Informationssicherheit

Informationssicherheit und Informationssicherheitsbeauftragte

Oft ist von sogenannten Informationssicherheitskonzepten die Rede, mit denen Organisationen sich absichern sollen. Aktive Informationssicherheit und Informationssicherheitsbeauftragte sollen Organisationen vor zahlreichen Bedrohungen für Informationen bis hin zum Totalausfall der Organisationen schützen bzw. die Folgen minimieren. Doch um was geht es bei der Informationssicherheit überhaupt? Und was macht dieser Informationssicherheitsbeauftragte?

Informationssicherheit und die 3 Grundwerte

Vereinfacht gesagt sind Informationen alle Angaben, die Sie zur Erfüllung der Aufgaben und zum Erreichen des (Geschäfts-) Ziels Ihrer Organisation benötigen. Im Rahmen der Informationssicherheit wer­den nun Maßnahmen für Ihre (tech­ni­schen und nicht-technischen) Systeme in Ihrer Organisation ent­wickelt und imple­men­tiert, um die drei Grundwerte der Informationssicherheit sicherzustellen:

VertraulichkeitIntegritätVerfügbarkeit
Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe
Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.
Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit).

Generell dient die Informationssicherheit dem Schutz vor Gefahren und Bedrohungen, der Vermeidung von wirt­schaft­li­chen Schäden und der Risikominimierung. Im Fokus stehen dabei der Schutz vor Zerstörung, Enthüllung, Mißbrauch und Modifikation. Nicht vergessen, das Schutzziel Wiederherstellbarkeit, wenn es mit dem Schutz vor Zerstörung nicht so recht geklappt hat (kann ja mal vorkommen 🙂 ).

Wichtig ist dabei: Informationssicherheit ist mehr als nur IT-Sicherheit! Wird gerne gleichgesetzt, ist aber nicht korrekt.

Das geht alleine schon aus dem Umstand hervor, dass Informationen sowohl digital als auch analog aber auch als Wissen in den Köpfen Ihrer Mitarbeiter vorliegen. Schutzziele:

Schutz vor Zerstörung - Ziel 100%
Schutz vor unberechtigter Modifikation - Ziel 100%
Schutz vor Enthüllung - Ziel 100%
Schutz vor Mißbrauch (intern und extern) - Ziel 100%
Sicherstellung der Wiederherstellbarkeit (analog und digital) - Ziel 100%

Durch die Auswahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maßnahmen (den Begriff kennen wir bereits seit Jahrzehnten aus dem Datenschutz) soll­te eine Organisation bestrebt sein, die Schutzziele der Informationssicherheit zu errei­chen. Dabei spie­len sowohl ver­bind­li­che Richtlinien für Mitarbeiter, aber natür­li­ch auch ein mög­lich­st siche­rer Betrieb der (IT-) Infrastruktur eine Rolle. Dabei gilt es, sich einer Vielzahl von Risiken und deren Ursachen zu stel­len. Unkenntnis oder fahr­läs­si­ge Handlungen von Mitarbeitern stel­len eben­so eine Bedrohung dar wie Handlungen mit Vorsatz (egal von von innen oder durch Externe wie Hacker). Systemfehler, tech­ni­sches Versagen und am Ende des Tages auch Naturkatastrophen gilt es bei der Entwicklung eines geeig­ne­ten Sicherheitskonzepts zu berück­sich­ti­gen. Doch ohne Verantwortlichen geht es nicht. Informationssicherheit und Informationssicherheitsbeauftragte sind miteinander verknüpft.

ISMS – Managementsysteme für Informationssicherheit

Die Kür in der Informationssicherheit ist die Einführung und der Betrieb eines Infor­ma­ti­on Secu­ri­ty Manage­ment Systems (kurz ISMS), deut­sch Management-System für Informationssicherheit. Die klas­si­schen Vertreter hier­zu sind die ISO 27001, der BSI IT-Grundschutz und — seit einigen Jahren als Ableger aus dem IT-Grundschutz am Start — ISIS12. Doch auch für kleinere Einrichtungen stehen mittlerweile etablierte Verfahrensweisen am Start: „Arbeitshilfe“ der Innovationsstiftung Bayerische Kommune mit Sitz in München oder VdS 10000 (ehemals 3473)

Mißverständnisse beim Begriff Informationssicherheitskonzept

Doch mit der Einführung eines Informationssicherheitskonzepts ist es nicht getan. Es geht hier ja nicht darum, mehrere Regalmeter Papier als „Konzept“ zu erzeugen und dann Jahre später darauf verweisen zu können – „Wir haben vor x Jahren ein Konzept erstellt, schauen Sie!“ Informationssicherheit ist ein kontinuierlicher Prozess, der zahlreiche Aspekte zu Beginn, aber auch im weiteren Verlauf einführen und sicherstellen soll, unter anderem.:

  • Vorgehensweisen zur Identifikation von (neu­en und bestehen­den) Risiken,
  • Vorgehensweisen zur Planung von neu­en Maßnahmen zur Beseitigung oder Minimierung die­ser Risiken,
  • Vorgehensweisen zur kon­ti­nu­ier­li­chen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
  • Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
  • Maßnahmen zur kon­ti­nu­ier­li­chen Schulung und Sensibilisierung für Informationssicherheit.

Betrieb eines Informationssicherheitskonzepts – Der Informationssicherheitsbeauftragte

Für den Betrieb eines solchen Konzepts ist es demnach unerlässlich eine verantwortliche Personen mit aus­rei­chend Ausbildung, Zeit und Mitteln zum Betrieb des Sicherheitskonzepts ernsthaft einzuführen, den sog. Informationssicherheitsbeauftragten (oder die Sicherheitsbeauftragte). Nur damit können Sie gewährleisten, dass

  • Ihre bisherigen Investitionen zur Einführung des Konzepts nicht nach wenigen Monaten oder Jahren bereits vernichtet sind aufgrund mangelnder Aktualisierung (im Zweifel fangen Sie mit dem Prozess wieder ganz weit vorne an) und
  • Ihre Organisation auch für neue Risiken stets gerüstet ist.

Informationssicherheit mit a.s.k. Datenschutz

Wir unterstützen kommunale Einrichtungen und Unternehmen sowohl bei der Einführung eines Informationssicherheitskonzepts gemäß den Vorgaben

  • der Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts nach Artikel 11 BayEGovG (entwickelt von a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune und die Bayerischen Kommunalen Spitzenverbände),
  • des ISMS Standards ISIS12 oder
  • gemäß den Vorgaben des BSI IT-Grundschutz 100-x / 200-x (Bundesamt für Sicherheit in der Informationstechnik).

Selbstverständlich kümmert sich das Team von a.s.k. Datenschutz auch um die kontinuierliche Betreuung und Aktualisierung Ihres Informationssicherheitskonzepts als externer Informationssicherheitsbeauftragter.

Übrigens: Bayerische Kommunen sind durch Artikel 11 BayEgovG  zur Einführung und zum Betrieb eines Informationssicherheitskonzepts verpflichtet. Dies muss bis zum 01.01.2020 eingeführt sein und danach in Betrieb gehalten werden. Wir unterstützen dabei mit unseren zertifizierten und speziell für den Kommunalbereich ausgebildeten Beratern.
Unverbindliches Angebot anfordern