Integration der ISMS-Prozesse in die Prozesse des Unternehmens

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. Im dritten Teil ging es um die Berichtswege hin zur obersten Leitung eines Unternehmens.

In diesem Beitrag ist die Integration in die Prozesse das Thema.

Verantwortung für die Integration der Anforderungen des ISMS in die Prozesse des Unternehmens

Prozesse spielen eine große Rolle in einem ISMS nach ISO 27001. Diese Prozessorientierung hat in der aktuellen Version ISO 27001:2022 noch zugenommen.

Es ist die Verantwortung der obersten Leitung, also der Geschäftsführer und Vorstände, dass alle Anforderungen des ISMS in die Prozesse der Organisation integriert werden (vergl. ISO 27001:2022 Kap. 5.1 b). Diese Pflicht beschränkt sich also nicht nur auf das Mitglied der Unternehmensführung, in dessen Geschäftsbereich das ISMS als solches verantwortet wird. Begründet wird eine Pflicht für alle Geschäftsführungsmitglieder, dafür Sorge zu tragen, dass  in ihrem jeweiligen Verantwortungsbereich die Anforderungen des ISMS nicht nur umgesetzt werden, sondern integraler Bestandteil der Prozesse und Abläufe in ihrem Verantwortungsbereich sind.

Diese Integration kann man sich analog zur Verantwortung für andere Themen wie beispielsweise Datenschutz oder Arbeitssicherheit vorstellen. Auch hierfür gibt es jeweils Spezialisten im Unternehmen. Trotzdem ist jeder verpflichtet, in seinem Verantwortungsbereich auf die Einhaltung der entsprechenden Regeln zu achten und die eigenen Prozesse so anzupassen, dass ein regelkonformes Verhalten durch die üblichen Abläufe (die Prozesse) nicht nur nicht behindert, sondern gefördert wird.

Messung und Auditierung der Prozesse

Die Überwachung und  Messung der Wirksamkeit der etablierten Prozesse ist fester Bestandteil des ISMS (vergl. ISO 27001:2022 Kap. 9.1. a). Beim Aufbau und der Umsetzung des Audiprogramms ist die Bedeutung der Prozesse zu berücksichtigen (vergl. ISO 27001:2022 Kap. 9.2.2). Beides kann nur erfolgreich durchgeführt werden, wenn die Prozesse und Abläufe der Informationssicherheit in die Prozesse und Abläufe des Unternehmens integriert sind.

Abschluss und Fazit

Das ISMS wird nur gut funktionieren und damit für ein echtes Mehr an Informationssicherheit sorgen, wenn es integraler Bestandteil der Organisation ist. Es ist die Aufgabe der obersten Leitung, dies zu fördern und diese Unterstützung durch ihr tägliches Handeln sichtbar zu machen.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Die digitale Transformation hat die Art und Weise, wie Unternehmen Informationen verwalten, grundlegend verändert. Mit dem zunehmenden Einsatz von Technologien und der verstärkten Vernetzung von Geschäftsprozessen ist es entscheidend, dass Organisationen robuste Informationssicherheits-Managementsysteme (ISMS) implementieren. Die ISO 27001, eine international anerkannte Norm für Informationssicherheit, bietet einen Rahmen für die Entwicklung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS. Interne Audits nach ISO 27001 spielen dabei eine Schlüsselrolle, um sicherzustellen, dass das ISMS effektiv funktioniert und den ständig wachsenden Bedrohungen standhält.

Warum sind interne Audits wichtig?

Interne Audits sind systematische und unabhängige Bewertungen von Prozessen, um sicherzustellen, dass diese den festgelegten Standards entsprechen. Im Kontext von ISO 27001 dienen interne Audits dazu, die Wirksamkeit des ISMS zu überprüfen und Schwachstellen aufzudecken, bevor sie zu ernsthaften Sicherheitsproblemen führen. Durch regelmäßige Audits wird eine kontinuierliche Verbesserung der Informationssicherheitsprozesse ermöglicht.

Planung ist der Schlüssel zum Erfolg

Bevor ein internes Audit durchgeführt wird, ist eine sorgfältige Planung erforderlich. Dies umfasst die Festlegung der Auditziele, die Auswahl qualifizierter Auditoren und die Festlegung des Prüfumfangs. Der Auditplan sollte alle relevanten Prozesse und Kontrollen abdecken, um ein umfassendes Bild der Informationssicherheitslage im Unternehmen zu erhalten.

Durchführung des internen Audits

Während des Audits bewerten die internen Auditoren die Umsetzung der ISO-27001-Anforderungen, die Effektivität der Sicherheitskontrollen und die allgemeine Konformität mit den festgelegten Richtlinien. Dies beinhaltet oft Interviews mit Mitarbeitern, Überprüfung von Dokumentationen und Analyse von Sicherheitsvorfällen. Das Ziel ist es, potenzielle Schwachstellen zu identifizieren und Empfehlungen für Verbesserungen auszusprechen.

Ergebnisse und Maßnahmenplanung

Nach Abschluss des internen Audits werden die Ergebnisse dokumentiert. Dies umfasst festgestellte Nonkonformitäten, positive Ergebnisse und mögliche Verbesserungsvorschläge. Basierend auf diesen Ergebnissen erstellt das Unternehmen einen Maßnahmenplan, um die identifizierten Schwachstellen zu beheben und das ISMS kontinuierlich zu verbessern.

Kontinuierliche Verbesserung und Anpassung an neue Herausforderungen

Interne Audits dienen nicht nur der Einhaltung von Standards, sondern fördern auch eine Kultur der kontinuierlichen Verbesserung. Die sich ständig ändernde Bedrohungslandschaft erfordert, dass Unternehmen flexibel bleiben und ihre Sicherheitspraktiken anpassen. Durch regelmäßige interne Audits können Unternehmen sicherstellen, dass ihr ISMS nicht nur aktuellen Standards entspricht, sondern auch auf neue Herausforderungen vorbereitet ist.

Fazit

Interne Audits nach ISO 27001 sind unverzichtbar für die Sicherheit von Unternehmensinformationen. Sie bieten eine systematische Methode, um die Effektivität des ISMS zu überprüfen, Schwachstellen aufzudecken und eine kontinuierliche Verbesserung zu fördern. Unternehmen, die diese Audits ernst nehmen, investieren nicht nur in ihre eigene Sicherheit, sondern auch in das Vertrauen ihrer Kunden und Partner. Ein gut durchgeführtes internes Audit ist somit nicht nur eine Pflichtübung, sondern ein strategisches Werkzeug zur Bewältigung der ständig wachsenden Herausforderungen im Bereich der Informationssicherheit.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den letzten neun Beiträgen wurden die wesentlichen Elemente für ein sicheres Arbeiten im Home Office dargestellt. Dabei wurden technische Aspekte angesprochen, wie die Geräteausstattung und der Support, die Einbindung der Mitarbeiter in die betriebliche Kommunikation sowie die Nutzung von Privatgeräten.

Aber auch organisatorische Fragestellungen wurden beleuchtet, wie die Notwendigkeit der Erstellung von Vorgaben und Regeln für das Arbeiten im Home Office, die Schulung dieser Regeln oder auch Überlegungen zum Umgang mit klassifizierten Informationswerten. Zur Erinnerung – bei der Klassifizierung geht es um die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und auch Authentizität.

In diesem abschließenden Artikel soll noch auf eine Feinheit in den Formulierungen eingegangen werden, die oftmals übersehen wird. „Home Office“, „Telearbeit“ und „mobiles Arbeiten“ werden häufig als identisch betrachtet, sind es aber nicht – und sind auch inhaltlich zu unterscheiden.

Telearbeit

„Telearbeit“ ist im Arbeitsrecht bereits lange Zeit vor der Corona-Pandemie bekannt und bedeutet, dass es für einen Mitarbeiter mehrere Arbeitsstätten geben kann – und eine dieser Arbeitsstätten kann sich in der eigenen Wohnung befinden. Diese Betrachtung bedeutet aber auch, dass die Behandlung dieser Arbeitsstätte in der eigenen Wohnung den gleichen Regeln unterliegt wie der Arbeitsplatz im Unternehmen, was z.B. die Ausstattung, die Ergonomie und generell die Verantwortlichkeit des Arbeitgebers für diese Arbeitsstätte betrifft. Außerdem ist bei Telearbeit die Einbindung des Betriebsrates zu beachten. Aus dem Blickwinkel der Informationssicherheit allerdings ist Telearbeit eher positiv einzuschätzen – eben wegen der umfangreichen Gestaltungsmöglichkeiten des Arbeitens.

Unterscheidung von “Home Office” und “mobilem Arbeiten”

„Home Office“ und auch „mobiles Arbeiten“ sind oftmals im juristischen Sinne nicht so strikt geregelt. Daher ist es notwendig, dass Arbeitnehmer und Arbeitgeber hier eine klare Abstimmung über die Rechte, Pflichten und Abläufe treffen. Einige Anregungen für die Inhalte dieser Abstimmung finden sich in den einzelnen Artikeln dieser Blogreihe.

Auch die beiden Begriffe „Home Office“ und „mobiles Arbeiten“ haben nicht die gleiche Bedeutung. Unter „Home Office“ wird das Arbeiten in der eigenen Wohnung des Arbeitnehmers verstanden. „Mobiles Arbeiten“ geht über diese Bedeutung hinaus. Zumeist bedeutet „mobiles Arbeiten“ das Erbringen der Arbeitsleistung an einem beliebigen Ort. Dies kann die eigene Wohnung sein, es kann aber auch das Zugabteil, die Parkbank oder das Hotelzimmer während einer Dienstreise sein. Entscheidend bei diesen beiden Formen ist, dass Arbeitnehmer beim Arbeiten im Home Office durchaus eigene Gestaltungsmöglichkeiten haben. Beispiele hierfür sind die Nutzung eines Schredders für Papierunterlagen oder des eigenen – vertrauenswürdigen – Internetzugangs. Dagegen sind die Möglichkeiten, die Arbeitsumgebung sicher zu gestalten, beim mobilen Arbeiten deutlich eingeschränkt. Daher ist es durchaus sinnvoll, bei dem Erstellen von Vorgaben und Richtlinien alle drei Arbeitsorte zu bedenken und die Regeln für das sichere Arbeiten entsprechend zu fixieren: für den Arbeitsplatz im Unternehmen, für das Home Office und auch für das mobile Arbeiten.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Beitrag wurde der Zusammenhang zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement aufgezeigt, wobei das Risikomanagement nur kurz angerissen wurde. Wie an dieser Stelle erwähnt wurde, hat der VDA auch zum Risikomanagement ein Whitepaper mit einigen Handreichungen und Vorschlägen herausgegeben.

Wie bei den meisten Methodiken zum Risikomanagement werden auch beim VDA zur Berechnung eines Risikowertes die Eintrittswahrscheinlichkeit und die Schadenshöhe des jeweiligen Risikos miteinander multipliziert. Der VDA unterscheidet hier bei der Schadenshöhe nicht weiter nach spezielleren Schadensarten, wie z.B. Imageschäden oder Personenschäden. Vielmehr orientiert sich der VDA an der Klassifizierung des betroffenen Informationswertes: bei einem Schutzbedarf „sehr hoch“ wird auch von einem „sehr hohen“ Schaden ausgegangen. Ergänzt wird in Anlehnung an die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch die Schutzklasse „niedrig“, sodass sich insgesamt vier mögliche Schadenshöhen ergeben.

Priorisierung und Behandlungsoptionen

Sinn eines Risikomanagements ist es, die betrachteten Risiken sortieren zu können. Die „wichtigsten“ Risiken sollen natürlich zuerst behandelt werden – das sind solche, bei denen das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe am größten ist, die also häufig eintreten und bei jedem Eintreten einen sehr hohen Schaden verursachen. Andere Risiken, bei denen das Produkt kleiner ist (die also entweder seltener eintreten oder aber geringere Schäden hervorrufen), werden natürlich ebenfalls betrachtet. Die Übersicht über alle Risiken, die betrachtet wurden, kann nach dem Ergebnis der Risikoberechnung sortiert werden und liefert so gleich die Reihenfolge der Behandlung der einzelnen Risiken.

Rein intuitiv nehmen die meisten Menschen an, dass es bei der Behandlung eines Risikos zwingend um die Verminderung des Risikos gehen muss, sprich: dass entweder Eintrittswahrscheinlichkeit oder Schadenshöhe verringert werden müssen. Die meisten Risikomethodiken sehen jedoch neben der Verminderung eines Risikos noch weitere sogenannte Behandlungsoptionen vor: Risikovermeidung, Risikotransfer und Risikoakzeptanz. Die Bezeichnungen für diese vier Behandlungsoptionen variieren in den verschiedenen Methodiken zum Risikomanagement zumeist, die zugrundeliegende Idee ist aber ähnlich.

Natürlich kann und muss die genutzte Risikomethodik in einem ISMS an das jeweilige Unternehmen angepasst werden. Der VDA ISA Katalog, der für eine Prüfung nach TISAX® genutzt wird, stellt nur allgemeine Anforderungen an ein Risikomanagement. Allerdings bietet es sich an, bei einer angestrebten Konformität die Handreichungen des VDA zum Risikomanagement zumindest in Betracht zu ziehen.

Neben den großen Themen Asset Management, Risikomanagement und Klassifizierungsschema finden sich noch viele weitere Elemente eines ISMS im VDA ISA Katalog. Einige dieser Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

TISAX® – Informationssicherheit in der Automobilindustrie

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Blogartikel wurden die Schutzziele „Verfügbarkeit“ und „Vertraulichkeit“ für das Arbeiten im Home Office betrachtet. Zunächst wurde die mögliche Verletzung der Vertraulichkeit beim Transport von zumeist physischen Informationswerten zum häuslichen Arbeitsplatz angesprochen. Dies ist aber nicht das einzige Szenario. Man könnte auch hinterfragen, ob sich in den Räumlichkeiten „Smart Home“- oder ähnliche Gerätschaften befinden, wie z.B. die vorrangig im privaten Bereich genutzten Sprachassistenten, smarte Lautsprecher oder Fernsehgeräte mit Sprachsteuerung. Es ist bei solchen Geräten nicht jedem Benutzer immer klar, ob und unter welchen Bedingungen diese Geräte Umgebungsgeräusche aufzeichnen, auswerten oder weitergeben. Eine Verletzung der Vertraulichkeit des gesprochenen Wortes – z.B. in einem dienstlichen Telefonat oder auch in einer privaten Unterhaltung – könnte also durchaus möglich sein.

Schutzziel: Authentizität im Home Office

Neben den beiden bisher erwähnten Schutzzielen erweist sich auch das oft nicht ganz so präsente Schutzziel „Authentizität“ als beachtenswert. Es beinhaltet die überprüfbare „Echtheit“ von Systemen oder auch von Menschen. So möchte man z.B. sicher sein, dass die Webseite der eigenen Hausbank für das Homebanking „authentisch“ ist, also tatsächlich von der eigenen Hausbank stammt und keine gut gemachte Fälschung ist. Übertragen auf das Arbeiten im Home Office stellt sich also die Frage, wie die IT-Abteilung, der Mitarbeiter am Service Desk oder vielleicht sogar die Kollegen sicher sein können, dass ein eingehender Anruf tatsächlich authentisch ist, also wirklich vom eignen Mitarbeiter im Home Office stammt, und nicht von einem Unbefugten oder gar einem Angreifer. Die angezeigte Telefonnummer alleine reicht da nicht aus – sie könnte recht einfach gefälscht werden, was in Deutschland allerdings illegal ist. Auch ein Videobild alleine oder eine Ähnlichkeit in der Stimme sind nicht ausreichend – mit aktueller Technik sind recht erstaunliche Fälschungen von Gesichtern, Mimik und auch Tonfall von realen Menschen in Echtzeit möglich, so genannte „Deep Fakes“. Wie schwierig es ist, hier eine ausreichende Zuverlässigkeit zu erreichen, zeigt insbesondere die permanente Verfeinerung von Verfahren wie z.B. „Videoident“, welches in der Finanzbranche zur Legitimationsprüfung mittels Videokonferenz dient.

Lösungsmöglichkeit: Mehrere Faktoren im Home Office

Eine Möglichkeit, wie sichergestellt werden kann, dass ein Anruf auch tatsächlich von dem Mitarbeiter im Home Office stammt, wäre ein Rückruf zu der in den internen Stammdaten hinterlegten Rufnummer, z.B. auf das dienstliche Mobiltelefon. Eine mögliche Alternative könnte die Abfrage der Personalnummer sein, die als weiteres Merkmal zur Sicherstellung der Authentizität herangezogen werden könnte. Generell ist es für solche Szenarien immer eine gute Idee, einen zweiten Faktor mit einzubinden, sei es der Faktor „Wissen“ (wie beschrieben, die Personalnummer) oder der Faktor „Besitz“, wie z.B. bei der Nutzung einer Authenticator App auf einem Mobiltelefon. Dieser Ratschlag zur Nutzung von Zwei- oder Mehrfaktorauthentifikation gilt generell, nicht nur für das Arbeiten im Home Office.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der “Internen Audits” bei der Überprüfung der Wirksamkeit des ISMS.

Interne Audits

Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” habe ich mich in der Vergangenheit in einigen Artikeln gewidmet. Das Thema “Managementbewertung” wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt “Interne Audits” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss in geplanten Abständen interne Audits durchführen, …”. Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden.

Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen.

Auditprogramm

Ein Auditprogramm plant ein oder mehrere Audits, wobei “mehrere” der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits:

  • Häufigkeit und zeitliche Lage der Audits
  • Methoden (Dokumentensichtung, Befragung vor Ort etc.)
  • Verantwortlichkeiten
  • Anforderungen an die Planung
  • Berichterstattung
  • Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert)
  • Auditoren

Das  Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden.

Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten.

In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja bereits im vorherigen Artikel erwähnt.

Im vorherigen Blogbeitrag wurden bereits zwei wesentliche Elemente bei der Umsetzung von Informationssicherheit erwähnt, Asset Management und Klassifizierung. Diese beiden Elemente stehen in einem engen Zusammenhang zu einem weiteren Baustein, dem Risikomanagement. Dabei werden verschiedene Umstände – „Risikoszenarien“ – aufgenommen und untersucht, um herauszufinden, welche dieser Szenarien besonders schädliche Auswirkungen auf das eigene Unternehmen haben. Dies ist der Fall, wenn das entsprechende Szenario entweder besonders häufig eintritt, oder aber bei jedem Eintreten besonders hohe Schäden hervorruft. Im schlimmsten Fall trifft beides zu – besonders hohe Schäden und ein häufiges Eintreten …

Der Zusammenhang zum Assetmanagement entsteht dadurch, dass ein tatsächlich eintretendes Risikoszenario ein oder mehrere Assets zumindest beeinträchtigt, vielleicht sogar beschädigt oder zerstört. Daher wird auf die Assetliste (d.h. die Übersicht mit allen relevanten Informationswerten) zurückgegriffen, um bei der Risikobeurteilung zu erkennen, welche Assets von dem untersuchten Risikoszenario bedroht werden. Anders ausgedrückt: um passende Schutzmaßnahmen zu finden, muss man vorher wissen, was man schützen will.

Auch zwischen dem Klassifizierungsschema und dem Risikomanagement kann man eine Verbindung ziehen. Hierzu ein Beispiel:

Wie im vorherigen Artikel beschrieben, enthält das Klassifizierungsschema Vorgaben, wie mit entsprechend klassifizierten Informationen umzugehen ist. Die Klassifizierung als „vertraulich“ – und damit verbunden natürlich auch die Markierung als „vertraulich“ – könnte z.B. mit dem Verbot des Mitnehmens in das Home Office verbunden sein. Aus der Klassifizierung als „vertraulich“ folgt also das Verbot des Mitnehmens in das Home Office, somit sinkt die Wahrscheinlichkeit, dass das Risikoszenario „Offenlegung vertraulicher Informationen gegenüber Familienmitgliedern“ tatsächlich eintritt. Das Risiko wurde verringert.

Zusammenwirken einzelner Elemente eines ISMS

Dieses Beispiel zeigt, wie die einzelnen Bestandteile und Elemente eines Informationssicherheits-Managementsystems (ISMS) oftmals zusammenwirken. Dabei spielt es keine Rolle, ob als Standard TISAX®, die ISO 27001, der BSI IT-Grundschutz oder eine andere Methodik genutzt wird. Es zeigt aber auch, dass in den meisten Fällen nicht einfach einzelne Elemente des ISMS weggelassen werden können.

Der VDA hat, wie auch für das Thema Klassifizierung, ein Whitepaper zum Risikomanagement herausgegeben, welches Vorschläge und Handreichungen zur Ausgestaltung des eigenen Risikomanagements enthält. Aber auch mit diesem Whitepaper ist eine Anpassung des Risikomanagements an die Gegebenheiten im eigenen Unternehmen immer noch notwendig.

Asset Management, Risikomanagement und Klassifizierungsschema sind jedoch bei weitem nicht die einzigen Elemente eines ISMS nach TISAX®. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar: 

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Ein effektives Notfallmanagement ist in der heutigen digitalen Welt unerlässlich, um die Betriebskontinuität von Unternehmen sicherzustellen. Insbesondere in der IT, wo Ausfälle und Sicherheitsverletzungen häufig auftreten oder auch Angriffe von außen immer mehr zu nehmen, ist es von entscheidender Bedeutung, über die richtigen Vorkehrungen und Erkenntnisse zu verfügen, um auf Notfälle angemessen reagieren zu können.

Ein Unternehmen sollte sein Notfallmanagement aufbauen, indem es die folgenden Schritte beachtet:

  1. Risikoanalyse: Identifizieren Sie potenzielle Risiken und Bedrohungen, denen Ihr Unternehmen ausgesetzt sein könnte
  2. Notfallplanung: Entwickeln Sie einen umfassenden Notfallplan, der klare Anweisungen und Verantwortlichkeiten für den Umgang mit verschiedenen Arten von Notfällen enthält.
  3. Kommunikation: Stellen Sie sicher, dass alle Mitarbeiter über den Notfallplan informiert sind und wissen, wie sie im Falle eines Notfalls handeln sollen.
  4. Ressourcenmanagement: Identifizieren Sie die notwendigen Ressourcen, die für den Umgang mit Notfällen benötigt werden
  5. Schulung und Übung: Führen Sie regelmäßige Schulungen und Übungen durch, um sicherzustellen, dass Ihre Mitarbeiter mit dem Notfallplan vertraut sind und wissen, wie sie in einem Notfall reagieren sollen.
  6. Bewertung und Verbesserung: Überprüfen Sie regelmäßig Ihr Notfallmanagement und führen Sie Bewertungen durch, um festzustellen, ob Verbesserungen möglich sind.

Wichtig ist dabei zu beachten, dass jedes Unternehmen individuelle Risiken und Bedürfnisse hat. Es ist daher sinnvoll, sich externe Unterstützung zu holen.

Durchaus ratsam sind auch einige grundlegende Vorkehrungen zu treffen, um im Notfall weiterarbeiten zu können.

Erfahren Sie in unserem BCM Seminar anhand von konkreten Beispielen und Übungen, die zu Ihrem Unternehmen passen, wie Sie effektive Notfallpläne erstellen, Schwachstellen in Ihrer aktuellen Notfallvorsorge erkennen und Gegenmaßnahmen einleiten.

Was Sie noch interessieren könnte…

Seminar:

“BUSINESS CONTINUITY MANAGEMENT (BCM) NACH ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Nachdem der Schwerpunkt der ersten Blogartikel eher auf technischen Fragstellungen gelegen hat, wurden in den letzten Beiträgen organisatorische und eher „softe“ Themen betrachtet, wie z.B. die Einbindung der Mitarbeiter in den innerbetrieblichen Informationsfluss oder die Notwendigkeit, bestehende Regelungen auf ihre Anwendbarkeit im Home Office zu prüfen und gegebenenfalls anzupassen. Zusätzlich sollten jedoch noch einige weitere Punkte betrachtet werden.

Schutzziel: Verfügbarkeit im Home Office

Die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität bilden die Basis vieler Überlegungen zur Informationssicherheit. Das Schutzziel Verfügbarkeit kann durch das Arbeiten im Home Office beeinträchtigt werden – wenn Informationswerte, insbesondere wenn es physische Informationswerte sind, in das Home Office mitgenommen werden. Nicht nur, dass diese Informationswerte den Mitarbeitern am Firmenstandort nicht mehr zur Verfügung stehen, es muss auch sichergestellt sein, dass diese Informationswerte wieder zurückgeführt werden. Es bietet sich daher an, z.B. im Klassifizierungsschema für physische Informationswerte entsprechende Handhabungsvorgaben zu machen, und natürlich muss der Verbleib des Informationswertes in der Inventarliste dokumentiert werden.

Diese Überlegung betrifft zumeist physische Informationswerte wie z.B. Modelle, Prototypen, Bauteile und auch ganze Systeme, weil diese Dinge sich oft nur schlecht vervielfältigen lassen. Elektronische Informationswerte sind dagegen oftmals vergleichsweise einfach zu duplizieren – es sei denn, die Vervielfältigung ist verboten oder wird technisch unterbunden.

Schutzziel: Vertraulichkeit

Auch für das Schutzziel der Vertraulichkeit finden sich solche nicht offensichtlichen Fragestellungen, wie z.B. die Überlegung, ob der Transport von Informationswerten zwischen dem Firmenstandort und dem häuslichen Arbeitsplatz ausreichend abgesichert ist. Es kann durchaus geschehen, dass ein Laptop gestohlen wird, dass eine Tasche in der S-Bahn vergessen wird oder man durch einen Unfall die mitgeführten Informationswerte nicht mehr wie vorgesehen beaufsichtigen kann. Der Verlust eines Laptops wird in diesen Fällen vielleicht vergleichsweise unproblematisch sein, da er hoffentlich verschlüsselt ist. Aber wie sieht es mit anderen mitgeführten Informationswerten aus, vor allem mit den weiter oben beschriebenen physischen Informationswerten?

Und noch ein Gedanke sollte bei den Vorgaben für das Arbeiten im Home Office betrachtet werden. Bei unternehmenseigenen Informationswerten müssen bei den Regelungen nur die eigenen Anforderungen und Einschätzungen berücksichtigt werden. Bei unternehmensfremden Informationswerten müssen vor allem die Vorgaben des Eigentümers der Informationswerte berücksichtigt werden. Es ist also möglich, dass das Mitführen oder Nutzen unternehmensfremder Informationswerte aus vertraglicher Sicht nicht zulässig ist.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!