minimieren.

Ein weiterer wichtiger Aspekt des BCM ist die Erstellung eines Notfallplans. Dieser Plan sollte detaillierte Verfahren enthalten, die im Falle eines Cyber-Angriffs umgesetzt werden müssen. Damit soll der Betrieb aufrecht erhalten und die Auswirkungen des Vorfalls minimiert werden. Dazu gehört beispielsweise die Einrichtung eines Krisenreaktions-Teams, das für die Koordination der Reaktion auf den Vorfall verantwortlich ist. Des weiteren ist die Festlegung von Kommunikationsverfahren wichtig, um die betroffenen Parteien zu informieren.

Ein zentraler Bestandteil des BCM nach BSI-Grundschutz ist auch die regelmäßige Schulung und Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit. Indem die Mitarbeiter über die Risiken von Cyber-Angriffen informiert und für die Erkennung verdächtiger Aktivitäten sensibilisiert werden, können sie dazu beitragen, Sicherheitsvorfälle frühzeitig zu erkennen und angemessen darauf zu reagieren.

Darüber hinaus ist es wichtig, dass öffentliche Einrichtungen und Behörden über ein angemessenes Incident-Response-Management verfügen.

Dies umfasst:

  • die schnelle Reaktion auf Sicherheitsvorfälle
  • die Untersuchung des Vorfalls
  • die Wiederherstellung der betroffenen Systeme und Daten
  • sowie die Durchführung einer umfassenden Nachanalyse, um Lehren aus dem Vorfall zu ziehen und zukünftige Angriffe zu verhindern.

Insgesamt ist Business Continuity Management nach BSI-Grundschutz ein entscheidender Bestandteil der Informationssicherheitsstrategie öffentlicher Einrichtungen und Behörden. Indem sie proaktiv Maßnahmen ergreifen, um sich gegen Cyber-Angriffe zu verteidigen und im Falle eines Vorfalls schnell wieder handlungsfähig zu werden, können sie die Kontinuität ihrer Dienstleistungen sicherstellen und das Vertrauen der Bürger in die Institutionen wahren.

Hinweis für die Abfallwirtschaft

Interessant wird es an dieser Stelle zukünftig für die Abfallwirtschaft, da diese als kritischer Sektor eingestuft ist und jetzt auch verpflichtet ist ein Informationssicherheits-Managementsystem einzuführen. Da kommt einiges an Arbeit auf die öffentlichen Einrichtungen zu.

Was Sie auch zum BCM interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen