22.01.2010 • Topstory

In fünf Schritten zum ISMS

Die Bedeutung der Informationssicherheit für Unternehmen wächst mit der zunehmenden Abhängigkeit der Geschäftsprozesse von der Informationstechnologie. Ein Ausfall von IT-Systemen ...

Die Bedeutung der Informations­sicherheit für Unternehmen wächst mit der zunehmenden Abhängigkeit der Geschäftsprozesse von der In­formations­technologie. Ein Ausfall von IT-Systemen kann mit erheb­lichen finanziellen Schäden für die Unternehmen selbst oder die Kunden verbunden sein. Hier hilft die Einführung eines Informationssicherheits-Managementsystems. Ein Beitrag von Peter Bodino, Geschäftsführer des Beratungs- und Dienstleistungsunternehmens Trigonum.

Informationswerte, hierzu gehören das Entwicklungs- und Produktions-Know-how, das allgemeine Unternehmenswissen, aber auch phy­sische Werte, Software, Dienstleistungen und Mitarbeiter sind ständig Gefahren ausgesetzt. Informationswerte müssen in Bezug auf die drei Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität geschützt werden. Vertrauliche Daten dürfen nur von berechtigten Personen zur Kenntnis genommen und weitergegeben werden. Die Korrektheit der Daten und die Funktionsweise von Systemen muss sichergestellt werden, und es dürfen nur autorisierte Benutzer auf Daten und Systeme ungehindert zugreifen können.

Informationssicherheits-Managementsystem

Um dies zu gewährleisten, bietet sich die Ein­führung eines Informationssicherheits-Managementsystems, kurz ISMS, gemäß der Norm ISO 27001 an. Als integraler Bestandteil der Geschäftsprozesse soll so eine gesteigerte Sicherheit im Unternehmen durchgesetzt werden. Weitere Ziele des ISMS sind das Erlangen von Kenntnis und Kontrolle über die IT-Risiken, die Dokumentation von Strukturen und Prozessen und ein verbessertes Business Continuity-Management. Ein gesteigertes Sicherheitsbewusstsein der Mitarbeiter und eine Kostenreduktion durch die transparenten und optimierten Strukturen werden zudem angestrebt.

ISO 27001 und PDCA-Modell


Immer mehr Kunden fordern von ihren Lieferanten den konkreten Nachweis, dass ein effizientes Informationssicherheits-Managementsystems etabliert wurde. Der Verband der deutschen Automobilindustrie (VDA) bspw. empfiehlt seinen Mitgliedern den Aufbau eines Informationssicherheits-Managementsystems nach ISO 27001. Es ist anzunehmen, dass in naher Zukunft in Ausschreibungen zunehmend ISO 27001-Zertifikate als Entscheidungskriterium für die Auftragsvergabe gefordert werden. Die ISO 27001 beruht auf dem Plan-Do-Check-Act-Modell (PDCA) zur Implementierung und Aufrechterhaltung eines ISMS. Die Phase „Plan" dient der Konzeption und Planung des ISMS. In der Phase „Do" wird ein ISMS Schritt für Schritt aufgebaut und betrieben. Die Phase „Check" soll dabei helfen, den erreichten Stand des Systems sichtbar zu machen, das ISMS beobachten um so einen Beitrag zur effizienten Steuerung leisten zu können. Die Phase ACT dient der Pflege und der Verbesserung. Organisationen, die sich in dieser Phase befinden, verfügen über ein arbeitendes System sowie erste Erfahrungen damit. Diese Erfahrungen können nun für die Weiterentwicklung genutzt werden.

Die fünf Schritte einer ISMS-Umsetzung


Die ISO 27001 ist der erste internationale Standard, der eine Auditierung und Zertifizierung ­eines ISMS ermöglicht. Um die IT-Sicherheit nachhaltig steigern zu können, müssen zunächst die Gefahren und Bedrohungen mittels einer ­Risikoanalyse ermittelt werden. Dieses umfasst im ersten Schritt das Identifizieren von Schwachstellen beim Schutz der Unternehmenswerte. Im Anschluss daran wird der Unternehmensstatus bestimmt, d. h. ermittelt, welche Gefahren bereits durch ergriffene Maßnahmen abgedeckt werden. Die restlichen ­Risiken werden in einer Risiko­bewertung nach Eintrittswahrscheinlichkeit und Schadensausmaß beurteilt. Weiterhin müssen vorbeugende und kor­rigierende Maßnahmen geplant werden. Was sich in der Theorie so einfach anhört, ist jedoch meist nicht unproblematisch. Welche ­Unternehmenswerte müssen betrachtet werden? Wie werden Eintrittswahrscheinlichkeit und Schadensausmaß ­bestimmt? Wie hat ein ISO 27001-konformes Vorgehen auszusehen und wie werden die gesammelten und erstellten Dokumente verwaltet?

Risikomanagementtools geben Orientierung und entlasten


Hilfe können hierbei spezielle Risikomanagementtools bieten. Das RM-Studio unseres is­ländischen Partners Stiki hilft dabei, Risiken zu identifizieren, diese zu verfolgen und angemessene Maßnahmen zu definieren. Dabei sind bereits die Standards IT-Grundschutz nach BSI, ISO 27001 und ISO 27002 für Informationssicherheits-Managementsysteme integriert. Aufgrund der leicht lernbaren und intuitiven Bedienbarkeit ist gewährleistet, dass der Nutzer durch den gesamten Prozess der Risikoanalyse geführt wird. Vordefinierte Gefahren und Maßnahmen zu Risikobehandlung für einzelne Assets unterstützen den Anwender, schnell eine Statusbestimmung durchzuführen. Abhängig von dem individuell festgelegten Sicherheitsniveau werden als Resultat konkrete Maßnahmen vorgeschlagen, welche als Basis für eine individuelle Umsetzungsplanung dienen können. Die zentrale Datenhaltung und das integrierte Reporting geben jederzeit Auskunft über das aktuelle Risikoniveau.

Neben diesen Hilfestellungen bietet RM-Studio zusätzlich die Möglichkeit für umfangreiche individuelle Ergänzungen. So lassen sich eigene Assets definieren und die damit verbundenen Bedrohungen und Maßnahmen im System hinterlegen. RM-Studio bietet somit eine hervorragende Unterstützung für das Unternehmensrisikomanagement im Mittelstand. Die Einschätzung, Risikomanagement sei wirtschaftlich nicht tragbar, ist damit unbegründet.
Für die folgende Phase der Risikobehandlung müssen alle Handlungen nachvollziehbar und auswertbar dokumentiert werden. Das hierfür notwendige Informations- und Dokumentenmanagement stellt in vielen Unternehmen kein leichtes Unterfangen dar. Funktionieren die Freigabe, die Versionierung und lückenlose Änderungsverfolgung von Dokumenten problemlos? Erhalten alle Mitarbeiter zeitnah Zugang zu benötigten Dokumenten und Informationen? Häufig müssen diese oder ähnliche Fragen mit „nein" beantwortet werden. Doch das muss nicht sein!

Collaborationsoftware


Basierend auf Best Practices und jahrelanger ­Erfahrung hat die Firma Trigonum genau hierfür Tools und Prozesse entwickelt, die zu einer nachhaltigen Steigerung der Effizienz im Unternehmen führen. Anpassbar an unternehmensindividuelle Rahmenbedingungen liefert das Beratungshaus mit „Trigonum Collaboration" eine flexible und vorkonfigurierte Lösung für die Unterstützung des Aufbaus und der Dokumentation eines ISMS. Dies betrifft insbesondere die Verwaltung der für das ISMS gemäß der ISO 27001 notwendigen Dokumente. Diese unterliegen innerhalb der Kollaborationslösung Genehmigungsprozessen und können zentral verwaltet und versioniert werden.

Templates, bestehend aus Dokumentenstrukturen und Beispielen für die wichtigsten Richtlinien, Umsetzungskonzepte, Betriebsführungshandbücher und Formulare, unterstützen und beschleunigen die Erstellung systemrelevanter Dokumente. Der Bearbeitungs- und Umsetzungsstatus kann für das Management mithilfe des eigens hierfür entwickelten Berichts­wesens vi­sua­lisiert werden. Dies setzt neue Maßstäbe im Bereich der Transparenz hinsichtlich der Konzept­umsetzung. Ergebnisse sind Prozessoptimierung, eine hohe Betriebssicherheit und funktionierende Notkonzepte.

Zusammenfassung


Eine Kombination von Risikomanagement- und Collaborationssoftware bringt beim Aufbau eines ISMS große Vorteile. Vorkonfigurierte Lösungen unterstützen auf der einen Seite die Mit­arbeiter, die Anforderungen der ISO 27001 ­normenkonform umzusetzen, und zum anderen das Management, die relevanten Prozesse effi­zient zu überwachen und zu steuern. Diese Prozessoptimierungen in der IT-Betriebsführung führen zu dauerhaften Kosteneinsparungen. Die durch ein ISMS nach ISO 27001 nachweisbare Sicherheit der IT-Landschaft hilft dabei, neue Kundengruppen zu erschließen und das Vertrauen von Kunden zu steigern. Auch kann eine Basis für weitere Optimierungen in der Unternehmensorganisation geschaffen werden - z. B. für den Aufbau eines IT-Servicemanagements nach ISO 20000. Es ist jedoch unbedingt zu beachten, dass die Unterstützung durch Tools eine professionelle Beratung nicht ersetzen kann.

Meist gelesen