ISMS: Information-Security-Management-Systeme einfach erklärt

Ein „Information Security Management System” (ISMS) definiert Regeln und Prozesse, um die IT-Sicherheit in Unternehmen und Organisationen zu gewährleisten. Es ist prozessorientiert und arbeitet nach dem Top-Down-Ansatz. Der Einsatz von ISMS in Unternehmen hat das Ziel, mögliche Risiken hinsichtlich der Informationssicherheit zu identifizieren und Vorgehensweisen zur IT-Sicherheit unternehmensweit zu definieren.

 

Was ist ein ISMS?

Der deutsche Begriff für ISMS lautet “Managementsystem für die Informationssicherheit” oder auch “Informationssicherheitsmanagementsystem”. Innerhalb eines ISMS sind Prozesse, Regeln, Verfahren, Maßnahmen und Tools definiert, die Aspekte der Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren.

ISMS nutzen den so genannten Top-Down-Ansatz. Das Top-Management ist dabei dafür verantwortlich, Security Policies aufzustellen und zu verabschieden. Andere Führungskräfte wie beispielsweise der oder die IT-Sicherheitsbeauftragte setzen diese Regeln dann in der Praxis um. Dabei hängen die Wirksamkeit und Effizienz eines ISMS davon ab, dass alle Unternehmens- und Organisationsbereiche die Regeln befolgen.

 

ISMS und CSMS

Die Strukturen für IT- und Cybersicherheit betreffen innerhalb eines Unternehmens auch die Produktion und die Produkte über den gesamten Produktlebenszyklus hinweg. Jedes Unternehmen hat für eine wirksame Cyber Security zu sorgen: Das betrifft auch die Produktentwicklung, Produktion und Organisation des Unternehmens sowie die einzelnen Verantwortlichkeiten.

Im Produktionsbereich hat sich neben dem Begriff des ISMS dafür die Abkürzung CSMS für „Cyber Security Management System” etabliert. Dieses beinhaltet die Einführung eines Risiko- und Bedrohungsmanagements sowie regelmäßige Analysen möglicher Bedrohungslagen über die gesamte Entwicklung hinweg.

 

Die Vorteile des IT-Sicherheitsmanagements über ISMS

Die Ziele eines ISMS sind an die gesetzliche DSGVO und Datenschutzbestimmungen geknüpft. Die Hauptaufgabe eines ISMS ist es nicht, die definierten Regeln und Strukturen umzusetzen. Stattdessen plant und gestaltet das ISMS Policies, Prozesse und Vorgaben zur IT-Sicherheit im Unternehmen.

Ein ISMS gewährleistet, dass sensible Informationen sowie alle Daten von Unternehmen, Kunden und Dritten geschützt sind. Ein wichtiger Punkt ist dabei die Gewährleistung der Geschäftskontinuität. Indem Firmen Informationssicherheit über ein ISMS zum integralen Bestandteil der Unternehmensprozesse machen, können sie das Sicherheitsniveau steigern und Ausfallrisiken minimieren.

In regulierten Finanzbereichen oder bei kritischen Infrastrukturen (KRITIS) gelten strenge Compliance-Vorgaben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert kritische Infrastrukturen so:

 „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten“.

Durch ein ISMS gewährleisten Unternehmen, dass alle regulativen sowie vertraglichen Vorgaben erfüllt sind.

Die Zertifizierung eines ISMS bietet Unternehmen die Möglichkeit, den sicheren Umgang mit sensiblen Informationen gegenüber Dritten nachzuweisen. Unternehmen haben die Wahl, ob sie das ISMS nach der internationalen Norm ISO/IEC 27001 oder der „deutschen“ Variante DIN EN ISO 27001 zertifizieren lassen.

Bei vielen Ausschreibungen sind diese Zertifizierungen vorgeschrieben. Neben dem Wettbewerbsvorteil trägt die ISMS-Zertifizierung zur Vertrauensbildung und zum positiven Image eines Unternehmens bei.

in ISMS beschreibt Prozesse und Richtlinien, um Informationssicherheit systematisch im gesamten Unternehmen zu garantieren.

Bei der Maßnahmenplanung und Analyse zur Einrichtung eines ISMS werden alle Unternehmensprozesse auf den Prüfstand gestellt. Hier hilft die Maßnahmenplanung dabei, Prioritäten zu setzen und Ressourcen optimal einzusetzen. Der anfängliche Mehraufwand für die Analyse und Einführung eines ISMS macht sich langfristig bezahlt –durch mehr IT-Sicherheit und gesunkene Kosten aufgrund von verbesserten Prozessen.

 

Schutzziele der Informationssicherheit – ISO 27001 im Überblick

Ein Informationssicherheitsmanagementsystem unterstützt Unternehmen beim Schließen von Schwachstellen und Sicherheitsrisiken. Die Norm ISO 27001 definiert Kriterien, um ein ISMS aufbauen, einführen und betreiben zu können.

Die ISO 27001 ist keine Norm, die nur IT-Prozesse betrifft. Sie berücksichtigt auch Aspekte wie Infrastruktur, Unternehmensorganisation sowie Personal und Gebäudemanagement. Einen Schwerpunkt legt die Norm auf kritische Infrastrukturen (KRITIS), für die der Gesetzgeber besondere Anforderungen an die IT-Sicherheit stellt.

Der Vorteil eines Zertifikats ist die Unabhängigkeit und Objektivität einer derartigen Prüfung und Beurteilung. Bei einer Selbsterklärung durch Unternehmen ist es für Kunden schwierig, diese zu prüfen und zu bewerten. Bei einer Zertifizierung bescheinigt eine unabhängige, dritte Stelle die Richtigkeit und Konformität. Dadurch erhalten Kunden die Garantie, dass entsprechend geprüfte Unternehmen die IT-Sicherheit ausreichend gewährleisten.

Ein nach der ISO 27001 organisiertes ISMS ist vollständig kompatibel zu anderen ISO-zertifizierten Managementsystemen und kann auch als Basis für Prüfungen nach dem Standard IDW PS 330 dienen. Die in diesem Zusammenhang wichtigen Fakten auf einen Blick:

  • Die ISO 27001 Zertifizierung ist ein dokumentierter Nachweis, dass ein Informationssicherheitsmanagementsystem den Anforderungen der ISO 27001 entsprechend konform ist.
  • Auf der ISO 27001 basierende ISMS lassen sich vollständig in bereits bestehende Managementsysteme nach ISO 9001 oder ISO 14001 integrieren.
  • Durch eine Zertifizierung nach ISO 27001 wird die Wirksamkeit eines Informationssicherheitsmanagementsystems (ISMS) im Unternehmen objektiv und glaubwürdig nachgewiesen.

 

ISMS: Der Unterschied zwischen Informationssicherheit und IT-Sicherheit

Ein Information-Security-Management-System umfasst die IT-Sicherheit und Informationssicherheit in Unternehmen. Die IT-Sicherheit beschäftigt sich in erster Linie mit dem Schutz der IT-Infrastruktur sowie den elektronisch gespeicherten Informationen, deren Verarbeitungswegen und der daran beteiligten Komponenten.

Maßnahmen zur Informationssicherheit betreffen nicht nur die IT-Infrastruktur und die IT-Abteilung, sondern berühren alle Unternehmensbereiche. Ausgehend von der Unternehmensführung über den Vertrieb, den Außendienst und Kundenservice sowie den Personalbereich sind alle Mitarbeitenden betroffen. In Unternehmen brauchen nicht nur IT-Systeme einen besonderen Schutz vor Angriffen. Schützenswert sind alle Daten und Informationswerte, wozu Unterlagen in digitaler Form ebenso dazugehören wie in Papierform. Im Bereich der Informationssicherheit ist die Akzeptanz der Maßnahmen durch Unternehmensleitung, Management und Mitarbeitende Voraussetzung für den Erfolg.

ISMS: Erfolgreiche Umsetzung der Planungsvorgaben in Unternehmen

Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte sogenannte IT-Grundschutz ist ein Standard, um ISMS aufzubauen. Am Anfang stehen die Überlegungen, was das ISMS für das Unternehmen leisten soll. Dazu definiert die Unternehmensführung Anwendungsbereiche, Zielvorgaben und Grenzen des ISMS.

Assets und Risiken ermitteln

Welche Werte (Assets) wie beispielsweise Informationen, Software, Services und physische Vermögenswerte soll das ISMS schützen? Auch Hardware, Qualifikationen, Fähigkeiten und Erfahrungen von Mitarbeitenden sowie andere immaterielle Werte können in diese Überlegungen einbezogen werden. Am Ende sollte eine klare Vorstellung davon existieren, welche geschäftskritischen Assets existieren und in welcher Weise das Unternehmen davon abhängig ist.

Für jedes schützenswerte Asset sind die Risiken zu ermitteln und auf Basis der gesetzlichen Anforderungen einzuordnen. Am Schluss dieser Überlegungen sollte neben der Risikoeinschätzung auch eine mögliche Schadenshöhe durch Verlust oder Ausspähen von Daten beziffert sein.

Wirksamkeit prüfen, Audits nutzen

Die Risikobewertung erlaubt es, strukturelle, technische und organisatorische Maßnahmen zur Risikoverminderung zu definieren. Häufig ergeben sich in dieser Phase neue Aspekte, um strukturelle Anpassungen und Prozessoptimierungen vorzunehmen. Im zweiten Schritt lassen sich dann auch auf untergeordneten Ebenen Zuständigkeiten festlegen.

Diese Überprüfung ist ein ständig laufender Vorgang, der durch Audits zu unterstützten ist. Sobald sich daraus neue Aspekte und Risiken ergeben, ist der ISMS-Prozess erneut zu starten. Durch Kontrollmaßnahmen wie die ISMS-Risikoanalyse und einen Risikobehandlungsplan passt sich das ISMS immer und laufend den aktuellen Unternehmensbedingungen an.

 

So finden Sie das passende Konzept für den Aufbau eines ISMS

Der IT-Grundschutz nach Vorgaben des BSI ist die Basis und der erste Schritt zur Umsetzung. Doch es sind zusätzliche Standards und Orientierungshilfen notwendig, um alle technischen, organisatorischen und personellen Sicherheitsmaßnahmen implementieren zu können. Im Wesentlichen handelt es sich dabei um vier Vorgaben:

ISO 27001

Die meisten Anforderungen an ein ISMS sind im internationale Standard ISO 27001 definiert. Auch sämtliche ISO-Zertifizierungen basieren auf diesem Standard. Die ISO 27001 verfolgt einen eher strategischen Ansatz, um auf Prozessebene Vorgänge zu formulieren und zu beschreiben.

BSI 200-1

Dieser vom Bundesamt für Sicherheit in der Informationstechnik beschriebene Standard umfasst Maßnahmen, die zur Umsetzung eines ISMS notwendig sind. Er verfolgt anders als ISO 27001 nicht hauptsächlich den generischen Management-Ansatz, sondern liefert detailliertere Vorgehensweisen zur Minimierung von IT-Risiken.

ISIS 12

ISIS12 ist ein Compliance-Informationssicherheitsmanagementsystem, welches in 12 Schritten ein vollständiges Information-Security-Management-System (ISMS) beschreibt. Es enthält alle notwendigen Punkte zur Beschreibung des Systems, ein Handbuch zur Einführung und einen Maßnahmenkatalog. Entwickelt wurde ISIS 12 für den Einsatz in Kommunen sowie in kleinen und mittelständischen Unternehmen (KMU).

TISAX

TISAX ist ein Sonderfall und ein weiteres Modell zur Einführung eines ISMS. Als Prüf- und Austauschmechanismus nach dem branchenspezifischen Standard VDA-ISA geschaffen, hat es der Verband der Automobilindustrie veröffentlicht und zur Beschreibung von Information-Security-Management-Systemen genutzt. Es richtet sich speziell an Zulieferer vom Verband der Automobilindustrie. Im Vergleich zu anderen Standards legt es den Schwerpunkt auf den Schutz von Prototypen und Produktionsteilen.

Auf die individuelle Struktur kommt es an

Auch wenn es nicht an Beschreibungen und Praxisbeispielen für die erfolgreiche Umsetzung eines ISMS mangelt, so liegen die Probleme häufig im Detail und der individuellen Struktur von Unternehmen. Das angestrebte Sicherheitsniveau und der Schutzbedarf definieren letztendlich auch den Aufwand, den ein Unternehmen zur Gestaltung eines effektiven Information-Security-Management-System einplanen muss.

 

ISMS: Diese Schwachstellen und Bedrohungen sollten Sie kennen

Bestandteil des ISMS ist ein umfangreiches ISMS Risikomanagement zum Schutz der Unternehmens-IT. Ein Angriff auf die Informationssicherheit findet meist über drei unterschiedliche Wege und Bereiche eines Unternehmens statt:

  • Systeme und Netzwerke
  • Arbeitsumgebungen
  • Mitarbeitende

Systeme und Netzwerke

Systeme und Netzwerke sind die klassischen Wege, die Angreifer:innen nutzen, um die IT-Sicherheit eines Unternehmens zu kompromittieren.

Arbeitsumgebungen

Sicherheitslücken müssen nicht immer digital sein. Vom offen herumliegenden Aktenordner bis zum Papierkorb oder den nicht fachgerecht entsorgten Ausdrucken und Belegen: In Arbeitsumgebungen sind überall schützenswerte Informationen zu finden. Dem Thema Home-Office kommt dabei besondere Bedeutung zu: Hier greifen vielfach die im Unternehmen installierten Sicherheitsprozesse nicht. Das ist beispielsweise dann der Fall, wenn Ausdrucke im normalen Papiermüll landen und nicht wie im Büro beim Aktenvernichter.

Mitarbeitende

Das Ziel von Cyberkriminellen sind vornehmlich Mitarbeitende in Unternehmen. Das systematische Vorgehen zur Manipulation von Menschen ist auch als Social Engineering bekannt. Je mehr Wissen über einzelne Personen im Unternehmen vorhanden ist, desto gezielter und gefährlicher sind die möglichen, darauf abgestimmten Cyber-Angriffe. Auch auf Reisen gilt besondere Vorsicht: Das Ausspähen von Informationen während beruflicher Reisetätigkeit hat Konjunktur.

Ein ISMS verfolgt drei vorrangige Schutzziele in Unternehmen:

  1. Schutz der Verfügbarkeit: IT-Systeme, Anwendungen und elektronische Informationen stehen ohne Einschränkung zur Verfügung und im Zugriff.
  2. Schutz der Vertraulichkeit: Nur berechtigte Mitarbeitende haben Zugang zu Informationen.
  3. Schutz der Integrität: Alle Daten sind in einem vollständigen und einwandfreien Zustand.

Diese Schutzziele sind die Basis jedes Informationssicherheitsmanagements und sind definiert in der ISO 27001 aus der ISO 27000-Normenreihe sowie dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik.

 

Verantwortung im Unternehmen: ISMS-Beauftragte bestimmen

Um Informationssicherheit in allen Unternehmensbereichen gewährleisten zu können, sind klare Verantwortlichkeiten notwendig. Im ersten Schritt ist hier die oberste Leitungsebene im Unternehmen gefragt. Nach dem Top-Down-Ansatz von ISMS geht von dieser Ebene die Initiative aus, Sicherheitsziele und Rahmenbedingungen festzulegen und Leitlinien zur Informationssicherheit aufzustellen. Die operative Arbeit übernehmen dann nachgeschaltete Abteilungen und Expert:innen.

Der erste Schritt auf diesem Weg ist die Benennung eines oder einer Informationssicherheitsbeauftragten, der oder die als Ansprechpartner:in für sämtliche Fragen rund um die Informationssicherheit fungiert. Er oder sie ist die zentrale Kommunikationsstelle im ISMS-Prozess, der in enger Zusammenarbeit mit den IT-Verantwortlichen die konkrete Umsetzung von Planungsschritten koordiniert, vornimmt und überwacht.

 

ISMS: ISO 27001 – Das spricht für eine Zertifizierung

Die ISO 27001 ist im Gegensatz zu anderen Standards wie BSI 200-1, ISIS 12 und TISAX eine national wie international anerkannte Größe. Für Unternehmen bietet dieser Standard deutlich mehr Anerkennung bei internationalen Handelsbeziehungen als beispielsweise die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik im BSI-Grundschutz.

Auch von der Ausrichtung her ist die ISO-27001-Richtlinie dem BSI-Grundschutz überlegen. Die Vorgaben in der BSI-Empfehlung sind vielfach sehr formal und manchmal einengend. Die Richtlinien der ISO 27001 hingegen bieten mehr Freiräume, mit denen sich Maßnahmen einfacher an spezifische Risikolevel anpassen lassen. Dies ermöglicht eine breitere Anwendbarkeit und Offenheit für technologische Entwicklungen.

Mit der ISO 27001 können Unternehmen eine ganze Reihe von sicherheitsrelevanten Aspekten abdecken. Die wichtigsten davon sind:

  • Sicherheit im Zugriff garantiert, dass Informationen nur für berechtigte Personen zugänglich sind.
  • Verfügbarkeit von Informationen sorgt dafür, dass nur befugte Benutzer:innen Zugang zu Informationen haben.
  • Wirksamer Schutz aller Daten beinhaltet sowohl Einzelinformationen als auch Geschäftsprozesse.
  • Dokumentierte Sicherheit liefert den Nachweis, dass alle notwendigen Voraussetzungen zum Schutz vor Sicherheitslücken getroffen sind.
  • Etablierung eines Sicherheitsbewusstseins für Mitarbeitende eines Unternehmens durch laufende Schulungen und Unterweisungen schafft eine entsprechende Sensibilität.
  • Gewährung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden vermeidet Missverständnisse und Unklarheiten.
  • Garantierter Sicherheitsnachweis für Kunden, Geschäftspartnern und Investoren sorgt für Vertrauen in Handelsbeziehungen.
  • Kontinuierliche Verbesserung der IT-Prozesse im Unternehmen durch permanente Prozesskontrollen und Bewertungen verhindert Stillstand und fördert die Wettbewerbsfähigkeit.
  • Kostensenkung und Imagegewinn durch Vermeidung von Sicherheitsvorfällen gegenüber Kunden und Partnern beziehungsweise in der Öffentlichkeit.

Ein auf das Unternehmen zugeschnittenes ISMS senkt somit IT-Risiken nachhaltig. Die Maßnahmenplanung verbessert außerdem die Wirtschaftlichkeit und führt dazu, dass alle relevanten Prozesse an die Entwicklung und das Wachstum eines Unternehmens angepasst werden.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/isms-information-security-management-systeme-einfach-erklaert/