In vier Schritten zu mehr Informationssicherheit

Zertifiziertes ISMS

26.08.2013
Jörg Sayn ist Chief Technology Officer der Artegic AG in Bonn.
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern.

Daten sind zu einem entscheidenden Unternehmenswert geworden. Dar-unter befinden sich auch viele hochsensible Informationen, beispielsweise personenbezogene Kunden- und Nutzerdaten. Sie verpflichten die Unternehmen zu einem besonders verantwortungsvollen Umgang. Informationssicherheit ist nicht nur gesetzliche Pflicht, sondern auch wirtschaftliches Gebot.

Weil in der Praxis oft viele interne und externe Stellen (zum Beispiel spezialisierte Dienstleister) an der Datenverarbeitung mitwirken, ist eine umfassende Betrachtung der Informationssicherheit notwendig. Aber wie lässt sich eine systematische Informationssicherheit garantieren? Die Antwort liegt in einem Informationssicherheits-Management-System, kurz: ISMS, das an das jeweilige Unternehmen angepasst ist.

Was ist ein ISMS?

Unter diesem Begriff ist ein umfassendes, ganzheitliches und standardisiertes Management-System zu verstehen - mit definierten Regeln und Prozessen, die der Definition, Steuerung, Kontrolle, Wahrung und fortlaufenden Optimierung der Informationssicherheit im Unternehmen dienen. Die Norm ISO/IEC 27001 legt den internationalen Standard für ein ISMS fest.

Wozu zertifizieren?

Mit einer Zertifizierung kann ein Unternehmen die Risiken in der Informationsverarbeitung verringern sowie die Verfügbarkeit der IT-Systeme und -Prozesse erhöhen. Zudem lässt sich ein solches Zertifikat - in Deutschland unter anderem vergeben von den TÜV-Mitgliedern - nutzen, um Vertrauen bei Kunden und Anwendern zu schaffen.

Doch viele Unternehmen schrecken vor einem vollumfänglich standardkonformen Betrieb eines ISMS und der zugehörigen Zertifizierung zurück. Sie fürchten die Komplexität des Vorbereitungs- und Zertifizierungsprozesses. Dabei ist der Aufwand geringer, als es auf den ersten Blick den Anschein hat. Anders als im Qualitäts- oder Umwelt-Management entstehen hier eigentlich keine neuen Anforderungen. Vielmehr werden vorhandene beziehungsweise ohnehin erforderliche Maßnahmen in einen strategischen Gesamtkontext eingebunden und mit Prozessen hinterlegt, die eine systematische Anwendung sicherstellen.

Auch die Zertifizierung selbst bringt kaum neue Aspekte ins Unternehmen ein. Zwar wird dazu eine Zertifizierungsstelle regelmäßige (teils mehrstufige) Audits ausführen. Doch ohnehin sollte das Unternehmen im Interesse einer unabhängigen Kontrolle seiner Sicherheitsmaßnahmen bereits externe Auditierungen in Anspruch genommen haben. Ein prototypisches Vorgehen zur Etablierung eines standardkonformen und damit zertifizierbaren ISMS setzt sich aus folgenden vier Schritten zusammen.

1. Erklärung zur Anwendbarkeit

Zunächst legt das Unternehmen fest, was das ISMS leisten soll, also welche Informationswerte durch das ISMS geschützt werden müssen. Es definiert den Anwendungsbereich und die Grenzen des ISMS. Dabei sind das Geschäft, die Organisation, der Standort, die Werte und die eingesetzte Technologie zu berücksichtigen.

Bei der Festlegung der Grenzen sind auch die Schnittstellen zwischen dem Anwendungsbereich und anderen Sektoren zu beachten. Das ist beispielsweise dann wichtig, wenn Kunden extern auf ein System zugreifen können, das in den Anwendungsbereich des ISMS fällt.

Die "Erklärung zur Anwendbarkeit" bestimmt die Komplexität und den Aufwand des ISMS. Hier wird festgestellt, welche allgemein erforderlichen Schutzaspekte (Items) für das konkrete ISMS nicht nötig sind und deshalb in einer Zertifizierung keine Rolle spielen. Werden Prozesse aus dem Auswendungsbereich ausgeschlossen, muss das aber ausführlich begründet sein. Risiken, die durch Ausschlüsse von Prozessen entstehen, bedürfen der nachgewiesenen Akzeptanz durch das Management.

2. Bewertung der Risiken

In diesem Schritt geht es um die Identifizierung und Einschätzung sämtlicher Risiken innerhalb des ISMS-Anwendungsbereichs. Zunächst wird eine Methode zur Risikoeinschätzung gewählt; sie muss für das ISMS geeignet sein und den festgelegten Anforderungen für die Informationssicherheit sowie den gesetzlichen und amtlichen Ansprüchen genügen.

Daraufhin müssen Kriterien für die Risikoakzeptanz entwickelt werden. Es ist verbindlich festzulegen, welche Risiken das Unternehmen für noch vertretbar hält. Schließlich werden die konkreten Risiken identifiziert. Am Anfang dieser Aufgabe steht eine Liste der schützenswürdigen Werte, die innerhalb des ISMS-Anwendungsbereichs existieren - mitsamt den jeweils verantwortlichen (natürlichen oder juristischen) Personen.

Für jeden Wert muss festgelegt werden, welche Auswirkungen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit maximal haben darf. Dann erhält jeder Wert die möglichen Bedrohungen zugeordnet. Zudem werden jeweils die Schwachstellen aufgezeigt, durch die eine Bedrohung konkret eintreten könnte. Die identifizierten Risiken sind auch in ihrer Tragweite zu bewerten. Welche Folgen haben Sicherheitsvorfälle für das Unternehmen? Die Auswirkungen des Verlusts von Vertraulichkeit, Integrität und Verfügbarkeit der schützenswerten Werte müssen dabei berücksichtigt werden.

Anhand der identifizierten Bedrohungen und Schwachstellen sowie der vorhandenen Schutzmaßnahmen lässt sich abschätzen, mit welcher Wahrscheinlichkeit Sicherheitsvorfälle realistischerweise eintreten. So ist für jedes Risiko ein bestimmtes Niveau ermittelbar. Mit Hilfe der festgelegten Kriterien zur Risikoakzeptanz kann entschieden werden, welche Risiken noch akzeptabel sind und welchen begegnet werden muss.

3. Umsetzung der Maßnahmen

Im Rahmen der Risikobehandlung werden Maßnahmen ausgewählt, mit denen sich nicht akzeptable Risiken vermeiden oder im Niveau senken lassen. Das können interne Maßnahmen sein, aber auch Vereinbarungen mit externen Partnern hinsichtlich der Übernahme bestimmter Risiken.

Für jede Maßnahme ist ein Ziel festzulegen. Die konkrete Umsetzung wird von der zertifizierenden Stelle im Rahmen von Audits kontrolliert. Das Unternehmen muss jedoch Prozesse schaffen, die eine kontinuierliche interne Maßnahmenverfolgung und -überwachung sicherstellen. Risiken, die sich noch im Rahmen der zulässigen Risikoakzeptanz bewegen, erfordern keine Maßnahmen. Aber für jedes Risiko ist objektiv zu begründen, weshalb es für vertretbar gehalten wird.

Jeder Betrieb hat individuelle Anforderungen, die sich aus dem jeweiligen Anwendungsbereich ergeben. Das bedeutet auch, dass er nur einen Teil der möglichen Maßnahmen umsetzen muss, um den Standards von ISO/IEC 27001 zu genügen.

4. Regelmäßige Überprüfung

Die Einrichtung eines ISMS ist mit der Umsetzung der beschlossenen Maßnahmen nicht abgeschlossen. Es handelt sich um einen kontinuierlichen Prozess nach dem Plan-Do-Check-Act-Verfahren.

Die Wirksamkeit des ISMS muss regelmäßig überprüft werden - mit Hilfe geeigneter Überwachungsmaßnahmen. Änderungen, die Auswirkungen auf den Anwendungsbereich haben könnten (zum Beispiel neue Unternehmensstandorte), sind zu berücksichtigen. Werden Verbesserungspotenziale, Mängel in der Umsetzung von Maßnahmen oder veränderte beziehungsweise neue Risiken erkannt, ist ein weiterer Durchlauf des Prozesses notwendig. So wird das ISMS kontinuierlich verbessert. (qua)