Informationssicherheit

Die Informationssicherheit ist mittlerweile als Aufgabe der Geschäftsführung eines jeden Unternehmens angekommen und wird im Regelfall entweder durch die IT-Leitung oder durch die Geschäftsleitung selbst gesteuert. Die Aufgaben innerhalb der Informationssicherheit sind vielfältig und umfassen mindestens die Bereiche Organisation, Prozesse und Produktion. Zu beachten sind jede Menge Vorgaben z.T. Gesetze, z.B. je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, KRITIS, PCI-Vorgaben und bei international agierenden Unternehmen z.B. HIPAA, CCPA, NIST, GLBA oder SOX.

IT-Sicherheit versus Informationssicherheit

Während die IT-Sicherheit im wesentlichen die in elektronischer Form gespeicherten Daten bzw. Informationen schützt, beschränkt sich die Informationssicherheit nicht auf digitale Formen von Informationen. Im Grunde kann gesagt werden, das die IT-Sicherheit die minimale Basis zum Schutz von Daten darstellt und erst die Informationssicherheit alle notwendigen Bereiche mit einbindet um die Brücke zum Datenschutz zu etablieren.

Risikomanagement

Gemäß Wikipedia ist das Risikomanagement in Unternehmen das Management von Unternehmensrisiken durch deren Risikoidentifikation, Risikoanalyse, Risikoquantifizierung, Risikoaggregation, Risikobeurteilung, Risikobewertung, Risikokommunikation und abschließende Risikobewältigung. Soweit die Definition. In den meisten Fällen reicht es aus eine Schutzbedarfsanalyse inklusive einer Risikoquantifizierung durchzuführen. Sofern wichtige und vertrauliche Daten z.B. personenbezogene Daten entsprechend geschützt werden, so ist das verbleibende Risiko deutlich geringer als das Ausgangsrisiko. Allerdings sollte man bei der Schutzbedarfsanalyse ehrlich sein und nicht annehmen das schon nichts passieren wird. Im Ergebnis erhält man einen Überblick der bestehenden Risiken und kann anschließend entsprechende Maßnahmen zur Risikobewältigung etablieren.
Ein wichtiger Aspekt beim Risikomanagement ist der wirtschaftliche Aspekt. Hier muss man aufpassen da es keinen Sinn macht für viel Geld Maßnahmen zu etablieren und im Ergebnis das Risiko fast nicht zu senken. Jeder Geschäftsbetrieb muss mit Risiken umgehen und somit werden sich Risiken niemals komplett vermeiden lassen.

Begrenzung der Haftungsrisiken

Mit der DSGVO sind die Haftungsrisiken erneut erheblich gestiegen und jedes Unternehmen ist gut beraten sich kontinuierlich um die sogenannten TOMs (technisch und organisatorischen Maßnahmen), welche z.B. aus dem Mitarbeiterdatenschutz oder aus der Verarbeitung personenbezogener Daten entstehen, zu kümmern. Glücklicherweise sind die TOMs recht eng mit den Maßnahmen, welche aus der Informationssicherheit entstehen, verbunden und so wird zumindest keine unnötige Doppeltätigkeit erzeugt.
Faktisch lassen sich die Haftungsrisiken nur durch entsprechende Prozesse, sprich kontinuierlich, wiederkehrende Überprüfungen der TOMs, begrenzen. Alles andere funktioniert nicht.

Was sind die TOMs?

De Grundzüge zur Ermittelung der TOMs sind in der DSGVO im Art. 32 und im BDSGneu Art. 64 beschrieben. Im Grunde werden an den jeweiligen Stellen die notwendigen Kontrollen beschrieben, welche durch die Geschäftsführung jeweils zu erfolgen haben. Diese sind z.B. die Zugangskontrolle, die Datenträgerkontrolle, die Speicherkontrolle, die Benutzerkontrolle und die Zugriffskontrolle. Weitere Details können in den bereits genannten Gesetzen nachgelesen werden.

Die TOMs entstehen indem man die obigen Kontrollen auf die jeweiligen Bereiche der Geschäftstätigkeit anwendet, Die entsprechenden Defizite ausarbeitet und entsprechende Maßnahmen zur Zielerreichung definiert. Es gibt kein generelles Kochrezept für die TOMs. Sie sind zu einem großen Teil Unternehmensspezifisch und müssen im Unternehmen ermittelt werden. Unabhängig hiervon gibt es eine ganze Reihe von TOMs, welche nahezu immer wieder vorkommen. An dieser Stelle kommt auch die Informationssicherheit und auch die IT-Sicherheit wieder in das Thema. Diese meistens wiederkehrenden TOMs sind im Regelfall Maßnahmen aus der IT-Sicherheit und kommen aus den Themenbereichen. Die ersten TOMs entstehen im Regelfall bereits bei der Schutzbedarfsanalyse. Diese sind in den allermeisten Fällen auch dem Themenbereich der IT-Sicherheit zuzuordnen.

Authentisierung, eine Person oder Instanz erbringt den Beweis dafür, dass sie ist, wer sie zu sein vorgibt. Im Alltag geschieht dies z. B. durch die Vorlage des Personalausweises. In der IT wird hierfür häufig ein Passwort in Kombination mit einem Benutzernamen genutzt.

Autorisation, eine Person oder Instanz wird berechtigt um auf bestimme Daten oder Informationen zuzugreifen. Dieses Thema läuft auch häufig und dem Stichwort Rollen und Rechte.

Verschlüsselung, Daten oder Informationen werden durch eine Verschlüsselung vor Veränderung oder Verfälschung geschützt. Dies betrifft sowohl den Transport von Daten oder Informationen als auch deren Ablage. Es gibt verschiedene Verschlüsselungen, wobei die „schwachen“ Verschlüsselungen nicht mehr akzeptiert werden.

Verfügbarkeit, Daten oder Informationen stehen gemäß des definierten Bedarfs zur Verfügung. Die Verfügbarkeit ist ein bekannter Begriff aus dem IT-Servicemanagement und wird meist in Monaten angegeben, z.B. 99,9 % per Monat.

Dokumentation, in der vorliegenden Definition umfasst hier der Begriff Dokumentation auch die Themenbereiche des Audit und der Protokollierung. Eigentlich sind es jeweils für sich eigenständige Aufgabenbereiche, werden aber häufig zusammen abgearbeitet.

Die oben genannten fünf Bereiche sind immer noch sehr abstrakt und nachfolgend werden je Bereich hier nur einige wenige Beispiele an Maßnahmen heraus gearbeitet.

Maßnahmen Authentisierung
– Applikationsliste per Mitarbeiter erstellen
– Passwortrichtlinie erstellen und umsetzen
– Zertifikate bei den Internet basierenden Applikationen einsetzen

Maßnahmen Autorisation
– Applikationsliste per Mitarbeiter erstellen
– Berechtigungskonzept erstellen und umsetzen

Maßnahmen Verschlüsselung
– https als Transportverschlüsselung etablieren
– Festplattenverschlüsselung bei Notebooks einsetzen
– Internet basierende Applikationen auf https umstellen

Maßnahmen Verfügbarkeit
– redundanten Internetzugang bereitstellen
– Betriebshandbücher für alle wichtigen Applikationen erstellen und bereithalten
– IT-Notfallkonzept erstellen und bereithalten
– USV Konzept erstellen und umsetzen

Maßnahmen Dokumentation
– Dokumentationsvorgaben erstellen und in den Arbeitsprozessen etablieren
– IT-Notfallkonzept erarbeiten und umsetzen
– Protokollierungskonzept erstellen und Systemtechnik darauf anpassen

Es gibt auch verschiedene Einzelmaßnahmen, welche auf mehrere Bereiche einzahlen

Applikationsliste erstellen
Um in den beiden Themen Authentisierung und Autorisation voran zu kommen, ist es notwendig zu wissen, welcher Mitarbeiter welche Applikationen nutzen. Die Applikationsliste bildet die Grundlage für weitere Maßnahmen, z.B. Passowrtrichtlinie erstellen.


Penetrationstests
Eine Softwareentwicklung ohne kontinuierlichen Pen-Test ist heute nicht mehr denkbar. Wir haben daher entschieden, das wir unser Know How zum Pen-Testing auch unseren Kunden anbieten.

IT-Notfallkonzept
Beim IT-Notfallplan handelt es sich um eine Art Handbuch, das Handlungsanweisungen und Notfallmaßnahmen bei Problemen mit der IT beinhaltet. Mit Hilfe des IT-Notfallplans lassen sich Ausfallzeiten verkürzen und die Schäden durch IT-Probleme minimieren. In dem IT-Notfallplan steht z.B. drin, in welcher Reihenfolge wichtige Applikationen wieder gestartet werden müssen.


Produktanfrage

Schicken Sie uns Ihre Anfrage, und wir erstellen ein ganz individuelles Angebot für Sie! Und wir beantworten gerne jede Ihrer Fragen!