Die Informationssicherheit ist in den letzten Jahren als Aufgabe der Geschäftsführung eines jeden Unternehmens angekommen und wird im Regelfall entweder durch die IT-Leitung oder durch die Geschäftsleitung selbst gesteuert.
Die Aufgaben innerhalb der Informationssicherheit sind vielfältig und umfassen im Regelfall alle Geschäftsbereiche eines Unternehmens.
Zu beachten sind jede Menge unternehmensinterne Vorgaben, nationale und internationale Normen oder nationale und internationale Gesetze, z.B. je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, ISO 27000, KRITIS, TISAX®, PCI-Vorgaben und bei international agierenden Unternehmen z.B. ISO 15408 (common criteria), IEC 62443, HIPAA, CCPA, NIST, GLBA oder SOX.
Während die IT-Sicherheit im wesentlichen die in elektronischer Form gespeicherten Daten bzw. Informationen schützt, beschränkt sich die Informationssicherheit nicht auf die digitale Formen von Informationen.
Die Informationssicherheit beinhaltet auch die gedruckten Informationen oder auch die sprachliche Weitergabe von Informationen von Mensch zu Mensch.
Im Grunde kann gesagt werden, das die IT-Sicherheit die minimale technische Basis zum Schutz von Daten darstellt und erst die Informationssicherheit alle notwendigen Bereiche mit einbindet um Informationen zu schützen bzw. um die Brücke zum Datenschutz zu etablieren.
Die ISO 27000 ist der internationale Standard bzgl. der Informationssicherheit, daher setzen viele Unternehmen die Informationssicherheit anhand der ISO 27000 um. Durch Abarbeitung der entsprechenden Kataloge aus der ISO 27000 werden Maßnahmen erzeugt, welche in der späteren Umsetzung das Niveau der Informationssicherheit verbessern.
Für größere Unternehmen ist dies der einzig sinnvolle Weg da häufig auch die entsprechenden ISO 27000 Zertifizierungen in den Geschäftsprozessen benötigt werden. Kleinere Unternehmen haben im Regelfall nicht die harten Anforderungen, z.B. eine ISO 27000 Zertifizierung nachweisen zu müssen. Allerdings haben sie eine vergleichbare Gefährdungslage, sobald in den kleineren Unternehmen Internet basierte IT-Systeme zum Einsatz kommen.
Häufig ist es für die kleineren Unternehmen nicht wirtschaftlich um die ISO 27000 entsprechend umzusetzen. Hier stellt sich dann auch die Frage, ob eine ganzheitliche Umsetzung der Informationssicherheit für ein solches Unternehmen Sinn macht. Diese Entscheidung obliegt der Geschäftsleitung des Unternehmens. Diese Unternehmen, welche sich gegen eine ganzheitliche Umsetzung der ISO 27000 entscheiden können, müssen dennoch die Informationssicherheit für ihr Unternehmen sicherstellen und benötigen eine Möglichkeit sich
a) der bestehenden Gefährdungslage bewusst zu werden und
b) Maßnahmen zu entwickeln um die Gefährdung zu minimieren.
Das IT-Risikomangement kann hier die Brücke zu einer verbesserten Informationssicherheit bilden. Aus dem IT-Risikomanagement bzw. einer IT-Risikobewertung entstehen ebenfalls Maßnahmen, welche in der späteren Umsetzung das Niveau der Informationssicherheit verbessern. Häufig verändert sich auch die Einschätzung der Geschäftsleitung, wenn das erste Mal ehrlich über die Gefährdungslage und mögliche Risiken gesprochen wurde.
Die Maßnahmen, welche aufgrund einer IT-Risikobewertung entstehen, sind meistens relativ identisch zu den Maßnahmen, welche über ISO 27000 Kataloge ermittelt werden. Weitet man diese Überlegung noch auf den Datenschutz aus, so wird schnell klar, das diese Maßnahmen sich häufig auch mit den sogenannten TOMs (den technischen und organisatorischen Maßnahmen) decken.
Somit stellt eine IT-Risikobewertung ein Weg bereit, um mit überschaubarem Aufwand sich der Gefährdungslage und der benötigten Maßnahmen bewusst zu werden. Und dies gleich für die Themengebiete der IT-Sicherheit, der Informationssicherheit und des Datenschutzes.
Abhängig der jeweiligen Ergebnisse kann anschließend die Geschäftsleitung anhand der Maßnahmen und der jeweiligen Wirtschaftlichkeit der Maßnahmen die weiteren Schritte entscheiden und im Rahmen einer Prozessdefinition die Zielerreichung mit einem, auf die Bedürfnisse des jeweiligen Unternehmens zugeschnittenen, Informationssicherheitsmanagementsystems (ISMS) sicherstellen.
Ziele der Informationssicherheit
Bekannt aus der IT-Sicherheit sind die Schutzziele
Vertraulichkeit der Information
Die Vertraulichkeit der Information ist der Schutz vor unbefugter Preisgabe von Informationen an unberechtigte Dritte. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Integrität der Information
Die Integrität der Information ist die Verhinderung unautorisierter Modifikation von Information. Informationen dürfen ausschließlich nur von Berechtigten verändert werden.
Verfügbarkeit der Information
Die Verfügbarkeit von Informationen im Sinne der IT-Sicherheit bedeutet, dass die Funktionen eines IT-Systems ständig bzw. innerhalb einer vorgegebenen Zeit, auf die benötigten Informationen zugreifen kann bzw. die Information zur Verfügung steht
Ergänzend kommen bei der Informationssicherheit noch die nachfolgenden Schutzziele hinzu:
Verbindlichkeit
gewährleistet bei der Übertragung von Informationen, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann
Nichtabstreitbarkeit
gewährleisten, dass der Versand und Empfang von Daten und Informationen nicht in Abrede gestellt werden kann
Authentizität
gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.
Zuverlässigkeit
gewährleistet, dass jedes Unternehmen ihre zentralen Informationswerte und Geschäftsprozesse kennt und deren Schutzbedarf und Risiken individuell bewertet hat, um somit die richtige Strategie zur Umsetzung der Informationssicherheit gewählt zu haben
Abhängig der jeweiligen Anforderungslage müssen im Unternehmen die verschiedensten Vorgaben, z.B. Normen, interne Regelungen nationale und internationale Gesetzte beachtet werden. Nahezu jede Anforderungsumgebung stellt entsprechende Kataloge bereit, welche Im Rahmen von entsprechenden Bewertungen abgearbeitet werden müssen. Als Ergebnis dieser Bewertungen erhält man Maßnahmen, welche nach einer Wirtschaftlichkeitsbewertung in die Umsetzung des ISMS gegeben werden sollten.
Letztlich entstehen die technischen und organisatorischen Maßnahmen, sobald die genannten Vorgaben oder Kataloge, welche aufgrund von Gesetzten entstanden sind auf IT-Umgebungen angewandt werden.
Die klassische Methode in der IT-Sicherheit ist die IT-Risikobewertung. Ebenso bekannt zur Erzeugung von TOMs ist auch die bereits angesprochene Bewertung nach ISO 27000.
In der DSGVO im Art. 32 sind ebenso Grundzüge hierzu beschrieben.
Die TOMs entstehen indem man die obigen Kontrollen auf die jeweiligen Bereiche der vorhandenen IT-Umgebung anwendet, die entsprechenden Defizite ausarbeitet und Maßnahmen zur Zielerreichung definiert.
Es gibt kein generelles Kochrezept für die TOMs. Sie sind zu einem großen Teil Unternehmensspezifisch und müssen somit immer im Unternehmen ermittelt werden.
Unabhängig hiervon gibt es eine ganze Reihe von TOMs, welche nahezu immer wieder vorkommen. An dieser Stelle treffen sich die Informationssicherheit, die IT-Sicherheit und der Datenschutz. Diese häufig wiederkehrenden TOMs sind im Regelfall Maßnahmen aus der IT-Sicherheit.