Schlagwortarchiv für: ISMS

, ,

Podcast – Security on Air – Heute ISO 27701

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen.

Die ISO 27701 gibt eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheits-Managementsystem zu integrieren.

In unserem Podcast zur ISO 27701 befassen wir uns damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

In unserer Folge “ ISO 27701 – den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ gehen wir auf folgende Aspekte ein:

  • Was ist die ISO 27701 und wie ist sie einzuordnen?
  • Synergien aus einem bereits zertifizierten Managementsystem nutzen
  • Wofür der Aufwand? Nutzen einer Einführung der ISO 27701

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

IT-SiG 2.0: Entsorger werden Teil der kritischen Infrastruktur

Entsorgungsbetriebe sind systemrelevant, das sollte allen klar sein. Das ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bewusst. Daher sollen Entsorgungsbetriebe künftig nach IT-SiG 2.0 zu den kritischen Infrastrukturen gehören.

Durch die Pandemie hat sich gezeigt, dass auch die Entsorger vor neue Herausforderungen gestellt werden. Steigende Abfallmengen aus privaten Haushalten und durch die verminderte Produktion sinkende Abfallmengen aus den gewerblichen Bereichen. Daraus ergibt sich neben einer Wertstoffknappheit z.B. beim Papierrecycling (nichts rein-nichts raus) eine Verschiebung der Abfallströme. Mehr Hausmüll und weniger recyclingfähige Abfälle bringen die Lager und Anlagen der Entsorger z.T. jetzt schon an ihre Kapazitätsgrenzen.

Auch wenn es derzeit noch keine spürbaren Einschränkungen bei der Abfallentsorgung gibt, haben viele Unternehmen der Branche bereits vorgesorgt und flexible Regelungen zum Betriebsmanagement getroffen. Schichtbetrieb, Kleingruppen, räumliche Trennung, die Entsorgungsbetriebe haben schon viele Maßnahmen getroffen, um einen massiven Personalausfall durch COVID-19 Erkrankte zu vermeiden.

Die Einstufung der gesamten Entsorgungswirtschaft als systemrelevant ist in diesem Punkt ein wichtiges politisches Signal. Systemrelevanz ist das Stichwort, unter dem Einrichtungen und Betriebe zusammengefasst werden, die das grundlegende Funktionieren des öffentlichen Lebens aufrechterhalten. Das bringt aber für die Unternehmen auch neue Herausforderungen mit sich. Denn neben den Plänen, um einen Personalausfall zu verhindern muss mit der zukünftigen Einstufung als KRITIS auch der gesamte IT-gestützte Entsorgungsprozess betrachtet werden. Hier gibt es klare Anforderungen an die Betriebe wie das zu bewerten, umzusetzen und nachzuweisen ist.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Mit Security Awareness ist es wie mit dem Geburtstag – einmal im Jahr ist man dran, oder?

Viele Unternehmen erachten Security Awareness als ein notwendiges Übel, das man einmal im Jahr im Rahmen seines Informationssicherheits-Managementsystems (ISMS) behandeln muss. Wieso ist das so und warum kann diese Ansicht gefährlich werden?

Für das Funktionieren von Informationssicherheit im Unternehmen müssen viele Maßnahmen ergriffen werden, da nur so Unternehmenswerte vor Verlusten jeglicher Art geschützt werden können. Zu diesen Maßnahmen gehören beispielsweise technische Lösungen, wie Firewalls, Antivirusprogramme oder Logging Verfahren, aber auch organisatorische Maßnahmen wie das Verwalten von Zutritts-, Zugangs- und Zugriffsrechten. Die Sensibilisierung der Mitarbeiter fällt ebenfalls unter die organisatorischen Maßnahmen, wird aber oft stiefmütterlich behandelt.

Mitarbeiter zu sensibilisieren ist für viele ein scheinbar aufwändiger Kraftakt der überflüssig erscheint. Jeder weiß doch schließlich, dass man nicht auf große rote Buttons in E-Mails klickt, die einen sagen, man hätte etwas gewonnen und könne sich „hier“ jetzt seinen Gewinn abholen. Nur eben schnell noch Vor-, Nachname, Anschrift, Alter, Kontonummer, Anzahl der Kinder, Mädchenname der Mutter und den Namen der ersten Schule, etc. angeben. Und unbekannten USB-Sticks verwendet ja sicher niemand… Natürlich würde jeder behaupten, diese Sachen zu wissen und dass Hacks ja immer nur den anderen passieren. Aber sind wir mal ehrlich, wer ist schon gänzlich gegen seine Menschlichkeit gewappnet. Vermutlich niemand, denn im stressigen Arbeitsalltag denkt man nicht immer an diese Dinge und jedem passieren mal Fehler. Da ist ein Security Vorfall nicht so unwahrscheinlich.

Oft versuchen Unternehmen die Situation zu lösen, indem der Mitarbeiter durch technische Maßnahmen eingeschränkt wird. Dies erscheint manchen vielversprechender als die strukturierte Sensibilisierung von Mitarbeitern. Leider ist das ein Irrglaube. In Fachkreisen wird längst klar kommuniziert, dass der Mensch eines der größten Sicherheitsrisiken darstellt und die Awareness der Mitarbeiter in der Maßnahmenliste priorisiert behandelt werden sollte.

Stellt sich also die Frage, warum nur bei technischen Maßnahmen zyklische Verbesserungsprozesse etabliert und Awareness Maßnahmen meist mit einer jährlichen Schulung der Mitarbeiter abgehandelt werden. Sollte Awareness nicht allgegenwärtig sein und zur Gewohnheit werden?

Wir empfehlen, den Menschen stärker in den Fokus zu setzen. Dies bedeutet eine stärkere und ehrlichere Beurteilung im Risikomanagement und unterschiedliche Maßnahmen zur Vermittlung eines Sicherheitsbewusstseins sowie entsprechende Handlungsvorgaben. Im einfachsten Fall heißt dies, die Konzeption verschiedener Maßnahmen, verteilt über ein Kalenderjahr. Je nach Größe des Scopes empfiehlt es sich auch ein Projekt im Projekt anzulegen. Hier werden dann Kulturen, Gruppen, Wissen, Assets und Schwachstellen analysiert und nach ISMS-Zielen ausgewertet und weiterentwickelt. Somit kann sichergestellt werden, dass in den unternehmenskritischen Bereichen gezielt Wissen aufgebaut wird. Zudem werden didaktisch die Methoden gewählt, die am besten zur jeweiligen Zielgruppe passen.

Beschäftigt man sich mit dem Thema Informationssicherheit, ist Security Awareness nicht so aufwändig wie manche glauben. Die Mühe lohnt sich!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil1)

Zusammensetzung des Projektteams

Dem Verhalten und Agieren der Unternehmensführung kommt im Bereich der Informationssicherheit hohe Bedeutung zu. Da dies in fast allen Bereichen und bei fast allen Themen im Unternehmen der Fall ist, ist diese Erkenntnis weder neu noch originell. Richtig bleibt sie trotzdem.

In der Praxis befindet sich die Informationssicherheit mit vielen anderen Themen in Konkurrenz um die Aufmerksamkeit der obersten Leitungsebene: Datenschutz, Arbeitssicherheit, Compliance etc. Und dabei haben wir über die Notwendigkeiten des eigentlichen Geschäftszweckes noch nicht geredet. Im Ergebnis kommt die Informationssicherheit oft zu kurz und wird „wegdelegiert“. Das ist grundsätzlich verständlich und bis zu einem gewissen Punkt auch statthaft. Die Delegation sollte dann aber sorgfältig erfolgen.

Die Ernennung eines Beauftragten bzw. Verantwortlichen für Informationssicherheit, möge er nun Informationssicherheitsbeauftragter, ISMS-Beauftragter, IT-Security-Manager, CISO oder anders heißen, ist der erste wichtige Schritt. Für die Einführung eines ISMS ist sodann ein Projektteam zu bilden. Auch diese Phase sollte der Vorstand bzw. die Geschäftsführung noch aktiv begleiten. Informationssicherheit ist kein IT-Thema, sondern ein Unternehmensthema. Viele Bereiche und Abteilungen sind beteiligt, u. a.: Personalabteilung, Einkauf, Legal & Compliance und natürlich die IT. Dementsprechend sollte das Team für die Einführung eines ISMS interdisziplinärer besetzt werden. IT ist ein sehr wichtiger, wahrscheinlich der umfangreichste Teilbereich im ISMS; zu techniklastig sollte das Team aber nicht sein.

Die richtige Zusammensetzung des Projektteams für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 ist für den Erfolg sehr wichtig. Vorstände und Geschäftsführer sollten daher die grundlegende Funktionsweise eines ISMS verstehen sowie ihre eigenen Aufgaben und Möglichkeiten innerhalb des Systems sowie ihre Gestaltungsmöglichkeiten am System kennen.

Es heißt, der Unterschied zwischen Delegieren und Abschieben sei der, dass man sich beim Delegieren weiterhin für die Ergebnisse interessiert. In diesem Sinne werden wir uns in den nächsten Folgen dieser Artikelserie mit weiteren Aspekten des ISMS aus der Perspektive der obersten Leitung beschäftigen, z.B. mit der Aufbauorganisation, dem Berichtswesen und der Kommunikation im laufenden Betrieb eines ISMS.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt mit hohen Anforderungen, neuen kritischen Infrastrukturen (KRITIS) und noch höheren Bußgeldern.

Bereits im Dezember 2020 hat der Bundestag den Referentenentwurf des neuen IT-SiG 2.0 verabschiedet. Diese Version des Gesetzes kommt mit neuen Hürden für die Betreiber kritischer Infrastrukturen, weitreichenderen Befugnissen für das BSI und Bußgeldern, die sich in der Höhe an denen der DS-GVO orientieren. Zukünftig werden auch die Entsorger als kritische Infrastruktur behandelt und zudem ist vorgesehen, das Gesetz auf weitere Unternehmen von „öffentlichem Interesse“ auszuweiten. Welche Unternehmen das genau sind, bleibt bisher jedoch offen – es könnte sich dabei neben Unternehmen aus der Rüstungsindustrie auch um die Top 100 und DAX-Unternehmen handeln.

Diese gesetzlich verordnete Sicherheit sieht auch massive Änderungen für die Sicherheitsstandards vor. Bisher wurden die Anforderungen nur implizit durch die Einführung und Etablierung eines ISMS nach ISO 27001 oder den Branchenstandards B3S benannt.

Jetzt wird jedoch explizit ein System zur Angriffserkennung (SIEM) gefordert. Demnach muss vom Unternehmen künftig, nachgewiesen werden, dass es funktionierende technische und organisatorische Prozesse gibt, die eine zuverlässige Erkennung von Angriffsversuchen gewährleisten. Zusätzlich wird es mit dem Inkrafttreten des IT-SiG 2.0 eine Meldepflicht bei Verwendung von „als nicht vertrauenswürdig eingestuften Komponenten“ geben, sofern diese in kritischen Bereichen eingesetzt werden. Die Einstufung, welche Komponenten als nicht vertrauenswürdig gelten, wird künftig über das BSI erfolgen. Die Betreiberunternehmen müssen den Nachweis erbringen, dass nur entsprechend gekennzeichnete Komponenten eingesetzt werden oder ggf. einen Rückbau oder Austausch veranlassen.

Das BSI erhält weitere Befugnisse und darf damit auch aktiv Portscans durchführen und Honeypots oder Sinkholes betreiben, um Schwachstellen und Angriffsszenarien aufzuspüren. Zudem werden Unternehmen verpflichtet, noch aktiver Vorfälle zu melden deren Daten und Informationen dann beim BSI erfasst und für bis zu 18 Monaten gespeichert werden – dazu zählen möglicherweise dann auch personenbezogene Daten.

KRITIS-Betreiber sollten sich also bereits jetzt, insbesondere bei der Umsetzung neuer Projekte, mit den Anforderungen des IT-SiG 2.0 beschäftigen und diese proaktiv berücksichtigen. Dies erspart Zeit und Nachbesserungsaufwand und verschafft ggf. einen zeitlichen Vorteil bei den Umsetzungsfristen. Vermutlich werden diese aufgrund der zunehmenden Cyber-Angriffe entsprechend kurz ausfallen.

 

/von

Risikomanagement im ISMS (Teil 2)

Identifikation von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. In diesem zweiten Teil soll es um die Risikoidentifikation gehen.

Grundlage der Risikoidentifikation sind die Werte bzw. die Informationswerte des Unternehmens. Ihre Inventarisierung ist ein Muss. Nun gilt es, Gefährdungen für diese Werte zu identifizieren. Ausgangspunkt hierfür können bestehende Gefährdungskataloge sein, wie sie z.B. im Anhang der ISO 27005 oder im BSI IT-Grundschutzkompendium dargestellt werden. In solchen Katalogen finden sich verständlicherweise nur allgemeine, für viele Organisationen zutreffende Gefährdungen wieder. Daher ist es notwendig, darüber hinausgehende spezifische Gefährdungen für die eigene Organisation und die eigenen Werte zu identifizieren.

Eine klassische Methode zur Identifikation spezifischer Risiken sind Experteninterviews. Experten sind dabei u.a. die Kollegen, die mit den gefährdeten Werten täglich zu tun haben, insbesondere auch die Werteverantwortlichen (asset owner i.S. der ISO 27011.2013 A.8.1.2). Sie kennen typische Gefahren und können diese benennen. So finden wir auch Risiken, die das zentrale Risikomanagement niemals entdeckt hätte. Zu Beginn, in den ersten Durchläufen des Risikomanagements, eignen sich gut freie Interviews, bei denen man die Experten „einfach mal reden lässt“. Später können diese Interviews strukturierter durchgeführt werden, was die Auswertung erheblich vereinfacht.

Ein Beispiel für eine geeignete Kreativmethode zur Risikoidentifikation ist die Kopfstandtechnik, auch Umkehrtechnik oder Flip-Flop-Technik genannt. Dabei geht es darum, einmal zu überlegen, wie man ein Risiko selbst herbeiführen bzw. verwirklichen könnte, z.B. „Was müssen wir tun, um erfolgreich Datenträger aus dem Unternehmen herauszuschmuggeln?“ Die Methode soll zum Entwickeln ungewöhnlicher Ansätze anregen und so Risiken sichtbar machen, auf die man aus der Verteidigersicht nicht oder nur schwer gekommen wäre. Und Spaß macht es auch noch, zumindest im Gedanken einmal der Bösewicht sein zu dürfen.

Die nächste Folge dieser Reihe wird sich mit der Analyse und Bewertung der identifizierten Risiken beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Sicheres Arbeiten im Home Office – leicht gesagt, …

… denn es stellt sich oft nicht die Wahlmöglichkeit, sehr frei nach einem deutschen Politiker: „Lieber gar kein Home Office, als ein schlechtes Home Office.“ In der ersten Welle der Corona-Pandemie galt es vorrangig „den Laden am Laufen zu halten“, und entsprechend hemdsärmelig waren viele Lösungen – geschuldet der Tatsache, dass innerhalb kürzester Zeit umgesetzt werden musste, was sonst Wochen, wenn nicht Monate oder gar Jahre der Vorbereitung bedurft hätte.  Ein gutes Jahr später stellen sich andere Fragen: Wie kann ich das Home Office als Dauerlösung sicherer machen? Wie bekomme ich meine Mitarbeiter aus dem Home Office wieder zurück?

Dabei gehört zum sicheren Arbeiten im Home Office weit mehr als nur eine Einwahlmöglichkeit ins Firmennetz oder die Verteilung von Notebooks. Die Situation in den heimischen vier Wänden unterscheidet sich deutlich von der an der Arbeitsstelle. Im Büro kann man bei einem Kaffee mit einem Kollegen dienstliche Angelegenheit besprechen – zu Hause beaufsichtigt man das Kind parallel zum E-Mail lesen. Im Büro gibt es Hilfe von der IT-Abteilung – zu Hause ist man selbst die IT-Abteilung. Im Büro hat man eine feste Telefonnummer – zu Hause sucht man nach einer passenden Plattform für Videokonferenzen.  Im Büro schaut sich der Betriebsarzt die Arbeitsplatzergonomie an – zu Hause sitzt man am Küchentisch. Im Büro …

Sie sehen – für das sichere Arbeiten im Home Office muss ein breites Spektrum an rechtlichen, methodischen, organisatorischen, psychologischen und auch technischen Fragen beantwortet werden. Und zwar nicht von der IT-Abteilung allein, sondern auch vom Unternehmen selbst sowie den beteiligten Sozialpartnern: Wie gestalten wir Home Office in Zukunft? Welche Chancen ergeben sich dadurch für unser Unternehmen? Wie erreiche ich im Home Office ein Sicherheitsniveau, das vergleichbar ist mit dem Büroarbeitsplatz?

Wir sind der festen Überzeugung, dass auch nach dem Ende der Corona-Pandemie Home Office eine wesentlich höhere Verbreitung als vorher haben wird – nur sicher muss es sein!

Als Anregung haben wir in unserem Downloadbereich eine kleine Liste mit solchen Hinweisen, die sonst oft übersehen werden. Sollten Sie weitergehende Unterstützung bei der Absicherung des Home Office benötigen, wenden Sie sich gerne an uns.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von

Risikomanagement im ISMS (Teil 1)

Einführung

Durch ein Informationssicherheits-Managementsystem (ISMS) werden Verfügbarkeit, Vertraulichkeit und Integrität von Unternehmenswerten dauerhaft sichergestellt. Die Auswahl der angemessenen Maßnahmen erfolgt dabei grundsätzlich risikobasiert. Nur so kann vermieden werden, dass die stets knappen Ressourcen ineffizient eingesetzt werden.

Häufig werden Risiken aus dem Bauch heraus beurteilt. Die Gefahr, dass dabei Risiken überbewertet, unterschätzt oder schlicht übersehen werden, ist sehr groß. Die Auswahl der umzusetzenden Maßnahmen erfolgt heute oft aufmerksamkeitsbasiert. Die Corona Pandemie und der Umgang mit ihr zeigen uns dies täglich sehr eindrucksvoll.

Beim Risikomanagement im ISMS werden vorhandene Informationssicherheitsrisiken strukturiert identifiziert, erfasst und bezüglich ihrer Eintrittswahrscheinlichkeit und ihres potentiellen Schadensausmaßes analysiert und bewertet. Mit den erlangten Erkenntnissen können die Verantwortlichen entscheiden, wie mit den Risken umgegangen werden soll. Reduzieren, Vermeiden, Übertragen oder auch einfach Beibehalten sind dabei die vier grundlegenden Risikobehandlungsoptionen. Auf dieser Basis werden nachfolgendend Maßnahmen ausgewählt und von den Verantwortlichen genehmigt. Die erwarteten Restrisiken werden von ihnen akzeptiert. Die Umsetzung der Risikobehandlungsmaßnahmen wird geplant und die Planung umgesetzt.

Risiken müssen laufend überwacht und ihre Analyse und Bewertung regelmäßig und auch anlassbezogen überprüft werden. Dies führt im Ergebnis zu einem Informationssicherheits-Risikomanagementsystem (ISRM). Für ein solches gibt es diverse Vorschläge, Normen und Standards. In der ISO 27000er-Reihe macht die ISO 27005 ein entsprechendes Angebot.

Die Auswahl der grundlegenden Vorgehensweise sowie die konkrete Ausgestaltung muss dabei immer dem einzelnen Unternehmen und seinem Kontext angepasst werden. Nur so ist eine jeweils passende und auch angemessen Vorgehensweise gewährleistet. Deutliche Unterschiede gibt es z.B. bei der Verteilung der Verantwortlichkeiten und Kompetenzen sowie bei den genutzten Methoden. Im Ergebnis unterscheidet sich dann das Risikomanagement einer Behörde deutlich von dem eines agilen Softwareentwicklungsunternehmens.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?

Könnten Sie auf Anhieb einen ungeschliffenen Diamanten von einem einfachen Glaskristall unterscheiden? Oder sieht er auf den ersten Blick nur aus wie ein Stein?
Um den wahren Wert zu erkennen, muss also nachgemessen werden. Und dabei sagt nicht etwa die Größe oder das Gewicht etwas über die Natur des Steines aus, sondern die chemische Zusammensetzung.

Genauso ist es auch bei der Bewertung eines Informationssicherheitssystemes. Es muss nicht nur geprüft werden, ob das System eingeführt und umgesetzt ist, es müssen auch die richtigen Werte gemessen werden, um zu sehen ob es richtig läuft.

Die ISO 27001 schreibt in Kapitel 9 die Bewertung der Leistung vor. Allerdings überlässt sie es der Organisation „was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen“ sowie „die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen“ (ISO/IEC 27001:2013, 9.1a) und 9.1b)). Begrenzt hilfreich ist die ISO/IEC 27004 „Monitoring, Measurement, Analysis and Evaluation“, die zumindest Hinweise gibt, wer was wann und wie messen und bewerten sollte und im Annex B sogar ausführliche Beispiele für den Aufbau eines Messsystems aufgeführt werden. Jedoch kann hier die Masse und Ausführlichkeit vor allem für kleine und mittlere Unternehmen erschlagend wirken und ist auch gar nicht vollumfänglich notwendig.

In unserem Ein-Tages-Seminar „Wirksamkeitsmessung“ (online und Präsenz) erlangen Sie die Kompetenz, mit den richtigen Methoden Ihre Maßnahmen im ISMS zu bewerten. Welche Schwachstellen müssen beobachtet, gesteuert und letztendlich gemessen werden? Welchen Kennzahlen sollten zu Rate gezogen werden und was sagen sie überhaupt aus? Mit Hilfe dieser Kenntnisse können Sie dann die Wirksamkeit Ihres ISMS überprüfen und erkennen, ob Sie einen Diamanten oder einen Glaskristall in der Hand halten.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Was tun nach einem IT-Angriff?

Eine hundertprozentige IT-Sicherheit wird es nie geben, aber man sollte sich stehts der Gefahr bewusst sein. Regelmäßige Backups und die Sensibilisierung der Mitarbeiter sollten, wie Firewall und Virenscans, Standard sein. Und doch kann ein erfolgreicher Angriff auf die IT-Infrastruktur erfolgen.

Was ist dann zu tun?

An erster Stelle steht die Aufklärung. Seit wann ist das System infiziert, wie kam es dazu und welche Systeme sind betroffen. Das wann ist vor allem wichtig damit nicht ein Backup eingespielt wird, das ebenfalls infiziert ist und ein weiterer Angriff erfolgen kann.

Ist der Zeitpunkt bekannt, müssen alle auffälligen Systeme forensisch analysiert werden. Durch die Logfiles, Netzwerkaktivitäten und Daten aus Firewalls und Proxys können Schlüsse gezogen werden, wie es zu dem Angriff kam und auf welche Systeme es sich ausgeweitet hat.

Häufig, wird eine Attacke verwendet, um eine andere zu verschleiern. Beispielsweise eine Verschlüsselungstrojaner, um den Datendiebstahl und deren Spuren zu verstecken. Daher empfiehlt es sich bei einem Angriff auch weitere Bereiche genau zu betrachten.

Sind Daten abhandengekommen, ist zu klären wer alles darüber in Kenntnis gesetzt werden muss, um strafrechtliche Konsequenzen und Imageverlust zu vermeiden.

Ist die Sicherheitslücke identifiziert worden, kann diese geschlossen und das System nach und nach wieder per Backup in einen sauberen Zustand versetzt und aktiv geschaltet werden.
Spätestens jetzt ist der Zeitpunkt gekommen, die Sicherheitsvorkehrungen neu zu überdenken und die bei der Analyse aufgedeckten Schwachstellen durch geeignete technische und organisatorische Maßnahmen abzusichern.

IT-Sicherheit ist ein Prozess der ständig hinterfragt, überprüft und optimiert werden muss.
Mit einem Informationssicherheits-Managementsystem (ISMS) implementieren Sie einen standardisierten und kontinuierlichen Verbesserungsprozess in Ihrem Unternehmen. Eine systematische, praxisgerechte und wirtschaftliche Umsetzung erfolgt durch definierte Regeln und Methoden.

Oberstes Ziel ist der Schutz Ihres Unternehmens vor:

  • Finanziellen Schäden
  • Technischen Störungen und Fehlern
  • Datenmanipulation und Informationsmissbrauch
  • Sabotage und Spionage
  • Haftungsrisiken
  • Verlust der Reputation und Imageschäden

Sie möchten die Sicherheit in Ihrem Unternehmen verbessern? Kontaktieren Sie uns jetzt. Kontakt

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen