Magazin Wirtschaft

ISO 27001: Aber sicher!

Die Bedrohungslage für Ihre IT-­gestützten Prozesse nimmt kontinuierlich zu. Auch Kunden fordern zunehmend Nachweise zur Informationssicherheit. Höchste  Zeit also, über ein Informationssicherheitsmanagementsystem (ISMS) inklusive ­Zertifizierung nachzudenken. Nur so kann ein ­angemessenes Sicherheits­niveau hergestellt, aufrechterhalten und kontinuierlich verbessert werden.

ISO 27001 besteht aus zwei Bereichen

Führend hierbei ist der Standard ISO 27001. Er ist in zwei Bereiche gegliedert: die Anforderungen an das eigentliche Managementsystem und einen normativen Anhang mit allgemeinen Sicherheitsmaßnahmen. Die Prozesse des Managementsystems umfassen im Kern folgende Schritte, damit Unternehmen ihre Ziele gesteuert erreichen:
  • Identifikation der Anforderungen in Bezug auf die Informationssicherheit
  • Festlegung der übergeordneten Informationssicherheitsziele durch die Leitung
  • Management der Risiken in Bezug auf die Informationssicherheit
  • Überprüfung der Zielerreichung durch die Leitung
  • Kontinuierliche Verbesserung des ISMS und der Risikobehandlung.

Risikomanagement als Schweizer Taschenmesser

Das Risikomanagement ist dabei sozu­sagen das Schweizer Taschenmesser, weil es Risiken identifiziert, sie nachvollziehbar bewertet und hilft, eine zeitlich wie inhaltlich angemessene Behandlung zu planen. Damit dabei nichts übersehen wird, sind im zweiten Teil der ISO rund 100 sogenannte Referenzmaßnahmen aufgeführt. Diese berücksichtigen unterschiedliche Aspekte der Informationssicherheit. Dazu gehören der Schutz vor Schadsoftware, die Beziehungen zu Dienstleistern oder die Handhabung von Sicherheitsvorfällen. Wie genau Sie diese Anforderungen angemessen umsetzen, müssen Sie unter Berücksichtigung Ihrer eigenen Risiken individuell bestimmen.

IT-Prozesse müssen hinterfragt werden

Um die Maßnahmen umzusetzen, müssen Sie IT-Prozesse hinterfragen und Vorgaben erstellen beziehungsweise erweitern. ­Werden Defizite gefunden, müssen diese ­lösungsorientiert diskutiert und beseitigt werden. Für Vorgaben liegt sprichwörtlich in der Kürze die Würze. Sie sind verständlich, kompakt und umsetzbar zu gestalten.
Bei der Risikobehandlung sollten Sie das Paretoprinzip vorziehen, wonach 20 Prozent Aufwand reichen, um 80 Prozent des Ergebnisses zu erzielen: Schnelle Erfolge, also Quick-Wins, sind nicht nur wirtschaftlich, sondern wirken auch motivierend. Es wird zudem kaum möglich sein, von Beginn an alle Risiken auf das gewünschte Maß zu reduzieren. Ratsam ist es deshalb, das Sie Ihr Risikomanagement nutzen, um sich Restrisiken bewusst zu machen und – wenn möglich – eine weitere Reduzierung für ­einen realistischen Zeitraum zu planen.
Die knappe Formulierung der verbind­lichen Anforderungen in der ISO 27001 hat zwei Seiten: ­Einerseits ergibt sich daraus ein ­hoher Freiheitsgrad, der es Ihnen erlaubt, die Umsetzung individuell an Ihre Rahmenbedingungen anzupassen. Auf der anderen Seite fällt es ­Firmen mit wenig Erfahrung auf diesem Gebiet schwer abzuschätzen, wann die Umsetzung aus Sicht einer Zertifizierungsstelle ausreicht.

Die Umsetzung ist Teamarbeit

Spätestens hier könnte die Einbindung von externer Beratung hilfreich sein. Dabei ­sollten Sie darauf achten, dass diese konkret auf Ihre Bedürfnisse eingeht und Ihre Belegschaft einbindet. Die Umsetzung innerhalb Ihres Unternehmens ist dann Teamarbeit. Dabei sollten Leitung, IT und die Verantwortlichen für relevante Geschäftsbereiche mitwirken. Ein Informationssicherheitsbeauftragter sollte ernannt werden.
Sind bereits andere Managementsysteme etabliert, zum Beispiel ein Qualitätsmanagement, sollten die Erfahrungen hieraus einfließen. Die Einbindung von Datenschutzbeauftragten kann wertvolle
Synergien zum Datenschutz­management erschließen.

Der Nutzen liegt auf der Hand

Die Einführung und Zertifizierung eines ISMS stellt für jedes Unternehmen eine Herausforderung dar. Durch die starke Ab­hängigkeit von IT-Prozessen in Verbindung mit bestehenden Bedrohungen sowie der Notwendigkeit, begrenzte Ressourcen ziel­gerichtet einzusetzen, liegt der Nutzen jedoch auf der Hand.
Björn Lemberg, secuvera GmbH, Gäufelden, für Magazin Wirtschaft 3-4.2023