Die Einführung eines Informationssicherheitsmanagement-
systems (ISMS) in Ihrem Unternehmen

Im Dezember 2015 wurde die finale Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Unternehmen müssen die Umsetzung der Vorgaben bis zum Inkrafttreten am 25. Mai 2018 sicherstellen. Da nahezu jede neue Vorgabe mit Bußgeldern belegt ist, sind Unternehmensverantwortliche gut beraten, die notwendigen Veränderungen zeitnah umzusetzen.

Bei Verstößen drohen dem Unternehmen Strafzahlungen in Höhe von:

  • bis zu 10 bzw. 20 Mio. EUR oder
  • 2% bzw. 4% des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr

je nachdem, welcher Wert der höhere ist.

Die Datenschutz-Grundverordnung fordert in Art. 32 DSGVO ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten.

Das darin verankerte Regelwerk zieht die Implementierung diverser technischer sowie organisatorischer Maßnahmen mit sich:

  • Art, Umfang und Zweck der Verarbeitung, Stand der Technik und Kosten müssen berücksichtigt, sowie die Eintrittswahrscheinlichkeit und die Risiken für die Betroffenen beachtet werden
  • Anknüpfungspunkte sind die klassischen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die auch auf Dauer ausgelegt sein müssen
  • Verpflichtung, datenschutzfreundliche Techniken einzusetzen (dataprotection by design)
  • Verpflichtung, datenschutzfreundliche Voreinstellungen zu implementieren (dataprotection by default)
  • Außerdem werden Unternehmen aufgefordert, Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zu implementieren.

ISMS FAQ –
DIE 8 MEIST GESTELLTEN FRAGEN

1) Was ist ein Informationssicherheitsmanagementsystem (ISMS) und welche Unternehmensbereiche sind von dessen Einführung betroffen?

Mit Hilfe eines Informationssicherheitsmanagementsystems werden Verfahren und Regeln innerhalb eines Unternehmens definiert und protokolliert. Ziel der Implementierung eines ISMS ist es, die Informationssicherheit der Organisation dauerhaft zu gewährleisten. Aus diesem Grunde handelt es sich hierbei nicht um ein einmaliges Projekt, das an einem bestimmten Punkt seinen Abschluss findet. Vielmehr gilt es, die Unternehmensprozesse und –abläufe in einer Gesamtstrategie dauerhaft zu definieren, steuern und kontrollieren sowie kontinuierlich zu verbessern.

Dabei sind alle Mitarbeiter in das Regelwerk involviert: Das ISMS legt nachvollziehbar fest, mit welchen Instrumenten und Methoden das Management die Informationssicherheit des Unternehmens lenkt. Es muss darüber hinaus gewährleisten, dass jeder Mitarbeiter ausreichende Kenntnis über die Prozessabläufe besitzt und diese anwenden bzw. umsetzen kann.

Die Einflussnahme eines ISMS innerhalb des Unternehmens:

Quelle: BSI Standard 200-1, S. 15

Hilfestellung bei der Einführung und Aufrechterhaltung eines ISMS kann beispielsweise der IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben. Seit 2006 sind die IT-Grundschutzkataloge an die internationale Norm ISO/IEC 27001 angepasst.

2) Warum ist die Einführung eines ISMS für mein Unternehmen empfehlenswert?

Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) sind Unternehmen verpflichtet, die Umsetzung der Vorgaben bis zum Inkrafttreten am 25. Mai 2018 sicherzustellen. Die EU-DSGVO fordert, ein Managementsystem in Hinblick auf die Datensicherheit im Unternehmen zu etablieren und stellt damit Institutionen und Unternehmen jeglicher Größe und Branche vor einen deutlich höheren Regelungs- und Dokumentationsaufwand als bisher.

Da nahezu jede neue Vorgabe mit Bußgeldern belegt ist, sind Unternehmensverantwortliche gut beraten, die notwendigen Veränderungen zeitnah umzusetzen. Um den gesetzlichen Normen zu entsprechen, ist die Einführung eines ISMS sinnvoll und wird von unseren IT-Sicherheitsexperten empfohlen.

Mit der Einrichtung eines ISMS wird der Nachweis erbracht, dass geeignete Maßnahmen entsprechend des in der EU-DSGVO geforderten Schutzbedarfs der personenbezogenen Daten getroffen wurden und nicht unbemerkt relevante Sicherheitsdefizite entstehen können.

3) Welche Aufgaben hat die Managementebene von Unternehmen bei der Entscheidung für ein ISMS?

Grundsätzlich ist das Management eines Unternehmens dafür verantwortlich, dass gesetzliche Richtlinien, so auch die Umsetzung der EU-Datenschutz-Grundverordnung, eingehalten werden. Bei Verstößen kann die Unternehmensleitung haftbar gemacht werden. Vorstände größerer Kapitalgesellschaften sind beispielsweise durch das Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG) zu einem angemessenen Risikomanagement verpflichtet.

Die Gewährleistung der in der EU-DSGVO geforderten Regelungen zur Informationssicherheit ist damit „Chefsache“ und beinhaltet folgende Komponenten:

  • Eine Strategie zur Informationssicherheit (basierend auf den Unternehmenszielen) sowie die damit zu erreichenden Sicherheitsziele müssen verabschiedet und kommuniziert werden.
  • Risikobewertung: Auswirkungen von eintretenden Risiken auf die jeweiligen Geschäftsprozesse
  • Festlegen von organisatorischen Rahmenbedingungen, Zuständigkeiten und Befugnissen
  • Bereitstellung notwendiger Ressourcen
  • Regelmäßige Überprüfung der Sicherheitsstrategie (organisatorische IT-Sicherheitsüberprüfungen)
4) Bin ich bei der Implementierung eines ISMS an gesetzliche Vorgaben gebunden oder entscheide ich nach best practise? Ist es empfehlenswert, sich an gegebene Standards (ISO/BSI) zu halten?

Solange keine Zertifizierung angestrebt wird, ist das Unternehmen an keine Standards gebunden, das heißt, die Umsetzung eines ISMS kann ebenso gemäß best practice erfolgen. Unsere Empfehlung ist jedoch, sich an ISO 27001 (Internationaler Standard) bzw. den BSI Standard zu halten. In diesem Rahmen ist es auch möglich, sich zunächst auf die erforderlichen Komponenten in Hinblick auf die Erfüllung der Vorgaben der EU-DSGVO zu beschränken, anstatt direkt ein vollständiges und damit komplexes ISMS-Projekt zu realisieren. Dabei lässt sich die implementierte Management-Plattform später ohne Investitionsverlust zu einem dann auch vollständig zertifizierbaren ISMS ausbauen. Dieses kann dann ggf. über die rechtlichen Erfordernisse der EU-DSGVO  hinaus auch weitere wichtige Funktionen (gemäß individuellen Unternehmenszielen) in der Informationssicherheit abbilden.

5) Ist die Einführung eines ISMS mit hohen Investitionen verbunden?

Nein. Wählt man beispielsweise die rechtlichen Vorgaben des IT-Grundschutzes als Basis, wird mit der Realisierung der darin verankerten Regeln ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme erreicht. Das heißt, mit Hilfe durchdachter organisatorischer Regelungen können Unternehmen und Behörden ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme bereits ausreichend nachweisen. Letztendlich schützt sich das Unternehmen damit vor dem Zahlen von empfindlich hohen Bußgeldern, die im Falle der Nichtumsetzung der in der EU-DSGVO geforderten Normen fällig werden.

6) Wie kann secion mich bei der Implementierung eines ISMS unterstützen?

Ist die Entscheidung auf Managementebene gefallen, die Informationssicherheit in Ihrem Unternehmen zu verbessern, folgen Konzeption und Planung dieses Projekts durch die Projektverantwortlichen.

An dieser Stelle setzt die Beratungsleistung von secion an:

Im Rahmen eines Audits zur organisatorischen IT-Sicherheit findet zunächst eine Ist-Aufnahme der IT-Sicherheitsprozesse in Ihrem Unternehmen statt, innerhalb dessen beispielsweise folgende Fragen beantwortet werden:

  • Wie ist der aktuelle Stand Ihrer IT-Sicherheit zu bewerten?
  • Wie ist die derzeitige Sicherheitsstrategie Ihres Unternehmens zu bewerten?
  • Welcher Weg ist für Ihr Unternehmen empfehlenswert, um ein ISMS einzuführen?

Basierend auf den Ergebnissen des organisatorischen Sicherheitsaudits beraten Sie unsere IT-Sicherheitsexperten im Anschluss hinsichtlich der Gestaltung der weiteren Vorgehensweise.

Sinnvoll ist als nächster Schritt häufig die Erstellung und Implementierung eines IT-Sicherheitshandbuchs (Software-basierend). Durch die darin vorgegebenen Strukturen fällt es leichter, sich abteilungsübergreifend an die definierten IT-Sicherheitsprozesse zu halten und diese umzusetzen.

Diese Vorgehensweise ist sowohl für große Unternehmen als auch für KMUs (kleine und mittelständische Unternehmen) sinnvoll.

7) Bei welchen Unternehmensvorfällen finden die definierten ISMS-Prozesse beispielsweise ihre Anwendung?

Es gab sicherlich auch in Ihrem Unternehmen bereits Vorfälle, die die Datensicherheit in Ihren unternehmensinternen IT-Systemen gefährdet haben. Solche Vorfälle können beispielsweise folgende Auslöser haben:

  • Verlust von Daten durch elementare Grundgefahren wie Feuer, Wasser, Strom, Hagel
  • Missglückte Software-Updates
  • Veränderung von Daten (unabsichtlich oder absichtlich, z.B. durch Einschleusen von Ransomware)
  • Krankheitsbedingte Verzögerungen oder Ausfälle
  • Unbefugte Weitergabe von Daten an Dritte
  • Vorsätzliche Ausschleusung von Daten (z.B. durch Innentäterangriff)

Bei Eintritt solcher Szenarien gewährleistet ein bereits implementiertes und gelebtes ISMS, dass die Vorfälle umgehend registriert und entsprechende Maßnahmen zur Verhinderung bzw. Minimierung drohender Schäden von den definierten Verantwortlichen eingeleitet werden.

8) Wie lässt sich durch ein ISMS meine IT-Sicherheit in Bezug auf die oben genannten Szenarien sicherstellen?

Der BSI Standard 200-1 erläutert unter Zugrundelegung des Plan Do Control Act-Modells (PDCA) den Lebenszyklus eines IT-Sicherheitskonzeptes. Ganz gleich, welches Unternehmens-Szenario eintritt, auf Basis des PDCA-Modells wird der Arbeitsaufwand zur Bewältigung des Vorfalls deutlich reduziert sowie die Aussicht auf höchstmögliche Schadensabwehr maßgeblich gesteigert.

Die Gründe hierfür liegen darin, dass aus dem Modell geeignete Sicherheitsanforderungen sowie Sicherheitsmaßnahmen abgeleitet werden können:

Plan

Planung: Was ist das Bedrohungsszenario, wie ist es in Bezug auf die Gefährdung der Informationssicherheit einzustufen? Welche Maßnahmen müssen zur Abwehr dieses Vorfalls eingeleitet werden?

Do

Umsetzung der Planung: Welche Ressourcen sind betroffen und welche müssen ggf. zusätzlich implementiert werden? Welche notwendigen Maßnahmen zur Schadensabwehr müssen eingeleitet werden? Auf dieser Grundlage werden Verantwortlichkeiten zugeordnet, eine Notfallvorsorge aufgebaut und somit der Sicherheitsvorfall bearbeitet.

Check

Erfolgskontrolle/Überwachung der Zielerreichung: Wurde der Vorfall unter Zugrundelegung der eingesetzten Ressourcen und Maßnahmen angemessen und effizient bewältigt? Wurde drohender finanzieller Schaden und/oder Reputationsverlust durch die eingeleiteten Schritte abgewehrt?

Act

Optimierung und Verbesserung: Im letzten Schritt gilt es, erkannte Mängel und Schwächen innerhalb der Vorfallbewältigung zu beseitigen bzw. anzupassen. Der Findungsprozess, der durch das PDCA-Modell abgebildet wird, unterliegt einer fortlaufenden Optimierung.

Mit dieser Modellvorstellung können sowohl einzelne Komponenten (z.B. das Sicherheitskonzept, das bei einem erfolgreichen Cyberangriff auf das Unternehmen in Kraft tritt), aber auch der gesamte Sicherheitsprozess des Unternehmens abgebildet werden.

Fazit

Die EU-Datenschutz-Grundverordnung fordert, ein Managementsystem in Hinblick auf die Datensicherheit im Unternehmen zu etablieren und stellt damit Institutionen und Unternehmen jeglicher Größe und Branche vor einen deutlich höheren Regelungs- und Dokumentationsaufwand als bisher:

  • Regelungen, Verträge, Arbeitsabläufe und weitere Geschäftsprozesse sowie IT-Systeme und Strukturen der Datenverarbeitung müssen geprüft und angepasst werden. Die geforderten Schwerpunkte liegen hier auf Transparenz und Dokumentation.
  • Das eigene Verhalten und der Umgang mit Kunden müssen auf den Prüfstand gestellt und ggf. modifiziert werden.
  • Die Zusammenarbeit mit Partnern, Lieferanten und Dienstleistern muss in Hinblick auf die Erfüllung der neuen Datenschutz-Grundverordnung kritisch betrachtet und Anpassungen vorgenommen werden.

Um die o.g. Vorgaben der DSGVO zu erfüllen und als Nachweis, dass geeignete Maßnahmen entsprechend des Schutzbedarfs der personenbezogenen Daten getroffen wurden, ist die Einführung eines ISMS (Informationssicherheitsmanagementsystem) sinnvoll.

Der Weg zum ISMS - in 5 Schritten

Unsere IT-Sicherheitsexperten empfehlen Ihnen folgende Schritte, um das systematische Vorgehen bei der Absicherung Ihrer IT-Systeme nachzuweisen:

1. Durchführung eines Compliance Audits: Inwieweit folgt Ihr Unternehmen bereits festgelegten Sicherheitsvorgaben?
  • Unsere IT-Sicherheitsexperten unterstützen Sie bei der Bewertung Ihrer Sicherheitsrichtlinien, Benutzerzugriffskontrollen und Abläufe hinsichtlich des Risikomanagements.
  • Welche Prozesse und Technologien zur Absicherung Ihrer IT-Sicherheit sind bereits implementiert?
  • Wie stellen Sie die Dokumentation, Überprüfung und Nachweisbarkeit von Sicherheitsmaßnahmen sicher?
2. Erstellung einer Risikoanalyse
  • Inwieweit sind Ihre IT-Systeme ausreichend abgesichert? Werden Ihre Sicherheitsanforderungen eingehalten?
  • Ist intern und extern belegbar, dass aktuelle Best Practices genutzt werden, um Risiken angemessen entgegenzutreten?
  • Ist der aktuelle Stand der Technik berücksichtigt?
3. Ableitung von notwendigen Schlussfolgerungen und Maßnahmen
  • Da sich die DSGVO auf das gesamte Unternehmen auswirken wird, müssen alle Abteilungen involviert und Verantwortliche benannt werden: Der Datenschutz muss im gesamten Unternehmen umgesetzt werden. Aufgehängt werden sollte die Umsetzung des Projekts auf Geschäftsführungsebene.
  • Um sicherzugehen, dass alle Mitarbeiter sich ihrer Rolle bei der Einhaltung der Vorgaben bewusst sind, müssen regelmäßig Tests und Prüfungen durchgeführt werden.
4. Überprüfung, ob datenschutzkonforme Technologien bevorzugt werden
  • Persönliche Daten müssen auf Anwendungs-, Cloud, Netzwerk- und Endpunktebene geschützt werden, um unbefugten Zugriff darauf zu unterbinden.
  • Darüber hinaus gilt es nachzuweisen, ob die Bedeutung der Prävention – als einer der wichtigsten Grundsätze der DSGVO – im Unternehmen verstanden wird.
5. Vorbereitung einer Zertifizierung (z.B. ISO 27001)
  • Die ISO-Zertifizierung ist ein sinnvoller und angemessener Rahmen, um die Anforderungen nach DSGVO zu erfüllen. Ist bereits ein ISMS aufgebaut und zertifiziert, so ist damit bereits ein Management etabliert, welches auf die personenbezogenen Daten ausgeweitet werden kann.
  • Aufbauend auf einer ISO Zertifizierung sollte dann analysiert werden, Voraussetzungen der DSGVO Ihr Unternehmen bereits erfüllt und welche zusätzlichen Maßnahmen eventuell noch zusätzlich ergriffen werden müssen.

So unterstützt Sie Secion bei der Vorbereitung der Zertifizierung

Haben Sie vor, Ihr Unternehmen auf eine Zertifizierung vorzubereiten? Unsere IT-Sicherheitsexperten beraten Sie gerne:

  • Bestandsaufnahme Ihrer organisatorischen IT-Sicherheitsprozesse anhand eines secion Security Audits. Hier wird der Ist-Zustand der Bereiche Organisation, IT-Prozesse und technische Maßnahmen erfasst.
  • Auf dieser Basis erstellen wir eine Dokumentation mit Verweisen auf die jeweiligen Informationssicherheitsanforderungen von ISO 27001 und BSI IT-Grundschutz.
  • Beratung hinsichtlich der Notwendigkeit zur Ableitung weiterer Maßnahmen, um den Zertifizierungsanforderungen gerecht zu werden.

Aufbau und Pflege eines Dokumenten-Management-Systems

  • Auf Wunsch Beratung hinsichtlich der Implementierung eines softwaregestützten Lösungsansatzes. Die Umsetzung und Kontrolle der für die Zertifizierung notwendigen Prozesse wird durch eine Softwarelösung an vielen Stellen vereinfacht.

Mitarbeiterschulung zur Umsetzung der Zertifizierungsmaßnahmen in Ihrem Unternehmen

  • Unsere IT-Sicherheitsexperten sensibilisieren Ihre Mitarbeiter für das Thema Zertifizierung bzw. Informationssicherheitsanforderungen von ISO 27001 und BSI IT-Grundschutz. Vermittlung der notwendigen Grundlagen, um die Umsetzung der zuvor festgelegten Maßnahmen sicherzustellen.

Haben Sie Fragen zum Thema EU-Datenschutzgrundverordnung oder ISMS? Wir beraten Sie gerne! Sie erreichen uns unter 040-38 90 71-0 oder über unser Kontaktformular rechts.