Schlagwortarchiv für: ISO 27001

, ,

Sicheres Arbeiten im Home-Office – Es gibt viel zu tun!

Unverbesserliche Optimisten sehen in allen Situationen immer auch die positiven Aspekte. So ermöglichen die Erfahrungen mit den aus der Not heraus getroffenen Maßnahmen zu Beginn der Corona-Pandemie – die Pflicht zum Home-Office und das Homeschooling – einen schärferen Blick darauf, wie Prozesse und Abläufe in Unternehmen und der Verwaltung sich verändern müssen, um vom technologischen Fortschritt in einem größeren Umfang als bisher zu profitieren. Das Arbeiten im Home-Office erweist sich dabei als ein „Türöffner“.

Hierzu gehört mit Sicherheit auch eine geänderte Art der Kommunikation. Viele Menschen haben Erfahrungen mit Videokonferenzen gesammelt, die notwendige Ausstattung (Headset, Webcam) ist mittlerweile weit verbreitet und wird wie selbstverständlich genutzt. Und falls es noch nicht geschehen sein sollte, wäre es spätestens jetzt an der Zeit, von Unternehmensseite das weitere Vorgehen festzulegen, z.B. durch das Bestimmen der künftig zu nutzenden Plattformen und Anbieter. Aus organisatorischer Sicht gehören das Abschneiden alter Zöpfe und die Berücksichtigung der technologischen Möglichkeiten bei der Einführung neuer Prozesse dazu, genauso wie die Einbindung der Mitarbeiter. Nur so ist es möglich, neben der Verbesserung der Informationssicherheit auch Nutzen aus den geänderten Arbeitsweisen zu ziehen.

So ist z.B. in den Produkten vieler Festnetzanbieter auch die Möglichkeit zur softwarebasierten IP-Telefonie enthalten. Dadurch ist es möglich, Anrufe mit der dienstlichen Festnetznummer nicht nur aus dem Büro heraus zu tätigen, sondern auch vom Rechner im Homeoffice aus.  Benötigt wird lediglich das Headset, die Software für IP-Telefonie auf dem eigenen Rechner sowie ein Internetzugang – und die Vermischung von dienstlichen und privaten Telefonaten auf dem privaten Telefonanschluss ist Vergangenheit. Nicht zuletzt aus der Sicht von Datenschutz und Informationssicherheit eine deutliche Verbesserung, auch die Privatsphäre der Mitarbeiter wird so geschützt.

Zu den Veränderungen gehört auch das Erlernen von neuen Verhaltensweisen und Regeln. Nicht alles, was technisch möglich ist, ist auch immer erlaubt. So bieten Videokonferenzlösungen die Möglichkeit, Gespräche aufzuzeichnen – was allerdings rechtlich durchaus bedenklich ist. Ob und unter welchen Umständen derartige Aufzeichnungen zulässig sind, muss nicht nur vorher zuverlässig geklärt, sondern auch den Mitarbeitern vermittelt werden. Denn nur mit einer sicheren und rechtlich einwandfreien Nutzung werden sich die neuen Arbeitsweisen dauerhaft etablieren.

Für einen erfolgreichen Einstieg in die Gestaltung des Arbeitens im Home-Office haben wir unser eintägiges, praxisorientiertes Seminar entwickelt, in dem die Fragestellungen aus diesem und den vorherigen Artikeln  vertieft werden und das dabei unterstützen soll, das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform zu organisieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken.

Die gute Performance im Bereich Informationssicherheit und Datenschutz wird immer mehr zu einem Wettbewerbsvorteil. Und ganz unabhängig davon, haben Unternehmen ja auch ein Eigeninteresse daran, zu schützen was Ihnen wichtig ist und die Steuerbarkeit ihrer Geschäftsprozesse zu sichern.

Im Bereich der Informationssicherheit ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein international anerkannter Weg mit bewährten Steuerungsinstrumenten, wie z.B. ein an das Unternehmen angepasstes Kennzahlensystem, Audits und Managementbewertungen, die Informationssicherheit nachweislich auf ein hohes Niveau zu heben. Aber wie sieht es dazu im Vergleich beim Datenschutz aus?

In der Regel ist ein betrieblicher Datenschutzbeauftragter bestellt, der die Geschäftsführung – meist einmal im Jahr – über den Stand des Datenschutzniveaus im Unternehmen informiert. Insbesondere in Anbetracht der persönlichen Haftungsrisiken der Unternehmensleitung besteht hier häufig der Wunsch nach mehr Steuerbarkeit. Warum also nicht die bewährten Managementwerkzeuge aus der Informationssicherheit auf den Datenschutz übertragen?

Die ISO 27701 bietet eine Möglichkeit das Datenschutzmanagement in ein bestehendes Informationssicherheitsmanagement nach ISO 27001 zu integrieren. Der große Vorteil dabei ist, dass alle Bestandteile eines Managementsystems mit der ISO 27001 bereits vorhanden sind, und die Ausweitung auf den Datenschutz somit mit verhältnismäßig geringem Aufwand verbunden ist.

Derzeit befindet sich die ISO 27701 bei verschiedenen Zertifizierern in der Akkreditierung und es ist geplant in diesem Jahr eine Aufnahme in das Zertifikat nach ISO 27001 zu ermöglichen. Damit wäre auch für den Datenschutz ein unabhängiger sowie anerkannter Nachweis über die Umsetzung eines gesetzeskonformen Datenschutzes möglich.

Ein weiterer Benefit: Die Zusammenarbeit zwischen dem Informationssicherheitsbeauftragte (ISB) und dem Datenschutzbeauftragten (DSB) wird weiter gestärkt, Synergien werden entwickelt und es entstehen Lösungen für beide Themengebiete aus einem Guss.

Es lohnt sich, sich näher mit diesem Thema zu befassen, unabhängig davon, ob im Bereich der Informationssicherheit bereits eine Zertifizierung nach ISO 27001 besteht oder nicht.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil2)

Rollen und Aufbauorganisation

Im ersten Teil dieser Artikelserie über die Aufgaben von Geschäftsführern und Vorständen in einem ISMS nach ISO 27001 haben wir uns mit dem Zusammensetzen eines Projektteams für die Einführung eines Informationssicherheits-Managementssystems beschäftigt. In diesem Beitrag soll es um die Schaffung und Besetzung notwendiger Rollen, um die Aufbauorganisation für den laufenden Betrieb eines ISMS gehen.

Nichts läuft von alleine. So braucht auch das Thema Informationssicherheit Menschen, die es vorantreiben. Es braucht also zumindest einen Mitarbeiter, der zumindest in Teilzeit diese Aufgabe wahrnimmt. Diese Rolle heißt oft Informationssicherheitsbeauftragter.

Informationssicherheitsbeauftragter / CISO

In größeren Organisationen ist es mit einem “Einzelkämpfer” nicht mehr getan. Es braucht eine ganze Informationssicherheitsorganisation. Der Leiter dieser Unternehmenseinheit heißt dann häufig Leiter Informationssicherheit oder in eher international orientierten Unternehmen Chief Information Security Officer (CISO). Angesiedelt ist diese Stelle meist direkt unterhalb der obersten Leitung, also direkt unter Vorstand oder Geschäftsführung als Stabsstelle oder Stabsbereich. So ist eine enge Anbindung an die Führung sichergestellt. Idealerweise berichten Informationssicherheit (IS) und Informationsverarbeitung (IT) an unterschiedliche Mitglieder der obersten Leitungsebene. Dies bietet die Gewähr dafür, dass etwaige Interessenkonflikte gut sichtbar werden und sachgerecht behandelt werden können.

Weitere Kernrollen der Informationssicherheit

Besteht die Informationssicherheitsorganisation aus mehreren Mitgliedern, setzt oft schnell eine Spezialisierung ein. So gibt es beispielsweise spezialisierte Informationssicherheits-Management-Systembeauftragte, Informationssicherheits-Risikomanager, Interne Auditoren und Spezialisten für die informationstechnischen Aspekte der Informationssicherheit (IT-Security).

Bei allen Rollen sollte man überlegen, ob diese nicht an anderen Stellen im Unternehmen besser angesiedelt sind. So könnten die IT-Security -Spezialisten in der IT angesiedelt werden, der Informationssicherheits-Risikomanager im Unternehmensrisikomanagement und die internen Auditoren in der Revision. Für beide Ansätze, Bündelung der Informationssicherheit in einem Bereich versus Eingliederung in bestehende Strukturen, gibt es gute Argumente. Eine pauschale, für alle zutreffende Antwort kann es wie so häufig nicht geben. Jedes Unternehmen muss gut abwägen, seine Entscheidung treffen, die Wirkung beobachten und ggfs. getroffene Entscheidungen wieder korrigieren oder den sich verändernden Rahmenbedingungen anpassen.

Informationssicherheitskoordinatoren

Schaut man, was Unternehmen, in denen das Thema Informationssicherheit erfolgreich betrieben wird, von denen unterscheidet, wo Informationssicherheit nur formal, künstlich und die eigentlichen Betriebsabläufe eher störend umgesetzt wird, stößt man immer wieder auf eine Rolle: Informationssicherheitskoordinatoren. Sie kommen aus den Fachbereichen, sind also beispielsweise Buchhalter, Personalmanager, Marketing-Spezialisten, Produktionsmitarbeiter. In einer Nebentätigkeit von vielleicht einem Tag pro Monat setzen Sie sich mit Fragen der Informationssicherheit in ihrem Bereich auseinander, sie nehmen an Meetings mit den anderen Koordinatoren und den Kernrollen der Informationssicherheit teil. Es ist ihre Aufgabe zwischen den Welten zu übersetzen und zu vermitteln. Sie vertreten die Belange der Informationssicherheit in ihren Teilorganisationen und deren fachliche Belange gegenüber der Informationssicherheit.

Wichtig ist es, hier motivierte Mitarbeiter zu haben, die wirklich Lust haben, sich neben ihrer eigentlichen Tätigkeit mit einem weiteren Thema zu beschäftigen. Besser sollte in einem Bereich die Rolle (vorübergehend) unbesetzt bleiben, als dass man jemanden überredet oder sogar bestimmt. Damit wäre weder dem Thema gedient, noch ist das angenehm für die “Abkommandierten”. Meist findet man genügend freiwillige Mitarbeiter, die Spaß daran haben, sich mit dem wichtigen Thema Informationssicherheit auseinander zu setzen und so auch den eigenen persönlichen Horizont zu erweitern. Manchmal braucht es nur ein wenig Zeit, weil potentielle Interessenten erst einmal sehen wollen, was die Übernahme einer solchen Aufgabe tatsächlich bedeutet. Das notwendige fachliche Wissen lässt sich meist leicht über die Zeit herstellen. Hire for attitude and train for skills!

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

IT-SiG 2.0: Entsorger werden Teil der kritischen Infrastruktur

Entsorgungsbetriebe sind systemrelevant, das sollte allen klar sein. Das ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bewusst. Daher sollen Entsorgungsbetriebe künftig nach IT-SiG 2.0 zu den kritischen Infrastrukturen gehören.

Durch die Pandemie hat sich gezeigt, dass auch die Entsorger vor neue Herausforderungen gestellt werden. Steigende Abfallmengen aus privaten Haushalten und durch die verminderte Produktion sinkende Abfallmengen aus den gewerblichen Bereichen. Daraus ergibt sich neben einer Wertstoffknappheit z.B. beim Papierrecycling (nichts rein-nichts raus) eine Verschiebung der Abfallströme. Mehr Hausmüll und weniger recyclingfähige Abfälle bringen die Lager und Anlagen der Entsorger z.T. jetzt schon an ihre Kapazitätsgrenzen.

Auch wenn es derzeit noch keine spürbaren Einschränkungen bei der Abfallentsorgung gibt, haben viele Unternehmen der Branche bereits vorgesorgt und flexible Regelungen zum Betriebsmanagement getroffen. Schichtbetrieb, Kleingruppen, räumliche Trennung, die Entsorgungsbetriebe haben schon viele Maßnahmen getroffen, um einen massiven Personalausfall durch COVID-19 Erkrankte zu vermeiden.

Die Einstufung der gesamten Entsorgungswirtschaft als systemrelevant ist in diesem Punkt ein wichtiges politisches Signal. Systemrelevanz ist das Stichwort, unter dem Einrichtungen und Betriebe zusammengefasst werden, die das grundlegende Funktionieren des öffentlichen Lebens aufrechterhalten. Das bringt aber für die Unternehmen auch neue Herausforderungen mit sich. Denn neben den Plänen, um einen Personalausfall zu verhindern muss mit der zukünftigen Einstufung als KRITIS auch der gesamte IT-gestützte Entsorgungsprozess betrachtet werden. Hier gibt es klare Anforderungen an die Betriebe wie das zu bewerten, umzusetzen und nachzuweisen ist.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Datenschutz in ein bestehendes ISMS integrieren (Teil 1 – Einführung)

In vielen Unternehmen sind Datenschutz und Informationssicherheit organisatorisch und faktisch noch weitgehend getrennt. Zwar arbeiten der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte punktuell zusammen; von einem integrierten Ansatz kann meist aber nicht die Rede sein. Das ist schade.

In einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 werden technische und organisatorische Maßnahmen zum Schutz von Informationen gegen die Verletzung von Verfügbarkeit, Vertraulichkeit und Integrität risikobasiert ausgewählt und umgesetzt. Dabei werden in der Regel ausschließlich die Risiken für das Unternehmen selbst betrachtet.

Synergien nutzen

Wie in der Informationssicherheit sind im Datenschutz technische und organisatorische Maßnahmen ebenfalls risikobasiert auszuwählen und umzusetzen (vgl. DSGVO Art. 25 u. Art. 32). An dieser Stelle sind jedoch die Risiken der Betroffenen zu betrachten. Trotzdem kann die Risikobewertung nach derselben Methode durchgeführt und Synergien damit genutzt werden.

Auch die regelmäßige Überprüfung und Bewertung der Maßnahmen hinsichtlich ihrer Angemessenheit und Wirksamkeit ist aus datenschutzrechtlicher Sicht erforderlich (vgl. DSGVO Art 32 Ab.1 lit. d). Eine solche Überprüfung ist im ISMS nach ISO 27001 schon angelegt. Auch hier können Datenschutz und Informationssicherheit ein gemeinsames Vorgehen umsetzen.

Es ist daher nur konsequent, dass die ISO mit der ISO 27701 eine Norm vorlegt, die das Datenschutzthema in ein ISMS nach ISO 27001 integriert. Zu diesem Zweck werden Normkapitel und Anhang A der ISO 27001 sowie die Umsetzungshinweise der ISO 27002 um datenschutzrechtliche Aspekte entsprechend erweitert und angepasst.

Die einheitliche Betrachtung von Informationssicherheit und Datenschutz führt zu einem integrierten Managementsystem. So werden Ressourcen geschont, indem Doppelarbeiten und sich schlimmstenfalls widersprechende Ansätze verhindert werden.

Informationssicherheitsbeauftragter und Datenschutzbeauftragter treten jetzt bei der Planung und Umsetzung technischer und organisatorischer Maßnahmen der Informationssicherheit und des Datenschutzes gemeinsam gegenüber den Vertretern anderer Interessenbereiche im Unternehmen auf. Im Ergebnis führt dieser Ansatz zu einer Stärkung sowohl der Informationssicherheit als auch des Datenschutzes.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil1)

Zusammensetzung des Projektteams

Dem Verhalten und Agieren der Unternehmensführung kommt im Bereich der Informationssicherheit hohe Bedeutung zu. Da dies in fast allen Bereichen und bei fast allen Themen im Unternehmen der Fall ist, ist diese Erkenntnis weder neu noch originell. Richtig bleibt sie trotzdem.

In der Praxis befindet sich die Informationssicherheit mit vielen anderen Themen in Konkurrenz um die Aufmerksamkeit der obersten Leitungsebene: Datenschutz, Arbeitssicherheit, Compliance etc. Und dabei haben wir über die Notwendigkeiten des eigentlichen Geschäftszweckes noch nicht geredet. Im Ergebnis kommt die Informationssicherheit oft zu kurz und wird „wegdelegiert“. Das ist grundsätzlich verständlich und bis zu einem gewissen Punkt auch statthaft. Die Delegation sollte dann aber sorgfältig erfolgen.

Die Ernennung eines Beauftragten bzw. Verantwortlichen für Informationssicherheit, möge er nun Informationssicherheitsbeauftragter, ISMS-Beauftragter, IT-Security-Manager, CISO oder anders heißen, ist der erste wichtige Schritt. Für die Einführung eines ISMS ist sodann ein Projektteam zu bilden. Auch diese Phase sollte der Vorstand bzw. die Geschäftsführung noch aktiv begleiten. Informationssicherheit ist kein IT-Thema, sondern ein Unternehmensthema. Viele Bereiche und Abteilungen sind beteiligt, u. a.: Personalabteilung, Einkauf, Legal & Compliance und natürlich die IT. Dementsprechend sollte das Team für die Einführung eines ISMS interdisziplinärer besetzt werden. IT ist ein sehr wichtiger, wahrscheinlich der umfangreichste Teilbereich im ISMS; zu techniklastig sollte das Team aber nicht sein.

Die richtige Zusammensetzung des Projektteams für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 ist für den Erfolg sehr wichtig. Vorstände und Geschäftsführer sollten daher die grundlegende Funktionsweise eines ISMS verstehen sowie ihre eigenen Aufgaben und Möglichkeiten innerhalb des Systems sowie ihre Gestaltungsmöglichkeiten am System kennen.

Es heißt, der Unterschied zwischen Delegieren und Abschieben sei der, dass man sich beim Delegieren weiterhin für die Ergebnisse interessiert. In diesem Sinne werden wir uns in den nächsten Folgen dieser Artikelserie mit weiteren Aspekten des ISMS aus der Perspektive der obersten Leitung beschäftigen, z.B. mit der Aufbauorganisation, dem Berichtswesen und der Kommunikation im laufenden Betrieb eines ISMS.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt mit hohen Anforderungen, neuen kritischen Infrastrukturen (KRITIS) und noch höheren Bußgeldern.

Bereits im Dezember 2020 hat der Bundestag den Referentenentwurf des neuen IT-SiG 2.0 verabschiedet. Diese Version des Gesetzes kommt mit neuen Hürden für die Betreiber kritischer Infrastrukturen, weitreichenderen Befugnissen für das BSI und Bußgeldern, die sich in der Höhe an denen der DS-GVO orientieren. Zukünftig werden auch die Entsorger als kritische Infrastruktur behandelt und zudem ist vorgesehen, das Gesetz auf weitere Unternehmen von „öffentlichem Interesse“ auszuweiten. Welche Unternehmen das genau sind, bleibt bisher jedoch offen – es könnte sich dabei neben Unternehmen aus der Rüstungsindustrie auch um die Top 100 und DAX-Unternehmen handeln.

Diese gesetzlich verordnete Sicherheit sieht auch massive Änderungen für die Sicherheitsstandards vor. Bisher wurden die Anforderungen nur implizit durch die Einführung und Etablierung eines ISMS nach ISO 27001 oder den Branchenstandards B3S benannt.

Jetzt wird jedoch explizit ein System zur Angriffserkennung (SIEM) gefordert. Demnach muss vom Unternehmen künftig, nachgewiesen werden, dass es funktionierende technische und organisatorische Prozesse gibt, die eine zuverlässige Erkennung von Angriffsversuchen gewährleisten. Zusätzlich wird es mit dem Inkrafttreten des IT-SiG 2.0 eine Meldepflicht bei Verwendung von „als nicht vertrauenswürdig eingestuften Komponenten“ geben, sofern diese in kritischen Bereichen eingesetzt werden. Die Einstufung, welche Komponenten als nicht vertrauenswürdig gelten, wird künftig über das BSI erfolgen. Die Betreiberunternehmen müssen den Nachweis erbringen, dass nur entsprechend gekennzeichnete Komponenten eingesetzt werden oder ggf. einen Rückbau oder Austausch veranlassen.

Das BSI erhält weitere Befugnisse und darf damit auch aktiv Portscans durchführen und Honeypots oder Sinkholes betreiben, um Schwachstellen und Angriffsszenarien aufzuspüren. Zudem werden Unternehmen verpflichtet, noch aktiver Vorfälle zu melden deren Daten und Informationen dann beim BSI erfasst und für bis zu 18 Monaten gespeichert werden – dazu zählen möglicherweise dann auch personenbezogene Daten.

KRITIS-Betreiber sollten sich also bereits jetzt, insbesondere bei der Umsetzung neuer Projekte, mit den Anforderungen des IT-SiG 2.0 beschäftigen und diese proaktiv berücksichtigen. Dies erspart Zeit und Nachbesserungsaufwand und verschafft ggf. einen zeitlichen Vorteil bei den Umsetzungsfristen. Vermutlich werden diese aufgrund der zunehmenden Cyber-Angriffe entsprechend kurz ausfallen.

 

/von

Risikomanagement im ISMS (Teil 2)

Identifikation von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. In diesem zweiten Teil soll es um die Risikoidentifikation gehen.

Grundlage der Risikoidentifikation sind die Werte bzw. die Informationswerte des Unternehmens. Ihre Inventarisierung ist ein Muss. Nun gilt es, Gefährdungen für diese Werte zu identifizieren. Ausgangspunkt hierfür können bestehende Gefährdungskataloge sein, wie sie z.B. im Anhang der ISO 27005 oder im BSI IT-Grundschutzkompendium dargestellt werden. In solchen Katalogen finden sich verständlicherweise nur allgemeine, für viele Organisationen zutreffende Gefährdungen wieder. Daher ist es notwendig, darüber hinausgehende spezifische Gefährdungen für die eigene Organisation und die eigenen Werte zu identifizieren.

Eine klassische Methode zur Identifikation spezifischer Risiken sind Experteninterviews. Experten sind dabei u.a. die Kollegen, die mit den gefährdeten Werten täglich zu tun haben, insbesondere auch die Werteverantwortlichen (asset owner i.S. der ISO 27011.2013 A.8.1.2). Sie kennen typische Gefahren und können diese benennen. So finden wir auch Risiken, die das zentrale Risikomanagement niemals entdeckt hätte. Zu Beginn, in den ersten Durchläufen des Risikomanagements, eignen sich gut freie Interviews, bei denen man die Experten „einfach mal reden lässt“. Später können diese Interviews strukturierter durchgeführt werden, was die Auswertung erheblich vereinfacht.

Ein Beispiel für eine geeignete Kreativmethode zur Risikoidentifikation ist die Kopfstandtechnik, auch Umkehrtechnik oder Flip-Flop-Technik genannt. Dabei geht es darum, einmal zu überlegen, wie man ein Risiko selbst herbeiführen bzw. verwirklichen könnte, z.B. „Was müssen wir tun, um erfolgreich Datenträger aus dem Unternehmen herauszuschmuggeln?“ Die Methode soll zum Entwickeln ungewöhnlicher Ansätze anregen und so Risiken sichtbar machen, auf die man aus der Verteidigersicht nicht oder nur schwer gekommen wäre. Und Spaß macht es auch noch, zumindest im Gedanken einmal der Bösewicht sein zu dürfen.

Die nächste Folge dieser Reihe wird sich mit der Analyse und Bewertung der identifizierten Risiken beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?

Könnten Sie auf Anhieb einen ungeschliffenen Diamanten von einem einfachen Glaskristall unterscheiden? Oder sieht er auf den ersten Blick nur aus wie ein Stein?
Um den wahren Wert zu erkennen, muss also nachgemessen werden. Und dabei sagt nicht etwa die Größe oder das Gewicht etwas über die Natur des Steines aus, sondern die chemische Zusammensetzung.

Genauso ist es auch bei der Bewertung eines Informationssicherheitssystemes. Es muss nicht nur geprüft werden, ob das System eingeführt und umgesetzt ist, es müssen auch die richtigen Werte gemessen werden, um zu sehen ob es richtig läuft.

Die ISO 27001 schreibt in Kapitel 9 die Bewertung der Leistung vor. Allerdings überlässt sie es der Organisation „was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen“ sowie „die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen“ (ISO/IEC 27001:2013, 9.1a) und 9.1b)). Begrenzt hilfreich ist die ISO/IEC 27004 „Monitoring, Measurement, Analysis and Evaluation“, die zumindest Hinweise gibt, wer was wann und wie messen und bewerten sollte und im Annex B sogar ausführliche Beispiele für den Aufbau eines Messsystems aufgeführt werden. Jedoch kann hier die Masse und Ausführlichkeit vor allem für kleine und mittlere Unternehmen erschlagend wirken und ist auch gar nicht vollumfänglich notwendig.

In unserem Ein-Tages-Seminar „Wirksamkeitsmessung“ (online und Präsenz) erlangen Sie die Kompetenz, mit den richtigen Methoden Ihre Maßnahmen im ISMS zu bewerten. Welche Schwachstellen müssen beobachtet, gesteuert und letztendlich gemessen werden? Welchen Kennzahlen sollten zu Rate gezogen werden und was sagen sie überhaupt aus? Mit Hilfe dieser Kenntnisse können Sie dann die Wirksamkeit Ihres ISMS überprüfen und erkennen, ob Sie einen Diamanten oder einen Glaskristall in der Hand halten.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Erfolgreiche Zertifizierung der Informationssicherheit bei der Husum Netz

Anfang des Jahres gab es wieder eine erfolgreiche Zertifizierung eines ISMS nach ISO 27001, als Abschluss einer guten Zusammenarbeit zwischen der Stadtwerke Husum Netz GmbH und der ANMATHO AG. Im Wattkieker, das Kundenmagazin der Stadtwerke Husum, wurde hierzu ein Artikel veröffentlicht.

Mehr dazu

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen