Die Erfolgsfaktoren für die Umsetzung eines ISMS

Information Security Management – alles im Griff oder Devise Hoffnung?

Als Sicherheitsverantwortlicher wissen Sie, welche Risiken für Unternehmen ohne profundes Information Security Management entstehen. Sie konnten jedoch das Management Ihres Unternehmens noch nicht überzeugen, ausreichend Budget bereitzustellen und die entsprechenden Maßnahmen einzuleiten? Resignieren Sie nicht. Orientieren Sie sich an den Erfolgsfaktoren für die Einführung und Etablierung eines ISMS.
Ihr Unternehmen ist in seiner Branche führend, vielleicht sogar Weltmarktführer und/oder dem Wettbewerb aufgrund von Prozess- und Produktionswissen weit voraus? Meistens ist dies das Ergebnis jahrelanger harter Arbeit vieler Menschen, das es zu schützen gilt. Denn es gibt viele Motive, Ihrem Unternehmen zu schaden. Dies zeigen u. a. die massiv ansteigenden Delikte im Bereich der Wirtschaftskriminalität und die zahllosen Cybercrime-Attacken der vergangenen Jahre. Haben Unternehmen dies im Blick, ist die konsequente und professionelle Etablierung eines Informationssicherheitsmanagementsystems (ISMS) für eine verantwortungsvolle Unternehmens-führung unumgänglich. Die Abhängigkeit des Geschäftserfolgs von sicherer Informationstechnologie, die zunehmende Auslagerung von Services und Informationen (Outsourcing, Cloud Computing etc.), Compliance Anforderungen und weiter steigende Bedrohungen lassen den Verzicht auf ein ISMS unter dem Gesichtspunkt der Verantwortlichkeit nicht zu.
Als Sicherheitsverantwortlicher können Sie nur mit einem gut funktionierenden ISMS einen ganzheitlichen und nachhaltigen Beitrag zum Unternehmensrisikomanagement leis-ten. Alles andere ist Stückwerk und häufig nur gefährliche Feigenblattpolitik unter dem Motto „Wir tragen diesem Thema auch irgendwie Rechnung“.

Umfassendes Information Security Management

Die Grundpfeiler, die für ein umfassendes Information Security Management erfüllt sein müssen, sind die folgenden:

  • Die Geschäftsführung Ihres Unternehmens ist sich der Bedeutung eines ISMS für den Unternehmenserfolg bewusst, und die Fachabteilungen arbeiten als Owner der Werte und Assets im Sicherheitsmanagement aktiv und motiviert mit.
  • In Ihrem Unternehmen ist das Information Security Management kein Einzelprojekt, sondern ein permanenter Prozesskreislauf von Planung, Umsetzung, Über-prüfung und Verbesserung.
  • Das Zusammenspiel zwischen Sicherheitsexperten und Fachabteilungen basiert auf klar definierten Prozessen, und das Management wird monatlich, viertel- und halbjährlich auf Basis profunder Daten zum Stand der Risiken und Bedrohungen informiert.
  • In Ihrem ISMS ist eine ganzheitliche Betrachtung von Schwachstellen und Risiken im Zusammenspiel von Technik, Prozessen und Menschen umgesetzt und lückenlos dokumentiert.

Falls Sie in Ihrem Unternehmen noch weit von dieser Situation entfernt sind, sollten Sie nicht aufgeben, sondern die Blockaden überwinden und die Geschäftsführung mit einem verständlichen Business Case, der alle wichtigen Punkte auch für „Nicht-IT-Experten“ anschaulich darlegt, überzeugen. Machen Sie deutlich, dass Sie, selbst bei bestem Willen und hervorragender Qualifikation, ohne funktionierendes ISMS nicht den erforderlichen Beitrag zur Informationssicherheit und damit zum Unternehmenserfolg leisten können, der möglich wäre.

ISMS-Projekte zielgerichtet umsetzen

Aus der Erfahrung von vielen nationalen und internationalen ISMS-Projekten hat WMC die wesentlichen Erfolgsfaktoren für die erfolgreiche Einführung und Etablierung eines ISMS in einer Organisation bestimmt:

Klären Sie die Fakten: Der Unterschied zwischen IT-Sicherheit und ganzheitlicher Informationssicherheit ist Managern, die sich in ihrem Tagesgeschäft mit anderen Dingen beschäftigen, häufig noch nicht klar. Die Begriffe sind am Beispiel Auto betrachtet in etwa so identisch wie der Motor und das komplette Fahrzeug. Machen Sie deutlich, dass Informationssicherheit wesentlich mehr ist als die technische Absicherung der Verfügbarkeit von IT-Anwendungen und die Einhaltung von Datenschutzaspekten. Informationen ( Entwicklungen, Patente, Angebote, Verträge etc.) sind Unternehmenswerte, die in nahezu jeder Organisation intern oder extern auf Hard- und Software gespeichert werden und deren Vertraulichkeit, Verfüg-barkeit und Integrität sichergestellt sein müssen, um den Unternehmensbestand zu gewährleisten.

Zeigen Sie Einsparpotenziale auf: Die vollumfängliche Absicherung von IT-Infra-strukturen erfordert hohe Budgets. Durch ein ISMS gehören Informationssicherheitsmaßnahmen mit der „Gießkanne“ der Vergangenheit an. Durch die Transparenz der Risikoverteilung im Unternehmen kann bedarfsgerecht investiert werden. Das erzielt Kosteneinsparung bei gleichzeitiger Verbesserung der Sicherheitssituation.

Erläutern Sie Zusatznutzen: Neben der primären Verbesserung des Sicherheits-status unterstützt ein ganzheitliches ISMS durch die Historisierung und Dokumentation die Kontroll- und Aufsichtspflichten des Managements, reduziert die Haftung und verbessert das Image sowie das Vertrauen von Kunden und Auftraggebern.

Schaffen Sie Einsichten: Machen Sie klar, dass z. B. Datenspionage in nahezu keinem Fall so erkennbar ist, wie noch vor 20 Jahren ein aufgebrochener Safe. Es gibt oft-mals nahezu keine offensichtlich erkenn- baren Angriffsspuren, aber umso herbere Erkenntnisse, wenn z. B. ein ausländischer Wettbewerber die Neuentwicklung Ihres Hauses bereits kurze Zeit nach Ihnen viel günstiger anbieten kann oder plötzlich Ihre Angebote an Kunden von Wettbewerbern permanent unterboten werden.

Fordern Sie Commitment: Auf Ihre Analysen und Maßnahmenvorschläge zur Risikobegegnung hören Sie Antworten aus der Geschäftsleitung wie: „Warum sollen wir für Informationssicherheit Geld ausgeben?“, „Bei uns ist doch noch nie was passiert“, „Wer sollte uns schon was anhaben wollen?“ Nun, grundsätzlich kann jedes Management entscheiden, ob es ein Risiko tragen möchte. Aber idealerweise tut die Geschäftsführung dies aufgrund profunder Einschätzungen auf Basis von Fakten und nicht auf Basis von Vermutungen. Giovanni Agnelli (*1921), ital. Unternehmer (Fiat), bis 1996 Konzernchef, hat einmal gesagt: „[…] genau müssen wir schon sein, wenn wir uns über Risiken unterhalten. Denn die anderen, die es nicht so genau genommen haben, die finden wir alle auf dem Friedhof der Unternehmensgeschichte.“
Als Informationssicherheitsverantwortlicher tun Sie gut daran, sich in Fällen, in denen das Management meint, erkannte Risiken eingehen zu wollen, ein Risikoakzeptanz-papier unterzeichnen zu lassen. Wer Risiken tragen will, sollte kein Problem haben, schriftlich dazu zu stehen.

Fordern Sie Unterstützung: Machen Sie deutlich, dass Informationssicherheit das gesamte Unternehmen betrifft und die IT-Abteilung nur gemeinsam mit den Fachabteilungen bedarfsorientiert ein ISMS planen und umsetzen kann. Dieses Zusammenwirken funktioniert nur, wenn die Geschäftsführung von Anfang an hinter der ISMS-Einführung steht, da sonst das gesamte Vorhaben schon bei kleineren Umstrukturierungen während einer Umsetzungsphase ins Straucheln geraten kann und somit zum teuren Scheitern verurteilt ist.

Fordern Sie Zusammenarbeit und Mitwirkung: In einer frühen Phase benötigen Sie bereits die Unterstützung des Managements, um der gesamten Leitungsebene erläutern zu können, warum nur die Verbindung von IT-Assets, kombiniert mit dem Wissen der Fachabteilungen um die Kritikalität der Kerngeschäftsprozesse, es ermöglicht, den externen und internen Bedrohungen nachhaltig zu begegnen. Nur die Fachabteilungen kennen ihre Kern-prozesse so gut, dass in Zusammenarbeit mit ihnen die wirklich kritischen Informationen und Assets ermittelt werden können.
Die Differenzierung zwischen z. B. hochkritischen, kritischen und weniger kritischen Informationen und Assets ermöglicht ein individuell angemessenes und effizientes Risikomanagement und spart somit letzt-endlich Budget.

Arbeiten Sie mit Plan: Entwickeln Sie ein Einführungskonzept und planen Sie eine kontinuierliche Etablierung des ISMS. Beginnen Sie mit einzelnen hochkritischen Bereichen und erweitern Sie das ISMS sukzessive. Das fordert im ersten Schritt keine unüberschaubaren Investitionen, und die in einzelnen Bereichen bereits erarbeiteten Konzepte und Richtlinien können später auf weitere Abteilungen und Bereiche ausgerollt werden.

Seien Sie ein Teamplayer: Werben Sie um die Zusammenarbeit mit dem Unternehmensrisikomanagement und arbeiten Sie daran, dass die Ergebnisse des IT-Risikomanagements eine feste Komponente im Unternehmensrisikomanagement werden.

Nutzen Sie die verfügbaren Möglichkeiten: Nicht einmal die kleinste Organisation käme heute auf die Idee, z. B. die Finanzbuchhaltung per Excel umzusetzen. Alle Welt bedient sich der im Markt verfüg-baren Lösungen mit ihren automatisierten Berechnungen, Auswertungen und Dokumentationen. Die Planung und Etablierung eines funktionierenden ISMS in größeren Infrastrukturen ist eine komplexe Angelegenheit. Dennoch verzichten viele Informationssicherheitsverantwortliche heute noch auf die Unterstützung von Software. Prüfen Sie die Vorteile von Lösungsunter-stützung und die Hinzuziehung von externen Spezialisten. Das „Rad“ ISMS muss bei Planung und Einführung eines ISMS nicht neu erfunden werden. Leistungsstarke Lösungen verbinden die Themenbereiche Compliance, Risikomanagement, Security Incident Management, BCM/BIA einschließlich Dokumentation und Reporting übersichtlich, komfortabel und sind einfach zu bedienen. Die Usability schafft Anwenderzustimmung, besonders wenn moderne Wizards (Prozess-Assistenten) auch völlig ungeübte Nutzer durch komplette Prozesse führen. Dieser Komfort in Verbindung mit integrierten Prozessabläufen und Standards (ISO 27001 u. v. m.) bringt Akzeptanz in Fachabteilung und Management und spart Manpower und Kosten bei gleichzeitig signifikanter Verbesserung des Informationssicherheitsniveaus

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück

Operatives Risikomanagement im Unternehmen

Wollen Sie die Informationssicherheit in Ihrem Unternehmen stärken? Nachhaltiges Risikomanagement ist unverzichtbar!

Das Risikomanagement leistet einen wertvollen Beitrag dazu, sich als Unternehmen vor Angriffen, Gefahren und Bedrohungen zu schützen und Schäden zu vermeiden. Zudem ermöglicht es, alle gesetzlichen Vorgaben einzuhalten und liefert den Nachweis für eine verantwortungsvolle Unternehmensführung.

Auch wenn wir es alle nicht gern hören, Abhörskandale und Datenspionage verdeutlichen uns eindrücklich, dass es mehr Interesse an unseren Informationen gibt, als wir es im Allgemeinen für möglich halten. Dass besonders die Geschäftsgeheimnisse und Werte von technologisch führenden europäischen Unternehmen interessant für andere sind, liegt auf der Hand und wird permanent in zahlreichen Studien zur Cyberkriminalität dokumentiert.

Aber auch Datenpannen in Unternehmen oder Organisationen aufgrund mangelnder Kontrolle und lückenhafter Prozesse im IT-Management führen häufig zu hohen, ungeplanten Kosten und Imageverlusten. Doch was ist zu tun? Aufgeben, abwarten und hoffen, dass das eigene Unternehmen nicht betroffen sein wird, oder sinnvolle Schritte unternehmen, das Risikomanagement betreiben, um die Risiken zu minimieren? Die Antwort liegt klar auf der Hand.

Operatives Risikomanagement als Bestandteil erfolgreicher Unternehmensführung.

Heute sind nahezu alle Geschäftsprozesse IT-gestützt und nahezu alle Informationen werden digital be- und verarbeitet. Deshalb leistet operatives Risikomanagement im Bereich Informationssicherheit (IS) einen wesentlichen Beitrag zum erfolgreichen Gesamtrisikomanagement eines Unternehmens oder einer Organisation.
Risikomanagement in der Informationssicherheit dient
  • dem Schutz vor Gefahren und Bedrohungen,
  • der Vermeidung von Schäden und damit,
  • der Vermeidung von Schäden und damit der Minimierung von Risiken für die Organisation.
Neben der Einhaltung gesetzlicher Vorgaben trägt die Umsetzung eines planvollen, auf die Unternehmensbedürfnisse abgestimmten Risikomanagements wesentlich zum Nachweis verantwortungsvoller Unternehmensführung und der Gewähr der Vertrauenswürdigkeit gegenüber Lieferanten, Kunden, Banken und Versicherungen bei. Wirksames und methodisches Risikomanagement ermöglicht die Verbindung von Geschäftsprozessen, Informationen und IT-Assets. Nur so wird transparent, welche Geschäftsprozesse und Informationen (einschließlich unterstützender Systeme) hochkritisch, kritisch und weniger kritisch sind.
Diese Kenntnis erlaubt ein differenziertes Vorgehen und bietet die Möglichkeit:
  • auch in einer komplexen IT-Landschaft nachhaltige Prozesse zu etablieren, die Gefahren vorausschauend identifizieren,
  • entsprechende Risikobegegnungsmaßnahmen rechtzeitig einzuleiten,
  • Kosteneinsparpotenziale bei den Investitionen in technische Produkte, bei den Service-Level-Agreements und durch die Standardisierung von Prozessen zu identifizieren und
  • auf Basis von belegbaren Fakten zu entscheiden und bedarfsgerecht zu agieren.

Wirksames Risikomanagement

Wirksames Risikomanagement muss kontinuierlich betrieben werden, wie es die Plan-Do-Check-Act-Methodik beispielsweise im ISO-Standard 27005 vorsieht. Es sollte in der Lage sein, Geschäftsprozesse und Informationen mit den IT-Assets so zu verbinden, dass alle Geschäftsprozesse und Informationen entsprechend ihrer Kritikalität vollständig, wirtschaftlich und methodisch identifiziert und optimal bedarfsgerecht abgesichert werden können.

Risikomanagement ist zudem dann erfolgreich, wenn es

  • an den individuellen Erfordernissen des Unternehmens ausgerichtet ist,
  • alle branchenspezifischen Anforderungen abbilden kann,
  • den Compliance-Anforderungen entspricht und eine vollständige Analyse und Behandlung aller IS-Risiken erlaubt,
  • so konzipiert ist, dass es die beteiligten Fachabteilungen dazu motiviert, sich zu beteiligen, auch wenn diese nicht täglich mit der Thematik befasst sind,
  • die Verantwortlichen für das Risikomanagement so unterstützt, dass die Kapazitäten für die Kernaufgaben genutzt werden können,
  • keine Insellösung ist, sondern die Möglichkeit bietet, die erhobenen Daten über das gesamte Unternehmen bei Bedarf zu aggregieren und zu vergleichen,
  • sich soweit möglich in die vorhandene IT-Landschaft integriert, sodass Daten nicht doppelt erfasst werden müssen und über Schnittstellen an andere Systeme, beispielsweise das Gesamtrisikomanagement, übergeben werden können.

Auf professionelle und erprobte Lösungen vertrauen

Grundsätzlich kann operatives Risikomanagement mit Hilfe von Standard-Software wie beispielsweise Microsoft Excel betrieben werden.

Führt man sich jedoch die komplexen Geschäftsprozesse größerer Organisationen und die damit verbundenen hochintegrierten IT-Landschaften vor Augen, wird schnell deutlich, dass dies ein komplexes Unterfangen ist. Ohne tiefe Kenntnisse bezüglich der erforderlichen Methodik und Umsetzung bzw. der Erfordernisse an ein entsprechendes Datenmodell kommt man schnell vom Weg ab, stößt an technische Grenzen und/oder riskiert am Ende eine teure und nicht den Erwartungen entsprechende Eigenentwicklung.

Ein erfolgversprechender und wirtschaftlicher Weg ist es, auf professionelle und erprobte Risikomanagement-Lösungen zu vertrauen, die häufig auch den Mehrwert eines kompletten IS GRC (Governance, Risk & Compliance) Systems bieten und die Compliance-Anforderungen bereits integrieren.

Moderne, benutzerfreundliche Lösungen bringen nicht nur die gesamte Methodik und die Inhalte internationaler Standards (einschließlich bereits umgesetzter Fragenkataloge und Best-Practice- Maßnahmenvorschläge) mit. Systeme, die sich flexibel an die Anforderungen der Anwender anpassen lassen, unterstützen Verantwortliche darüber hinaus durch die Integration und automatische Verknüpfung aller zusammengehörenden Abläufe.

Umfassende Berechtigungssysteme moderner Applikationen ermöglichen es auch großen Unternehmen, ihre Strukturen wirtschaftlich in einer Lösung abzubilden. Die Ergebnisse einzelner Organisationen können so verglichen und konsolidiert werden. Lösungsunterstützung im Risikomanagement ermöglicht es, nachhaltig wirtschaftlich und kostengünstig zu arbeiten.Eine gute Entscheidungshilfe bietet das Qualitätssiegel „IT Security made in Germany“, das vom „TeleTrusT Bundesverband IT-Sicherheit e. V.“ vergeben wird. Lösungshersteller mit diesem Kennzeichen verpflichten sich in besonderem Maße dazu, bei der Herstellung ihrer Produkte strenge Maßstäbe in Bezug auf Sicherheitsanforderungen zu beachten.

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück