,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 6)

Die Managementbewertung

In den ersten Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS, mit Berichtswegen, der Integration der ISMS-Prozesse in die Prozesse des Unternehmens und dem Auditprogramm als Steuerungsinstrument beschäftigt.

In diesem Teil soll es ausführlich um die Managementbewertung gehen, die wir in dem Artikel über die Berichtswege schon kurz angeschnitten hatten.

Pflichten der Geschäftsführung bzw. des Vorstands

Es gehört zu den originären Pflichten einer Geschäftsführung eine funktionierende Unternehmensorganisation sicherzustellen, Risiken zu überwachen und ggf. Maßnahmen zur Schadensprävention zu ergreifen. Dies ergibt sich u.a. aus dem StaRUG. Im Falle der Informationssicherheit kommt sie diesen Pflichten durch die Einrichtung eines wirksamen Informationssicherheits-Managementsystems (ISMS) in geeigneter Weise nach.

Nur in kleinen Unternehmen wird sich die Geschäftsführung selbst der ISMS-Einführung annehmen. Meist beauftragt sie einen Mitarbeiter mit der Einrichtung und dem Betrieb des ISMS. Dieser trägt dann den Titel Informationssicherheitsbeauftragter (ISB) , Chief Information Security Officer (CISO) oder eine andere vergleichbare Bezeichnung. Mit der Bestellung eines solchen Beauftragten ist die Arbeit für die oberste Leitung nicht erledigt. Sie muss sich angemessen davon überzeugen, dass die von ihr beauftragte Person diese Aufgabe auch in ihrem Sinne ausfüllt. Die Geschäftsführung bzw. der Vorstand müssen die Eignung, Angemessenheit und Wirksamkeit ihres ISMS feststellen.

Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS

Zur Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS muss die oberste Leitung ihr ISMS in geplanten Abständen bewerten. Diese Bewertung erfolgt oft in einem Meeting, das auch den Namen Managementbewertung (Management Review) trägt.

Ablauf der Managementbewertung

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a.

  • der Status von Maßnahmen als Folge vorheriger Managementbewertungen,
  • Veränderungen bei verschiedenen, das ISMS betreffenden Themen,
  • Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen,
  • wichtige Kennzahlen,
  • Auditergebnisse,
  • Stand bei der Erreichung von Informationssicherheitszielen,
  • Ergebnisse der Risikobeurteilung,
  • Umsetzungsgrad beschlossener Maßnahmen sowie
  • allgemeine Möglichkeiten zur fortlaufenden Verbesserung.

Die Führung muss auf den Stand und die Entwicklung bei diesen Themen wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 fordert eine Managementbewertung in geplanten Abständen. In der Praxis wird dies übersetzt in “mindestens jährlich”. Mindestens ist aber nicht gleichbedeutend mit angemessen. Was angemessen ist, muss jede Führung selbst festlegen. Gerade in der Einführungsphase eines ISMS können kürzere Abstände durchaus hilfreich und notwendig sein.

In kleineren Unternehmen ist die Geschäftsführung häufig so dicht am operativen Geschäft dran, dass alle oben genannten Themen von ihr ohnehin im Tagesgeschäft beachtet und bearbeitet werden. Hier könnte auch eine Vielzahl von unterschiedlichen Meetings und Formaten in der Summe als Managementbewertung betrachtet werden. Der ISB muss dabei darauf achten, dass im Laufe eines Jahres wirklich alle Pflichtpunkte der Managementbewertung behandelt wurden, dies dokumentiert wurde und ggf. im Audit auch darstellbar ist.

Entscheidet man sich für eine klassische Managementbewertung so hat diese in kleineren Unternehmen häufig den Charakter eines wiederholten Durchgehens bereits bearbeiteter Punkte. Auch in diesem Fall muss darauf geachtet werden, dass dies dokumentiert wird und das eine Bewertung der obersten Leitung bezüglich der Eignung, Angemessenheit und Wirksamkeit des ISMS erkennbar ist.

In mittleren Unternehmen hat sich eine Zahl von zwei bis vier Managementbewertungen im Kalenderjahr bewährt. Eine Führung, die wegen der Größe der eigenen Organisation nicht mehr mit allen Aspekten des Tagesgeschäftes befasst ist, kann sich so in angemessen Abständen mit dem Stand der Informationssicherheit im eigenen Unternehmen auseinandersetzen. Bei Fehlentwicklungen kann wirksam gegengesteuert werden.

Die angeratene Mindestzahl von zwei Managementbewertungen ergibt sich aus der Mindestzahl von Audits in zertifizierten Unternehmen. Einmal im Jahr kommt der Zertifizierungsauditor, mindestens einmal im Jahr findet ein internes Audit statt. Wenn diese gleichmäßig über das Jahr verteilt sind, bei zwei Audits also im Abstand von 6 Monaten, ergeben sich mit den Auditberichten zwei gute Gelegenheiten für die oberste Leitung sich mit dem Stand und der Entwicklung der Informationssicherheit auseinander zu setzen. Liegen die Audits zeitlich zu dicht beieinander, führt dies zu ähnlichen Auditberichten, die eine gesonderte Befassung unnötig erscheinen lassen.

In großen Organisation gibt es auch eine eigene Informationssicherheitsorganisation. Diese bearbeitet viele Aspekte der Informationssicherheit und des Informationssicherheitsmanagements selbstständig. Sie verfügt hierzu in der Regel über alle Kompetenzen und Ressourcen. In diesem Fall ist eine Befassung durch die oberste Leitung einmal jährlich meist ausreichend.

Teilnehmer der Managementbewertung

Im Sinne der ISO 27001 ist es ausreichend, wenn die Managementbewertung durch ein Mitglied der obersten Leitung durchgeführt wird. Geschäftsführungen und Vorstände sind allerdings kollektiv haftende Organe. Diese Haftung lässt sich beschränken, wenn es einen (hoffentlich dokumentierten und nicht nur gelebten) Geschäftsverteilungsplan gibt. Aber auch in diesem Fall bleibt die Gesamtverantwortung bestehen. Das heißt, die nicht für ein Ressort zuständigen Mitglieder der obersten Leitung  müssen die Arbeit ihrer Kollegen überwachen und bei erkennbaren Pflichtverletzungen einschreiten. Versäumen sie dies, ist eine Haftung weiterhin möglich.

Die Managementbewertung ist für die “nicht zuständigen” Mitglieder der Geschäftsführung eine sehr gute Möglichkeit, sich davon zu überzeugen, dass die Aufgabe Informationssicherheit bzw. Informationssicherheitsmanagement von ihrem zuständigen Kollegen angemessen organisiert und bearbeitet wird. Jeder Geschäftsführer ist daher gut beraten an der Managementbewertung zumindest teilzunehmen, auch wenn das Thema nicht in den eigenen Zuständigkeitsbereich fällt.

Wie es weiter geht?

Damit endet (vorerst) die Artikelreihe über die Aufgaben der obersten Leitung im ISMS. Sie haben noch Fragen? Nehmen Sie gerne Kontakt zu uns auf.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Awareness – Maßnahme oder Konzept? – Teil 4

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3) hatten wir dargestellt, warum die alleinige Fokussierung auf rein technische Aspekte bei der Informationssicherheit nicht ausreichend ist. Als Gegenentwurf skizzieren wir ein Awareness-Konzept, das deutlich mehr beinhaltet als einige oberflächliche Schulungsveranstaltungen.

In Teil 3 des Blogs wurde die Fragestellung der Darbietungsform bereits angerissen. Gerade bei zugekauften Inhalten neigen die meisten dazu, Inhalte so einzusetzen, wie sie vom Anbieter kommen. Nur selten wird hinterfragt, ob die angebotene Form der Lerninhalte auch wirklich zur Zielgruppe selber, zu den vorgesehenen Lernzielen und nicht zuletzt zum Inhalt passt. So werden oftmals eLearnings und Präsentationen übernommen, ohne die Eignung der Unterlagen zu hinterfragen.

Psychologische Aspekte

Einige psychologische Ansätze beschreiben sogenannte Lernkanäle – hauptsächlich die Sinneskanäle, wie Sehen und Hören, aber auch die Motorik (das Selbermachen, mit den eigenen Händen) oder den kognitiven Lernkanal, der auf die Ergänzung und Vervollständigung des bestehenden, eigenen Wissensgerüstes fokussiert. Die Kernaussage der Theorie über die Lernkanäle besteht darin, dass verschiedene Menschen die verschiedenen Lernkanäle unterschiedlich effizient nutzen. Je nach eigenem Lerntyp fällt dem Einzelnen das Lernen also mal etwas leichter, mal etwas schwerer – je nachdem, über welchen Kanal die Lerninhalte aufgenommen werden.

Die zweite Kernaussage der Theorie der Lernkanäle zielt auf eine möglichst vielfältige Gestaltung der Lerninhalte. Wenn die Materialen und Medien so aufgebaut werden, dass möglichst viele Kanäle genutzt werden, adressiert man auf diese Art die verschiedenen Lerntypen und erreicht in der Summe ein besseres Ergebnis bei der Vermittlung der Lerninhalte. Eine bewusstere Auswahl der Darbietungsform beugt also nicht nur einer gefühlten oder tatsächlichen Eintönigkeit vor, sondern kann auch das Lernergebnis insgesamt verbessern.

Und noch einen Gedanken sollte man bei der Auswahl der Darbietungsform und der genutzten Medien nicht vergessen. In Teil 2 wurde das Tripel aus Wissen, Wollen und Können angesprochen. Bei der Auswahl der Methoden und Darbietungsformen kann auch der gewollte Schwerpunkt eine Rolle spielen. So eignet sich z.B. eine Präsentation eher zum Vermitteln und Darstellen von Wissen. Wenn es dagegen eher um den Erwerb oder die Verbesserung des Könnens gehen soll, wäre eine praktische Übung für jeden Teilnehmer sicher passender. Natürlich gibt es auch hier oft eine innere Logik für die Reihenfolge: zumeist muss zuerst Wissen vermittelt werden, um dieses dann in praktischen Übungen in Können umzuwandeln. Beide Aspekte gehören für viele Inhalte zusammen – was jedoch nicht heißt, dass sie zwingend auch zusammen, in einer Veranstaltung, dargeboten werden müssen …

Übrigens – falls die Frage aufgekommen sein sollte, welche Überlegungen hinter der Idee des Awareness-Konzeptes stehen: den zugrundeliegenden Ansatz stellt Matthias Weigmann in einem Blogartikel vor!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 6

Bereits im vorherigen Artikel  wurden einige Aspekte des mobilen Arbeitens angerissen. Der Schwerpunkt lag in der Schaffung eines Verständnisses und in der Unterscheidung der verschiedenen Arbeitsorte, die unter dem Oberbegriff „Mobiles Arbeiten“ zusammenfassen lassen. Ebenfalls wurde bereits die Verbindung zwischen mobilem Arbeiten und den Themen Sicherheitszonen, Klassifizierung und Umgang mit Datenträgern erwähnt.

Wie bereits in einem früheren Artikel  dargestellt wurde, sind mit der Klassifizierung von Informationswerten auch die Vorgaben für den Umgang mit diesen Informationswerten verbunden. Es bietet sich an, auch das mobile Arbeiten hier mit zu betrachten. So sind Informationsträger, wie z.B. externe Datenträger, physische Modelle und Komponenten oder Papierunterlagen, natürlich beim Mitführen einer erhöhten Gefahr ausgesetzt. Sie können verloren gehen, gestohlen oder beschädigt werden, oder Unbekannte erlangen Einsicht. Es wäre daher sinnvoll, das Mitführen von solchen Informationsträgern einzuschränken. Hierfür bietet sich die Klassifizierung des Informationswertes an: je höher der Informationswert klassifiziert ist, umso restriktiver sollten die Vorgaben für das Mitführen sein.

An dieser Stelle ein kleiner Hinweis zum Klassifizierungsschema. Das Klassifizierungsschema orientiert sich in den meisten Fällen, so auch beim VDA-ISA Katalog, hauptsächlich am Schutzziel “Vertraulichkeit”. Prinzipiell können in dem Schema aber die Schutzziele “Verfügbarkeit” und “Integrität” mit berücksichtigt werden.

Transport und Entsorgung

Doch nicht nur der Transport, sondern auch die Aufbewahrung von Informationswerten sollte geregelt werden. Zu bedenken wären hier vor allem der Schutz der Vertraulichkeit, z.B. die mögliche Einsichtnahme durch Familienmitglieder in vertrauliche Unterlagen. Abhilfe ließe sich z.B. durch die Vorgabe zur Aufbewahrung in verschlossenen Schränken schaffen. Auch hier bietet es sich an, die Vorgaben zur Aufbewahrung anhand der Klassifizierung zu treffen.

Außerdem gehört in diesen Bereich auch die physikalische Vernichtung oder Entsorgung. Wie sonst auch, sollte es hier klare Regelungen geben. Viele Unternehmen nehmen für die sichere Entsorgung zertifizierte Dienstleiter in Anspruch. Eine sichere Entsorgung von Datenträgern ist somit oftmals nur an den Unternehmensstandorten selber möglich. Eine mögliche Vorgabe könnte also sein, dass die Vernichtung von Informationswerten und Datenträger nur am Unternehmensstandort mit den dort etablierten Verfahren vorgenommen werden darf. Alternativ wäre es denkbar, auch die häuslichen Arbeitsplätze mit Gerätschaften zur sicheren Entsorgung auszustatten, z.B. mit Schreddern die eine passende Sicherheitsstufe für die sichere Vernichtung von Papier haben.

Wie sich die Gedanken aus diesem Artikel in einem Zonenkonzept wiederfinden lassen, und welche Zusammenhänge es zwischen dem Klassifizierungsschema und dem Zonenkonzept geben kann, wird im folgenden Artikel näher beleuchtet …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

KI-Schulung: Eine entscheidende Anforderung des AI Acts

In der sich rasant entwickelnden Welt der Künstlichen Intelligenz (KI) steht Ihr Unternehmen vor neuen Herausforderungen und Chancen. Durch den EU AI Act ist seit dem 2. Februar 2025 die Schulung Ihrer Mitarbeiter im Bereich KI nicht nur ein Wettbewerbsvorteil, sondern zu einer gesetzlichen Notwendigkeit geworden.

Warum KI-Schulungen unerlässlich sind

KI ist längst nicht mehr nur ein Thema für Spezialisten. Smartphones, Microsoft Office-Anwendungen und Adobe-Programme kommen bereits mit integrierter KI-Funktionalität. Dies bedeutet, dass praktisch jeder Ihrer Mitarbeiter täglich mit KI interagiert, oft ohne es zu wissen.

Datenschutz und Informationssicherheit

Es ist von entscheidender Bedeutung, dass Ihre Mitarbeiter verstehen, welche Daten sie in KI-Systeme eingeben dürfen. Unwissenheit in diesem Bereich kann zu schwerwiegenden Datenschutz- und Sicherheitsvorfällen führen. Die VDI Nachrichten berichten von einer Umfrage der Shamundi Consulting in Zusammenarbeit mit der International School of Management (ISM) und vier deutschen Technologieunternehmen unter der Leitung von Kishor Sridhar die zeigt, wie unbedarft Mitarbeiter sensible Daten in frei zugängliche KI-Systeme eingeben.

Kritische Überprüfung von KI-Ergebnissen

Ebenso wichtig ist es, Ihre Mitarbeiter dafür zu sensibilisieren, dass KI-Systeme “halluzinieren” können – also falsche oder irreführende Informationen produzieren. Eine kritische Überprüfung der KI-generierten Ergebnisse ist daher unerlässlich, um Fehlentscheidungen zu vermeiden.

Unsere Schulungsangebote

Um Ihre Mitarbeiter optimal auf die Herausforderungen des AI Acts vorzubereiten, bieten wir maßgeschneiderte KI-Schulungen an, die sowohl in Präsenz oder Remote mit unseren Referenten durchgeführt werden können. Stellen Sie einfach eine Inhouse-Anfrage an uns und teilen uns mit, welche Themen Sie besprechen möchten. Oder buchen Sie unsere Basisschulung “KI im Unternehmen”. Eine weitere Möglichkeit ist die eLearning Basisschulung “KI im Unternehmen” ein flexibles Online-Training, das grundlegende KI-Kenntnisse vermittelt, ergänzt durch ein Quiz und eine Teilnahmebescheinigung. Zudem bieten wir in unserem Podcast interessante Einblicke in den AI Act und seine Auswirkungen auf Unternehmen – ideal für alle, die sich tiefer mit den Themen KI und Regulierung auseinandersetzen möchten.

Hören Sie rein!

/von
,

Interne Audits – Die unterschiedlichen Auditarten – Teil 3

Nachdem wir in unseren vorangegangenen Beiträgen „Die Bedeutung interner Audits…“ und die Ausbildung zum Internen Auditor beleuchtet haben. Geht es heute um unterschiedliche Auditarten.

Die Durchführung von Audits sind ein wesentlicher Bestandteil des Managements und der Qualitätssicherung in Unternehmen. Dabei ist es unerhebliche für welche Norm sie durchgeführt werden, oft gibt es sogar Überschneidungen bei den Themen, insbesondere bei der High Level Struktur. Audits helfen, die Einhaltung von Standards und Vorschriften zu überprüfen und Verbesserungspotenziale zu identifizieren. Dabei unterscheidet man zwischen internen und externen Audits, die jeweils unterschiedliche Ziele, Methoden und Perspektiven haben.

Interne Audits werden von Mitarbeitern des Unternehmens durchgeführt, die nicht direkt in die Prozesse involviert sind, die sie überprüfen. Diese Audits dienen in erster Linie der Selbstkontrolle und der kontinuierlichen Verbesserung. Interne Auditoren haben ein tiefes Verständnis für die internen Abläufe im Unternehmen und können spezifische Risiken und Schwächen identifizieren. Sie arbeiten oft eng mit den Abteilungen zusammen, um Lösungen zu entwickeln und die Umsetzung von Verbesserungsmaßnahmen zu unterstützen. Ein weiterer Vorteil interner Audits ist die Flexibilität in der Planung und Durchführung, da sie an die Bedürfnisse des Unternehmens angepasst werden können.

Externe Audits hingegen werden von unabhängigen Dritten durchgeführt, die nicht mit dem Unternehmen verbunden sind. Diese Auditoren bringen eine objektive Perspektive mit und sind oft mit branchenspezifischen Standards und gesetzlichen Anforderungen vertraut. Externe Audits sind häufig erforderlich, um die Einhaltung von Vorschriften zu bestätigen, beispielsweise bei Zertifizierungen oder regulatorischen Anforderungen. Sie bieten eine wertvolle externe Validierung der internen Prozesse und können das Vertrauen von Kunden und Partnern stärken.

Lieferantenaudits sind eine spezielle Form des Audits, die sich auf die Bewertung von Lieferanten und deren Prozesse konzentriert. Diese Audits sind entscheidend, um sicherzustellen, dass die Lieferanten die erforderlichen Qualitätsstandards und Compliance-Vorgaben einhalten. Lieferantenaudits helfen Unternehmen, Risiken in der Lieferkette zu identifizieren und die Zuverlässigkeit ihrer Partner zu bewerten. Sie können sowohl intern als auch extern durchgeführt werden, wobei interne Audits oft von den Einkaufs- oder Qualitätsmanagementteams des Unternehmens durchgeführt werden, während externe Audits von unabhängigen Dritten oder spezialisierten Auditoren vorgenommen werden, besonders wenn die Leistung des Lieferanten so spezifisch ist, dass eine korrekte Beurteilung nur von Fachexperten vorgenommen werden kann..

Zusammenfassend lässt sich sagen, dass interne, externe und Lieferantenaudits komplementäre Rollen im Auditprozess spielen. Während interne Audits auf kontinuierliche Verbesserung und interne Kontrolle abzielen, bieten externe Audits eine objektive Bewertung und Bestätigung der Einhaltung von Standards. Lieferantenaudits hingegen konzentrieren sich auf die Qualität und Zuverlässigkeit der Lieferanten. Alle drei Auditarten sind entscheidend für die Sicherstellung von Qualität und Compliance in einem Unternehmen.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Ratgeber Informationssicherheit für Geschäftsführung

Warum Sie diesen Ratgeber Informationssicherheit für Geschäftsführung und Vorstände nicht verpassen sollten:

Ob Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz (IT-SiG), das NIS2-Umsetzungsgesetz oder branchenspezifische Vorgaben – die rechtlichen Anforderungen an den Schutz von Informationen sind vielfältig und streng. Diese Vorgaben nicht nur zu kennen, sondern sie systematisch in die Unternehmensprozesse zu integrieren, ist eine der größten Herausforderungen für die Unternehmensleitung. Ein effektives Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um diese Anforderungen zu erfüllen.

Unser neuer Ratgeber zeigt Ihnen, kurz und übersichtlich was Sie bei der Implementierung, Überwachung und kontinuierlichen Verbesserung eines ISMS beachten sollten – praxisnah und verständlich.

Was bietet Ihnen unser “Ratgebers Informationssicherheit für die Geschäftsführung”:

1. Aufbau eines kompetenten Projektteams und klarer Rollenverteilung: Ein starkes Team und klare Verantwortlichkeiten sind die Basis für die erfolgreiche Umsetzung eines ISMS.

2. Kennzahlen und Wirksamkeitsmessung: Definieren und überwachen Sie Kennzahlen, um die Effektivität Ihres ISMS gezielt zu messen und zu optimieren.

3. Interne Audits & Auditprogramme: Audits decken Schwachstellen auf und fördern die kontinuierliche Verbesserung Ihres ISMS.

4. Managementbewertung: Prüfen Sie regelmäßig die Leistung Ihres ISMS und treffen Sie fundierte strategische Entscheidungen.

5. Integration in bestehende Unternehmensprozesse: Integrieren Sie Ihr ISMS nahtlos in die täglichen Abläufe, um es effizient und nachhaltig zu gestalten.

Fazit: Die Führungsebene ist für ein erfolgreiches ISMS essenziell

Insgesamt erfordert die erfolgreiche Implementierung und Verwaltung eines ISMS nach ISO 27001 das Engagement und die Unterstützung der Geschäftsführung auf allen Ebenen. Durch die konsequente Anwendung der im Ratgeber beschriebenen Prinzipien und Maßnahmen können Sie nicht nur die Informationssicherheit in Ihrem Unternehmen stärken, sondern auch Vertrauen bei Kunden und Partnern aufbauen und gesetzliche sowie regulatorische Anforderungen erfüllen.

Sichern Sie sich jetzt den Ratgeber und übernehmen Sie die Führung in Sachen Informationssicherheit!

Adobe Stock | 968083173 | KI generiert

Ratgeber Informationssicherheit für Geschäftsführung

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Geschäftsführer und Vorstände“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Notfallvorsorge in der IT: eine kurze Übersicht

Wir sind ja in den vorherigen Beiträgen schon mehrfach auf das Thema Notfallvorsorge, Wiederanlaufplanung und Übungsszenarien in der IT eingegangen. In der heutigen digitalisierten Welt ist die IT-Infrastruktur das Rückgrat vieler Unternehmen. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können jedoch erhebliche Schäden verursachen. Die EU hat sich mit der NIS 2 Richtlinie und dem CRA (Cyber Resilience Act) diesem Problem angenommen.

Hier nochmal eine kurze Übersicht, was zu beachten ist:

Notfallvorsorge und Wiederanlaufplanung

Die Basis einer effektiven Notfallvorsorge bildet nach wie vor ein detaillierter IT-Notfallplan. Dieser sollte folgende Kernelemente enthalten:

  1. Risikobewertung und Bedrohungsanalyse
  2. Festlegung eines Notfallteams und klarer Verantwortlichkeiten
  3. Dokumentation von Wiederanlaufprozessen
  4. Technische und organisatorische Maßnahmen zur Risikominimierung

Ein wesentlicher Bestandteil des Notfallplans ist die Wiederanlaufplanung. Sie definiert präzise Schritte zur Wiederherstellung kritischer IT-Systeme und -Dienste. Ein effektiver Wiederanlaufplan sollte folgende Aspekte abdecken:

  • Technische und organisatorische Voraussetzungen zum Wiederanlauf
  • Detaillierte Aktivitäten für den Wiederanlauf
  • Beschreibung von Funktionstests und Übergabe in den Notbetrieb
  • Maßnahmen zur Rückführung in den Normalbetrieb

Übungsszenarien und deren Bedeutung

Regelmäßige IT-Notfallübungen sind unerlässlich, um die Wirksamkeit der Notfallpläne zu testen und das Notfallteam auf den Ernstfall vorzubereiten. Professionelle Übungsszenarien fokussieren sich auf:

  • Rasche Erfassung der IT-Situation und Lagebilderstellung
  • Anwendung von Methoden zur Problemerfassung
  • Schnelle und korrekte Lagebeurteilung
  • Hochfahren des Cyber-Notfallmanagements
  • Überprüfung der Disaster Recovery Pläne
  • Praktische Anwendung der Notfallkommunikation

Diese Übungen helfen, Schwachstellen im Notfallmanagement aufzudecken und kontinuierliche Verbesserungen vorzunehmen. Die Bedeutung der IT-Notfallvorsorge wird durch regulatorische Anforderungen wie die NIS 2 Richtlinie unterstrichen, die höhere Sicherheitsanforderungen für Unternehmen mit kritischen Infrastrukturen vorschreibt und entsprechende Nachweise einfordert.

Zusammenfassend lässt sich sagen, dass eine gründliche Notfallvorsorge, detaillierte Wiederanlaufplanung und regelmäßige Übungsszenarien entscheidend sind, um die Resilienz eines Unternehmens gegenüber IT-Notfällen zu stärken. Nur so können Unternehmen im digitalen Zeitalter bestehen und ihre Geschäftskontinuität auch in Krisensituationen sicherstellen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Notfallvorsorge in der IT: Die Bedeutung der NIS 2 Richtlinie

In der heutigen digitalen Welt ist die Notfallvorsorge in der IT von entscheidender Bedeutung. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können Unternehmen erheblich schaden. Die neue NIS 2 Richtlinie, die im Januar 2023 in Kraft trat, stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union dar und hat weitreichende Auswirkungen auf die Notfallvorsorge in der IT.

Die NIS 2 Richtlinie zielt darauf ab, die Sicherheitsanforderungen für Unternehmen, die kritische Infrastrukturen betreiben, zu erhöhen. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und umfasst nun auch kleinere Unternehmen und Anbieter von digitalen Diensten. Dies bedeutet, dass mehr Organisationen verpflichtet sind, robuste Sicherheitsmaßnahmen zu implementieren und Notfallpläne zu entwickeln.

Die NIS 2 Richtlinie (Richtlinie (EU) 2022/2555) befasst sich gleich in mehreren Kapiteln mit Notfallvorsorge und Resilienz.

Die wichtigsten Kapitel, die Notfallvorsorge und Resilienz behandeln, sind:

1. Kapitel II – Sicherheitsanforderungen: Dieses Kapitel legt die grundlegenden Sicherheitsanforderungen fest, die von den betroffenen Unternehmen und Organisationen eingehalten werden müssen. Es betont die Notwendigkeit, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Dazu gehört auch die Entwicklung von Notfallplänen und die Durchführung von Risikobewertungen.

2. Kapitel III – Vorfallmanagement: In diesem Kapitel wird die Notwendigkeit eines effektiven Vorfallmanagements hervorgehoben. Unternehmen müssen Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle implementieren. Dies ist entscheidend für die Resilienz, da eine schnelle und koordinierte Reaktion auf Vorfälle die Auswirkungen auf die Organisation minimieren kann.

3. Kapitel IV – Zusammenarbeit und Informationsaustausch: Dieses Kapitel fördert die Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle ist entscheidend für die Verbesserung der Resilienz und der Notfallvorsorge auf europäischer Ebene.

4. Kapitel V – Aufsicht und Durchsetzung: Hier werden die Aufsichtsmechanismen beschrieben, die sicherstellen sollen, dass die Sicherheitsanforderungen eingehalten werden. Die Durchsetzung dieser Anforderungen trägt zur allgemeinen Resilienz der kritischen Infrastrukturen bei.

Diese Kapitel zusammen bilden den Rahmen für eine umfassende Notfallvorsorge und Resilienz-Strategie, die Unternehmen dabei unterstützt, sich besser auf Cyberbedrohungen vorzubereiten und darauf zu reagieren.

Ein zentraler Aspekt der NIS 2 Richtlinie ist die Verpflichtung zur Risikobewertung und -management. Unternehmen müssen potenzielle Bedrohungen identifizieren und Strategien entwickeln, um diese zu minimieren. Dazu gehört auch die regelmäßige Durchführung von Notfallübungen, um sicherzustellen, dass alle Mitarbeiter im Ernstfall wissen, wie sie reagieren müssen.

Darüber hinaus fordert die NIS 2 Richtlinie eine engere Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle wird gefördert, um eine schnellere Reaktion auf Cyberangriffe zu ermöglichen.

Insgesamt ist die NIS 2 Richtlinie ein wichtiger Schritt in Richtung einer besseren Notfallvorsorge in der IT. Unternehmen sollten diese Vorgaben ernst nehmen und ihre Sicherheitsstrategien entsprechend anpassen, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch ihre eigene Resilienz zu stärken. In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, ist proaktive Notfallvorsorge unerlässlich.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
, ,

Awareness – Sicherheits-Hygiene

Im vorhergehenden Blog-Beitrag “Awareness – ein Konzept!” habe ich einen Überblick über eine strukturierte Vorgehensweise und The new Awareness Curve gegeben. In diesem Beitrag möchte ich auf den ersten Schritt der Awareness Curve die Sicherheits-Hygiene eingehen.

Sicherheits-Hygiene

Unter Sicherheits-Hygiene versteht man die routinemäßigen, alltagstauglichen Sicherheitspraktiken, die von Endbenutzern durchgeführt werden müssen, um ein Grundniveau an Sicherheit zu gewährleisten. Dabei ist Wert darauf zu legen, dass Maßnahmen so gestaltet sind, dass sie wenig kognitive Belastung oder Aufwand für die Menschen darstellen.  Sicherheitsmaßnahmen sollen praktikabel, intuitiv und mit den täglichen Arbeitsabläufen kompatibel sein.

Informationssicherheit wird oft als zusätzliche Belastung für den Menschen wahrgenommen, insbesondere wenn sie als zu kompliziert oder störend empfunden wird. Die Sicherheits-Hygiene muss daher einfach und effizient gestaltet sein. Sie muss selbstverständlich sein, wie das Händewaschen in der körperlichen Hygiene.

In der Sicherheits-Hygiene sind daher zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind. Dies gilt auch für die Benutzung von Werkzeugen, wie z.B. ein VPN. Die Benutzung darf im Ergebnis die Menschen kognitiv nicht mehr anstrengen als Händewaschen. Nur dann besteht eine gute Chance, dass elementare Regeln eingehalten und aus Sicherheitsperspektive notwendige Werkzeuge und Methoden auch wirklich eingesetzt werden. Anderenfalls wird es immer wieder zu Umgehungshandlungen kommen.

Die Sicherheits-Hygiene bildet damit die Grundlage für weiterführende Awareness-Maßnahmen. Sie stellt sicher, dass die grundlegenden Sicherheitspraktiken einfach verstanden und praktikabel gelebt werden können. Erst in der Folge können komplexere Themen angegangen werden. Die Sicherheits-Hygiene zielt darauf ab, ein Basisniveau an Sicherheitsbewusstsein und -verhalten in der gesamten Organisation zu etablieren. Durch die Fokussierung auf diese grundlegenden Aspekte wird eine solide Basis für die Entwicklung einer umfassenderen Sicherheitskultur geschaffen. Die Sicherheits-Hygiene ist somit der notwendige erster Schritt auf der Security Awareness Curve.

Wie es weiter geht?

Der nächste Blog-Artikel zum Thema Awareness wird sich mit dem nächsten Schritt der Awarenss Curve der Information der Mitarbeiter beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 5 – Führung und Planung)

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen