ISMS

Die trügerische Datensicherheit?

26.10.2021
Von   IDG ExpertenNetzwerk
Philip Lorenzi leitet den Bereich Cybersecurity bei MaibornWolff.
Wer meint, mit der Einführung eines Information Security Management System (ISMS) seine Hausaufgaben in Sachen Datensicherheit gemacht zu haben, irrt. Jetzt beginnt erst die Arbeit.

Die meisten Unternehmen müssen über kurz oder lang ein ISMS aufbauen, sei es um rechtlichen oder den Anforderungen der eigenen Kunden zu genügen, oder um die eigenen Assets und den Geschäftserfolg abzusichern. Sich danach zurückzulehnen und die Hände in den Schoß zu legen, ist aber falsch. Nach der Einführung des ISMS beginnt erst die eigentliche Arbeit in Sachen Sicherheit, und zwar für alle im Unternehmen.

Ein Information Security Management fungiert in vielen Unternehmen als Sicherheitsdach. Doch es können Schlupflöcher entstehen.
Ein Information Security Management fungiert in vielen Unternehmen als Sicherheitsdach. Doch es können Schlupflöcher entstehen.
Foto: IrinaK - shutterstock.com

Ein Vorgehen nach BSI Grundschutz oder der ISO 27001 ff bietet sich bei der Einführung eines ISMS an. In der Natur solcher Standardverfahren liegt aber, dass sie genau gegenteilige Auswirkungen auf die Sicherheit der Daten haben können - selbst wenn sie gut eingeführt werden. Drei Beobachtungen, die zum Nachdenken einladen sollen:

1. Informationssicherheit hat ein Zuhause

Mit einem strukturierten ISMS bekommt die Informationssicherheit ein Zuhause im jeweiligen Unternehmen. Bei der Einführung eines ISMS gilt der Grundsatz: alle Mitarbeiterinnen und Mitarbeiter übernehmen Aufgaben und Verantwortung in Bezug auf Informationssicherheit. Zusätzlich werden Rollen wie ein CISO (Information Security Officer) und andere benannt, die mit der Organisation der Sicherheit betraut sind.

Das kann unterschiedlich aufgenommen werden: Im Bestfall sind die Beschäftigten stolz darauf, dass sie sicher arbeiten, weil die IT-Security-Abteilung alles im Griff hat. Im schlechtesten Fall werden die Security-Kollegen als Bremser wahrgenommen, die aus Sicht der Anwender Workflows und Prozesse mit ihren Security-Anforderungen behindern.

2. Papier ist geduldig

Zum ersten Arbeitstag gehört in der Regel, dass alle Neuankömmlinge im Unternehmen eine Unterweisung in IT-Sicherheit und Datenschutz durchlesen. Danach haben wir brav per Haken oder Multiple Choice Test bestätigt, dass wir alles gelesen, verstanden und verinnerlicht haben. An diesen Vorgang können sich viele erinnern - an den Inhalt auch?

Dieser Sachverhalt ist symptomatisch für viele Prozesse, in denen per Checkliste und Dokument Sicherheit belegt werden soll. Die Inhalte der Dokumente sind korrekt und sinnvoll. Auf dem Papier allein bringen sie nur nichts. Besser wäre es, Sicherheitsanforderungen mit einem konkreten Bezug zum beruflichen Alltag zu kommunizieren und einzuüben. Auditierbarkeit und Zertifizierung ist bei der Einführung eines ISMS häufig die wichtigste Anforderung. Hier gilt: "Wer schreibt, der bleibt", Papier ist aber geduldig. Ist die Sicherheit hergestellt, weil ich nach getaner Arbeit eine Checkliste abgehakt habe, auch wenn ich vorher ohne Sicherheitsanforderungen gearbeitet habe?

Lesetipp: IT-Security - Diese Mitarbeiter gefährden Ihre Sicherheit

3. Auditierbarkeit versus Sicherheit

Hier versteckt sich die wichtigste Erkenntnis: Sicherheit und Auditierbarkeit sind zwei grundverschiedene Dinge. Für mehr Sicherheit ist wichtig, dass Beschäftigte ihr Verhalten so anpassen, dass sichere Arbeitsabläufe und Ergebnisse entstehen. Um Auditierbarkeit herzustellen, müssen Abläufe dokumentier- und nachvollziehbar gemacht werden.

Das funktioniert nur, wenn man Abläufe hinreichend abstrahiert, so dass sie überall anwendbar sind. Ohne Abstraktion erhält man umfassende Vorgangsbeschreibungen, in denen die Vorgaben für die konkrete Alltagssituation nicht mehr gefunden werden. Es ist also sehr wichtig, diesen Widerspruch zu verstehen. Sonst läuft man Gefahr, nur Auditierbarkeit herzustellen, ohne Sicherheit zu erreichen.

Fragen für Unternehmen zum Thema ISMS

Nicht nur innerhalb der IT-Abteilung, sondern über die ganze Organisation hinweg sollten sich Unternehmen und Beschäftigte darum folgende Fragen stellen:

  • Brauche ich ein ISMS?

  • Fühle ich mich dadurch sicherer oder zielt es eher auf die Erfüllung von Richtlinien und Dokumentation ab? Ist das für mich in Ordnung?

  • Wissen alle Beschäftigten im Unternehmen, welcher Schaden in Folge eines Sicherheitsvorfalls in ihrem Bereich entsteht?

  • Wie kann jeder seinen Job so erfüllen, dass er dadurch positiv zur Sicherheit beiträgt?

Stellen Sie sich diese Fragen, sind Sie bereits auf dem richtigen Weg, mit einem ISMS mehr für Ihre Sicherheit zu tun. (bw)