, ,

Sicheres Arbeiten im Home Office – Wer spricht da?

Im vorherigen Blogartikel wurden die Schutzziele „Verfügbarkeit“ und „Vertraulichkeit“ für das Arbeiten im Home Office betrachtet. Zunächst wurde die mögliche Verletzung der Vertraulichkeit beim Transport von zumeist physischen Informationswerten zum häuslichen Arbeitsplatz angesprochen. Dies ist aber nicht das einzige Szenario. Man könnte auch hinterfragen, ob sich in den Räumlichkeiten „Smart Home“- oder ähnliche Gerätschaften befinden, wie z.B. die vorrangig im privaten Bereich genutzten Sprachassistenten, smarte Lautsprecher oder Fernsehgeräte mit Sprachsteuerung. Es ist bei solchen Geräten nicht jedem Benutzer immer klar, ob und unter welchen Bedingungen diese Geräte Umgebungsgeräusche aufzeichnen, auswerten oder weitergeben. Eine Verletzung der Vertraulichkeit des gesprochenen Wortes – z.B. in einem dienstlichen Telefonat oder auch in einer privaten Unterhaltung – könnte also durchaus möglich sein.

Schutzziel: Authentizität im Home Office

Neben den beiden bisher erwähnten Schutzzielen erweist sich auch das oft nicht ganz so präsente Schutzziel „Authentizität“ als beachtenswert. Es beinhaltet die überprüfbare „Echtheit“ von Systemen oder auch von Menschen. So möchte man z.B. sicher sein, dass die Webseite der eigenen Hausbank für das Homebanking „authentisch“ ist, also tatsächlich von der eigenen Hausbank stammt und keine gut gemachte Fälschung ist. Übertragen auf das Arbeiten im Home Office stellt sich also die Frage, wie die IT-Abteilung, der Mitarbeiter am Service Desk oder vielleicht sogar die Kollegen sicher sein können, dass ein eingehender Anruf tatsächlich authentisch ist, also wirklich vom eignen Mitarbeiter im Home Office stammt, und nicht von einem Unbefugten oder gar einem Angreifer. Die angezeigte Telefonnummer alleine reicht da nicht aus – sie könnte recht einfach gefälscht werden, was in Deutschland allerdings illegal ist. Auch ein Videobild alleine oder eine Ähnlichkeit in der Stimme sind nicht ausreichend – mit aktueller Technik sind recht erstaunliche Fälschungen von Gesichtern, Mimik und auch Tonfall von realen Menschen in Echtzeit möglich, so genannte „Deep Fakes“. Wie schwierig es ist, hier eine ausreichende Zuverlässigkeit zu erreichen, zeigt insbesondere die permanente Verfeinerung von Verfahren wie z.B. „Videoident“, welches in der Finanzbranche zur Legitimationsprüfung mittels Videokonferenz dient.

Lösungsmöglichkeit: Mehrere Faktoren im Home Office

Eine Möglichkeit, wie sichergestellt werden kann, dass ein Anruf auch tatsächlich von dem Mitarbeiter im Home Office stammt, wäre ein Rückruf zu der in den internen Stammdaten hinterlegten Rufnummer, z.B. auf das dienstliche Mobiltelefon. Eine mögliche Alternative könnte die Abfrage der Personalnummer sein, die als weiteres Merkmal zur Sicherstellung der Authentizität herangezogen werden könnte. Generell ist es für solche Szenarien immer eine gute Idee, einen zweiten Faktor mit einzubinden, sei es der Faktor „Wissen“ (wie beschrieben, die Personalnummer) oder der Faktor „Besitz“, wie z.B. bei der Nutzung einer Authenticator App auf einem Mobiltelefon. Dieser Ratschlag zur Nutzung von Zwei- oder Mehrfaktorauthentifikation gilt generell, nicht nur für das Arbeiten im Home Office.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
,

Wirksamkeitsmessung im ISMS – Interne Audits

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der “Internen Audits” bei der Überprüfung der Wirksamkeit des ISMS.

Interne Audits

Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” habe ich mich bereits in einigen Artikeln gewidmet. Das Thema “Managementbewertung” wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt “Interne Audits” gehen.

Die ISO 27001:2022 fordert: “Die Organisation muss in geplanten Abständen interne Audits durchführen, …”. Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden.

Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen.

Auditprogramm

Ein Auditprogramm plant ein oder mehrere Audits, wobei “mehrere” der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits:

  • Häufigkeit und zeitliche Lage der Audits
  • Methoden (Dokumentensichtung, Befragung vor Ort etc.)
  • Verantwortlichkeiten
  • Anforderungen an die Planung
  • Berichterstattung
  • Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert)
  • Auditoren

Das  Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden.

Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten. Auch Empfehlungen zur Verbesserung bieten einen Anlass, den entsprechenden Bereich bzw. das entsprechende Thema erneut zu auditieren.

In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 2

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja bereits im vorherigen Artikel erwähnt.

Im vorherigen Blogbeitrag wurden bereits zwei wesentliche Elemente bei der Umsetzung von Informationssicherheit erwähnt, Asset Management und Klassifizierung. Diese beiden Elemente stehen in einem engen Zusammenhang zu einem weiteren Baustein, dem Risikomanagement. Dabei werden verschiedene Umstände – „Risikoszenarien“ – aufgenommen und untersucht, um herauszufinden, welche dieser Szenarien besonders schädliche Auswirkungen auf das eigene Unternehmen haben. Dies ist der Fall, wenn das entsprechende Szenario entweder besonders häufig eintritt, oder aber bei jedem Eintreten besonders hohe Schäden hervorruft. Im schlimmsten Fall trifft beides zu – besonders hohe Schäden und ein häufiges Eintreten …

Der Zusammenhang zum Assetmanagement entsteht dadurch, dass ein tatsächlich eintretendes Risikoszenario ein oder mehrere Assets zumindest beeinträchtigt, vielleicht sogar beschädigt oder zerstört. Daher wird auf die Assetliste (d.h. die Übersicht mit allen relevanten Informationswerten) zurückgegriffen, um bei der Risikobeurteilung zu erkennen, welche Assets von dem untersuchten Risikoszenario bedroht werden. Anders ausgedrückt: um passende Schutzmaßnahmen zu finden, muss man vorher wissen, was man schützen will.

Auch zwischen dem Klassifizierungsschema und dem Risikomanagement kann man eine Verbindung ziehen. Hierzu ein Beispiel:

Wie im vorherigen Artikel beschrieben, enthält das Klassifizierungsschema Vorgaben, wie mit entsprechend klassifizierten Informationen umzugehen ist. Die Klassifizierung als „vertraulich“ – und damit verbunden natürlich auch die Markierung als „vertraulich“ – könnte z.B. mit dem Verbot des Mitnehmens in das Home Office verbunden sein. Aus der Klassifizierung als „vertraulich“ folgt also das Verbot des Mitnehmens in das Home Office, somit sinkt die Wahrscheinlichkeit, dass das Risikoszenario „Offenlegung vertraulicher Informationen gegenüber Familienmitgliedern“ tatsächlich eintritt. Das Risiko wurde verringert.

Zusammenwirken einzelner Elemente eines ISMS

Dieses Beispiel zeigt, wie die einzelnen Bestandteile und Elemente eines Informationssicherheits-Managementsystems (ISMS) oftmals zusammenwirken. Dabei spielt es keine Rolle, ob als Standard TISAX®, die ISO 27001, der BSI IT-Grundschutz oder eine andere Methodik genutzt wird. Es zeigt aber auch, dass in den meisten Fällen nicht einfach einzelne Elemente des ISMS weggelassen werden können.

Der VDA hat, wie auch für das Thema Klassifizierung, ein Whitepaper zum Risikomanagement herausgegeben, welches Vorschläge und Handreichungen zur Ausgestaltung des eigenen Risikomanagements enthält. Aber auch mit diesem Whitepaper ist eine Anpassung des Risikomanagements an die Gegebenheiten im eigenen Unternehmen immer noch notwendig.

Asset Management, Risikomanagement und Klassifizierungsschema sind jedoch bei weitem nicht die einzigen Elemente eines ISMS nach TISAX®. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar: 

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Ein Notfallmanagement systematisch einführen

Ein effektives Notfallmanagement ist in der heutigen digitalen Welt unerlässlich, um die Betriebskontinuität von Unternehmen sicherzustellen. Insbesondere in der IT, wo Ausfälle und Sicherheitsverletzungen häufig auftreten oder auch Angriffe von außen immer mehr zu nehmen, ist es von entscheidender Bedeutung, über die richtigen Vorkehrungen und Erkenntnisse zu verfügen, um auf Notfälle angemessen reagieren zu können.

Ein Unternehmen sollte sein Notfallmanagement aufbauen, indem es die folgenden Schritte beachtet:

  1. Risikoanalyse: Identifizieren Sie potenzielle Risiken und Bedrohungen, denen Ihr Unternehmen ausgesetzt sein könnte
  2. Notfallplanung: Entwickeln Sie einen umfassenden Notfallplan, der klare Anweisungen und Verantwortlichkeiten für den Umgang mit verschiedenen Arten von Notfällen enthält.
  3. Kommunikation: Stellen Sie sicher, dass alle Mitarbeiter über den Notfallplan informiert sind und wissen, wie sie im Falle eines Notfalls handeln sollen.
  4. Ressourcenmanagement: Identifizieren Sie die notwendigen Ressourcen, die für den Umgang mit Notfällen benötigt werden
  5. Schulung und Übung: Führen Sie regelmäßige Schulungen und Übungen durch, um sicherzustellen, dass Ihre Mitarbeiter mit dem Notfallplan vertraut sind und wissen, wie sie in einem Notfall reagieren sollen.
  6. Bewertung und Verbesserung: Überprüfen Sie regelmäßig Ihr Notfallmanagement und führen Sie Bewertungen durch, um festzustellen, ob Verbesserungen möglich sind.

Wichtig ist dabei zu beachten, dass jedes Unternehmen individuelle Risiken und Bedürfnisse hat. Es ist daher sinnvoll, sich externe Unterstützung zu holen.

Durchaus ratsam sind auch einige grundlegende Vorkehrungen zu treffen, um im Notfall weiterarbeiten zu können.

Erfahren Sie in unserem BCM Seminar anhand von konkreten Beispielen und Übungen, die zu Ihrem Unternehmen passen, wie Sie effektive Notfallpläne erstellen, Schwachstellen in Ihrer aktuellen Notfallvorsorge erkennen und Gegenmaßnahmen einleiten.

Was Sie noch interessieren könnte…

Seminar:

“BUSINESS CONTINUITY MANAGEMENT (BCM) NACH ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Sicheres Arbeiten im Home Office – Was sonst noch bleibt…

Nachdem der Schwerpunkt der ersten Blogartikel eher auf technischen Fragstellungen gelegen hat, wurden in den letzten Beiträgen organisatorische und eher „softe“ Themen betrachtet, wie z.B. die Einbindung der Mitarbeiter in den innerbetrieblichen Informationsfluss oder die Notwendigkeit, bestehende Regelungen auf ihre Anwendbarkeit im Home Office zu prüfen und gegebenenfalls anzupassen. Zusätzlich sollten jedoch noch einige weitere Punkte betrachtet werden.

Schutzziel: Verfügbarkeit im Home Office

Die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität bilden die Basis vieler Überlegungen zur Informationssicherheit. Das Schutzziel Verfügbarkeit kann durch das Arbeiten im Home Office beeinträchtigt werden – wenn Informationswerte, insbesondere wenn es physische Informationswerte sind, in das Home Office mitgenommen werden. Nicht nur, dass diese Informationswerte den Mitarbeitern am Firmenstandort nicht mehr zur Verfügung stehen, es muss auch sichergestellt sein, dass diese Informationswerte wieder zurückgeführt werden. Es bietet sich daher an, z.B. im Klassifizierungsschema für physische Informationswerte entsprechende Handhabungsvorgaben zu machen, und natürlich muss der Verbleib des Informationswertes in der Inventarliste dokumentiert werden.

Diese Überlegung betrifft zumeist physische Informationswerte wie z.B. Modelle, Prototypen, Bauteile und auch ganze Systeme, weil diese Dinge sich oft nur schlecht vervielfältigen lassen. Elektronische Informationswerte sind dagegen oftmals vergleichsweise einfach zu duplizieren – es sei denn, die Vervielfältigung ist verboten oder wird technisch unterbunden.

Schutzziel: Vertraulichkeit

Auch für das Schutzziel der Vertraulichkeit finden sich solche nicht offensichtlichen Fragestellungen, wie z.B. die Überlegung, ob der Transport von Informationswerten zwischen dem Firmenstandort und dem häuslichen Arbeitsplatz ausreichend abgesichert ist. Es kann durchaus geschehen, dass ein Laptop gestohlen wird, dass eine Tasche in der S-Bahn vergessen wird oder man durch einen Unfall die mitgeführten Informationswerte nicht mehr wie vorgesehen beaufsichtigen kann. Der Verlust eines Laptops wird in diesen Fällen vielleicht vergleichsweise unproblematisch sein, da er hoffentlich verschlüsselt ist. Aber wie sieht es mit anderen mitgeführten Informationswerten aus, vor allem mit den weiter oben beschriebenen physischen Informationswerten?

Und noch ein Gedanke sollte bei den Vorgaben für das Arbeiten im Home Office betrachtet werden. Bei unternehmenseigenen Informationswerten müssen bei den Regelungen nur die eigenen Anforderungen und Einschätzungen berücksichtigt werden. Bei unternehmensfremden Informationswerten müssen vor allem die Vorgaben des Eigentümers der Informationswerte berücksichtigt werden. Es ist also möglich, dass das Mitführen oder Nutzen unternehmensfremder Informationswerte aus vertraglicher Sicht nicht zulässig ist.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
,

Risikomanagement im ISMS (Teil 4)

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 3)

Kommunikation und Berichtswege im ISMS

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. In diesem Beitrag soll es um die Berichtswege hin zur obersten Leitung eines Unternehmens gehen.

Zuweisung von Verantwortung und Befugnissen zum Berichten

Es ist die Aufgabe der obersten Leitung, also von Geschäftsführern und Vorständen, die Verantwortlichkeit und die Befugnisse für das Berichten über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung, also an sich selbst, zuzuweisen. Mit anderen Worten, wenn die oberste Leitung nichts aus dem ISMS hört, hat sie selbst etwas falsch gemacht. Lassen wir den Fall, dass genau dies beabsichtigt ist, einmal außen vor.

Die Geschäftsführer und Vorstände sollten also zumindest einer Person, meist dem CISO oder Informationssicherheitsbeauftragten, die Pflicht zur Berichterstattung auferlegen. Verbunden mit einem jederzeitigen und unmittelbaren Vortragsrecht sorgt dies dafür, dass die oberste Leitung auch in außergewöhnlichen Situationen, wie akuten Informationssicherheitsvorfällen jederzeit informiert ist. Aber auch andere Themen, die sonst in der Hierarchie und Bürokratie einer Organisation zu versickern drohen, kommen so “ganz oben” an. Kluge Informationssicherheitsbeauftragte werden von diesem Recht nur sehr dosiert Gebrauch machen, so dass die Befürchtung einer Überbeanspruchung der Führung in der Praxis meist unbegründet ist.

Kennzahlen

Kennzahlen bieten ein wichtiges Steuerungsinstrument. Die ISO 27001:2022 fordert dieses Instrument in Kapitel 9.1, der BSI-Standard 200-1 in Kapitel 4.1 “Aufgaben und Pflichten des Managements”. Sich wichtige Kennzahlen regelmäßig berichten zu lassen, ermöglicht es der Führung im Bilde zu bleiben und steuernd eingreifen zu können. Dabei sollten zwei Ebenen abgedeckt werden:

  1. Wirksamkeit des Informationssicherheits-Managementsystems
    Funktioniert mein Managementsystem? Werden alle notwendigen Aktivitäten durchgeführt, wie z.B. Kennzahlenerfassung, Rollenbesetzungen, Risikobewertungen?
  2. Informationssicherheitsleistung
    Was kommt für die Informationssicherheit hinten raus, z.B. wie häufig auf Links in Phishing-E-Mails geklickt wurde oder wie häufig unbegleitete “Fremde” auf dem Betriebsgelände angetroffen wurden?

Auditberichte

Die eigene Organisation sollte regelmäßig in Hinblick auf Informationssicherheit auditiert werden. Die resultierenden Auditberichte zeigen Nichtkonformitäten und Verbesserungspotentiale auf. Eine wichtige Informationsquelle für die Organisationsleitung.

Managementbewertung

In der Managementbewertung bewertet die Geschäftsführung bzw. der Vorstand ihr bzw. sein ISMS. Diese Sichtweise ist wichtig. Wenn es keine spezifischen Anforderungen gibt, so gehört es mindestens zu den allgemeinen Sorgfaltspflichten der Organisationsleitung für ein angemessenes Niveau der Informationssicherheit zu sorgen. Dieser Pflicht kommt sie nach, indem sie ein ISMS einrichtet bzw. einrichten lässt. In der Folge muss sie sich vergewissern, dass dieses System funktioniert und es daher bewerten.

Damit wären die wesentlichen Teile der Kommunikation und Berichtswege an die oberste Leitung im ISMS beschrieben. Wie immer kommt es auch hier darauf an, dies möglichst gut in die Prozesse des Unternehmens zu integrieren. Integration in die Prozesse soll dann auch das Thema des nächsten Artikels dieser Serie werden.

Wie geht es weiter?

Im nächsten Artikel in der Reihe Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer wird es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens gehen.

das Auditprogramme als Steuerungsinstrument der Geschäftsführung bzw. des Vorstandes gehen.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 1

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es heute um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja im vorherigen Artikel kurz erwähnt.

Dieser Katalog erweist sich als eine etwas größere Excel-Tabelle, in der sich neben einigen Hinweisen zum Ablauf Fragen zu 41 Themengebieten der Informationssicherheit finden, die – natürlich – beantwortet werden wollen. Dabei müssen zunächst organisatorische Festlegungen getroffen werden. So soll z.B. festgelegt werden, wer innerhalb einer Organisation für das Thema Informationssicherheit verantwortlich ist, wie Anforderungen der Informationssicherheit auch in Projekten berücksichtigt werden oder wie die Zusammenarbeit zwischen der eigenen IT und unternehmensfremden IT-Dienstleistern geregelt sein soll. Überhaupt geht es bei einem systematischen Aufbau immer – nicht nur bei TISAX® – darum, viele Arbeitsabläufe in Unternehmen in Bezug auf Sicherheitsanforderungen zu betrachten und vielleicht auch erstmalig per Vorgabe unternehmensweit zu regeln.

Grundlagen eines ISMS

Solche Prozesse sind z.B. das Risikomanagement und das Assetmanagement. Unter dem Begriff „Assetmanagement“ versteht man hier die Inventarisierung, Verwaltung, Klassifizierung und Nutzung von allen Arten von Informationswerten. Dazu zählen nicht nur einzelne Dateien oder Anwendungen, der Begriff „Informationswert“ wird hier sehr weit gefasst: auch Prototypen, Zeichnungen auf Papier, Netzwerke, Patente und geistiges Eigentum, Designs werden als Informationswerte betrachtet, aber auch Prozesse, Vertragsbeziehungen oder Menschen in Schlüsselpositionen. Kurzum – alle Dinge, die Informationen enthalten oder für den Ablauf von Geschäftsprozessen benötigt werden, werden beim Assetmanagement betrachtet. Der Grund ist recht einfach: Ich muss wissen, welche Dinge vorhanden sind, damit ich sie angemessen schützen kann.

Assetmanagement und Klassifizierung

Eng verbunden mit dem Assetmanagement ist die Klassifizierung. Schließlich möchte man ja nicht nur wissen, welche Dinge vorhanden sind, sondern auch, wie mit ihnen umgegangen werden soll. Eine Klassifizierung liefert genau solche Handhabungsvorgaben. Hier macht der VDA den Vorschlag, ein vierstufiges Klassifizierungsschema mit den Stufen „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“ zu nutzen. Zu jeder der vier Stufen werden dann in abgestufter Form Handhabungsvorgaben gemacht. So könnte man z.B. festlegen, dass „öffentliche“ Informationen innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. „Interne“ Informationen dagegen dürfen nicht nach Außen gegeben werden, innerhalb des Unternehmens jedoch frei genutzt werden. Zugang zu „vertraulichen“ Informationen erhält man nur mit einer Freigabe des Werteverantwortlichen. Ähnlich werden auch andere Aktivitäten wie Drucken, Versenden per Mail oder die Nutzung im Homeoffice abgestuft geregelt, immer passend zum Schutzbedarf des jeweiligen Informationswertes.

Mit TISAX® werden grundlegende Aktivitäten in einem Informationssicherheitsmanagementsystem nicht neu erfunden, sondern – je nach Bedeutung innerhalb der Automobilindustrie – systematisch abgefragt. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
,

Wie ein effektives Business Continuity Management auch bei Naturkatastrophen hilft

Business Continuity Management (BCM) bezieht sich auf den Prozess der Identifizierung potenzieller Bedrohungen für ein Unternehmen und die Entwicklung eines Rahmens, um sicherzustellen, dass wesentliche Geschäftsfunktionen im Falle einer Störung fortgesetzt werden können.

Das Ziel von BCM ist es, einen Plan zu erstellen, der es dem Unternehmen ermöglicht, schnell auf eine Krise zu reagieren, die Auswirkungen der Krise zu minimieren und sich letztendlich davon zu erholen. Dies beinhaltet die Identifizierung kritischer Geschäftsfunktionen, die Bewertung der Risiken, die diese Funktionen stören könnten, und die Entwicklung von Strategien zur Minderung dieser Risiken.

Ein BCM-Plan umfasst in der Regel einen umfassenden Satz von Verfahren und Protokollen, die im Falle einer Störung, z. B. einer Naturkatastrophe, eines Cyberangriffs oder einer anderen Krise, aktiviert werden können. Der Plan kann Verfahren für die Evakuierung von Mitarbeitern, die Einrichtung von Kommunikationskanälen mit Stakeholdern, die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie das Management von Lieferkettenunterbrechungen umfassen.

Ein effektiver BCM-Plan kann Unternehmen helfen, ihren Ruf zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren. Es kann Unternehmen auch dabei helfen, regulatorische Anforderungen und Industriestandards einzuhalten.

BCM ist ein fortlaufender Prozess, der regelmäßige Überprüfungen und Aktualisierungen erfordert, um sicherzustellen, dass er relevant und effektiv bleibt. Für Unternehmen ist es wichtig, ihre Risiken und Schwachstellen kontinuierlich zu bewerten und ihre BCM-Pläne entsprechend anzupassen.

Ein Beispiel zur Anwendung des Business Continuity Management

Business Continuity Management (BCM) hätte beispielsweise eine wichtige Rolle dabei gespielt, die türkische Bevölkerung bei der Vorbereitung, Reaktion auf und die Erholung von Erdbeben zu unterstützen. Die Türkei ist ein Land, das sich in einer seismisch aktiven Region befindet und in der Vergangenheit zahlreiche Erdbeben erlebt hat, darunter verheerende Erdbeben in den Jahren 1999 und 2020. Hier sind einige Möglichkeiten, wie BCM der türkischen Bevölkerung bei Erdbeben helfen kann:

  1. Bereitschaft: Ein BCM-Plan kann Unternehmen und Organisationen in der Türkei helfen, sich auf Erdbeben vorzubereiten, indem potenzielle Risiken und Schwachstellen identifiziert und Strategien zu deren Eindämmung entwickelt werden. Dies kann die Durchführung regelmäßiger Erdbebenübungen, die Einrichtung von Kommunikationsprotokollen und die Sicherstellung umfassen, dass wichtige Vorräte und Ausrüstung leicht verfügbar sind.
  2. Reaktion: Wenn ein Erdbeben eintritt, kann BCM Unternehmen und Organisationen helfen, schnell und effektiv zu reagieren. Dies kann die Aktivierung von Notfallverfahren, die Evakuierung von Gebäuden und die Einrichtung von Kommunikationskanälen mit den Stakeholdern umfassen. BCM kann auch dazu beitragen, dass kritische Geschäftsfunktionen auch im Katastrophenfall weiter funktionieren.
  3. Wiederherstellung: Nach einem Erdbeben kann BCM Unternehmen und Organisationen in der Türkei helfen, sich so schnell wie möglich zu erholen und den normalen Betrieb wieder aufzunehmen. Dies kann die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie die Entwicklung von Strategien zum Management von Lieferkettenunterbrechungen umfassen. BCM kann auch dazu beitragen, den Ruf von Unternehmen und Organisationen zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren.

Insgesamt kann BCM der Bevölkerung helfen, sich besser auf Naturkatastrophen vorzubereiten, effektiv zu reagieren, wenn sie auftreten, und sich schneller und effizienter zu erholen. Es kann auch dazu beitragen, Leben zu retten, Eigentum zu schützen und die Auswirkungen von Naturkatastrophen auf Unternehmen und Gemeinden zu minimieren.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 2 Teile gewidmet. Alle Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website..

/von
,

Datenschutz in ein bestehendes ISMS integrieren (Teil 4 – Erweiterung des Kontextes)

In den ersten drei Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere um den Kontext im DSMS.

Erweiterung der Normkapitel der ISO 27001:2013 – Kontext im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 4.1 der ISO 27001:2013 “Kontext der Organisation”

Zunächst wird gefordert, dass die Organisation als Teil des Kontextes sich ihrer Rolle als verantwortliche Stelle, als gemeinsame verantwortliche Stelle oder als Auftragsverarbeiter bewusst wird. Eine Organisation kann mehrere dieser Rollen gleichzeitig einnehmen.

Weitere interne und externe Themen, die datenschutzrelevant sind, sind z.B. geltende Datenschutzgesetze, geltende Vorschriften, geltende Gerichtsentscheidungen, eigene Richtlinien und Verfahren oder vertragliche Anforderungen.

Anforderungen zu Kapitel 4.2 “Erfordernisse und Erwartungen interessierter Parteien”

Zusätzlich zu den im Bereich Informationssicherheit identifizierten interessierten Parteien (Stakeholder) müssen die Parteien identifiziert werden, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten haben. Das betrifft insbesondere die betroffenen Personen im datenschutzrechtlichen Sinne (vgl. Art. 4 Abs. 1 DSGVO).
Zu den Anforderungen dieser interssierten Parteine können bestimmte technische und organisatorische Maßnahmen (TOMs) gehören oder auch die Forderung des nachweisbaren Betriebs eines DSMS.

Anforderungen zu Kapitel 4.3 “Festlegung des Anwendungsbereichs”

Bei der Festlegung des Anwendungsbereichs des DSMS muss die gesamte Verarbeitung personenbezogener Daten einbezogen sein. Das bedeutet, außerhalb des DSMS dürfen keine personenbezogenen Daten verarbeitet werden. Der Anwendungsbereich kann daher den des zugrundeliegenden ISMS übersteigen oder sich teilweise oder vollständig mit diesem Decken. Im Extremfall kann es auch zu vollständig überschneidungsfreien Anwendungsbereichen kommen, wenn das ISMS einen sehr speziellen und engen Scope hat. Aus praktischen Gründen sollten im Endausbau des ISMS und des DSMS beide Anwendungsbereiche deckungsgleich sein und die gesamte Organisation umfassen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 beschäftigt sich mit den Themen

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen