Informationssicherheit und Informationssicherheitsbeauftragte
Oft ist von sogenannten Informationssicherheitskonzepten die Rede, mit denen Organisationen sich absichern sollen. Aktive Informationssicherheit und Informationssicherheitsbeauftragte sollen Organisationen vor zahlreichen Bedrohungen für Informationen bis hin zum Totalausfall der Organisationen schützen bzw. die Folgen minimieren. Doch um was geht es bei der Informationssicherheit überhaupt? Und was macht dieser Informationssicherheitsbeauftragte?
Informationssicherheit und die 3 Grundwerte
Vereinfacht gesagt sind Informationen alle Angaben, die Sie zur Erfüllung der Aufgaben und zum Erreichen des (Geschäfts-) Ziels Ihrer Organisation benötigen. Im Rahmen der Informationssicherheit werden nun Maßnahmen für Ihre (technischen und nicht-technischen) Systeme in Ihrer Organisation entwickelt und implementiert, um die drei Grundwerte der Informationssicherheit sicherzustellen:
Generell dient die Informationssicherheit dem Schutz vor Gefahren und Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Risikominimierung. Im Fokus stehen dabei der Schutz vor Zerstörung, Enthüllung, Mißbrauch und Modifikation. Nicht vergessen, das Schutzziel Wiederherstellbarkeit, wenn es mit dem Schutz vor Zerstörung nicht so recht geklappt hat (kann ja mal vorkommen 🙂 ).
Das geht alleine schon aus dem Umstand hervor, dass Informationen sowohl digital als auch analog aber auch als Wissen in den Köpfen Ihrer Mitarbeiter vorliegen. Schutzziele:
Durch die Auswahl geeigneter technischer und organisatorischer Maßnahmen (den Begriff kennen wir bereits seit Jahrzehnten aus dem Datenschutz) sollte eine Organisation bestrebt sein, die Schutzziele der Informationssicherheit zu erreichen. Dabei spielen sowohl verbindliche Richtlinien für Mitarbeiter, aber natürlich auch ein möglichst sicherer Betrieb der (IT-) Infrastruktur eine Rolle. Dabei gilt es, sich einer Vielzahl von Risiken und deren Ursachen zu stellen. Unkenntnis oder fahrlässige Handlungen von Mitarbeitern stellen ebenso eine Bedrohung dar wie Handlungen mit Vorsatz (egal von von innen oder durch Externe wie Hacker). Systemfehler, technisches Versagen und am Ende des Tages auch Naturkatastrophen gilt es bei der Entwicklung eines geeigneten Sicherheitskonzepts zu berücksichtigen. Doch ohne Verantwortlichen geht es nicht. Informationssicherheit und Informationssicherheitsbeauftragte sind miteinander verknüpft.
ISMS — Managementsysteme für Informationssicherheit
Die Kür in der Informationssicherheit ist die Einführung und der Betrieb eines Information Security Management Systems (kurz ISMS), deutsch Management-System für Informationssicherheit. Die klassischen Vertreter hierzu sind die ISO 27001, der BSI IT-Grundschutz und — seit einigen Jahren als Ableger aus dem IT-Grundschutz am Start — CISIS12. Doch auch für kleinere Einrichtungen stehen mittlerweile etablierte Verfahrensweisen am Start: “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune mit Sitz in München oder VdS 10000 (ehemals 3473)
Mißverständnisse beim Begriff Informationssicherheitskonzept
Doch mit der Einführung eines Informationssicherheitskonzepts ist es nicht getan. Es geht hier ja nicht darum, mehrere Regalmeter Papier als “Konzept” zu erzeugen und dann Jahre später darauf verweisen zu können — “Wir haben vor x Jahren ein Konzept erstellt, schauen Sie!” Informationssicherheit ist ein kontinuierlicher Prozess, der zahlreiche Aspekte zu Beginn, aber auch im weiteren Verlauf einführen und sicherstellen soll, unter anderem.:
- Vorgehensweisen zur Identifikation von (neuen und bestehenden) Risiken,
- Vorgehensweisen zur Planung von neuen Maßnahmen zur Beseitigung oder Minimierung dieser Risiken,
- Vorgehensweisen zur kontinuierlichen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
- Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
- Maßnahmen zur kontinuierlichen Schulung und Sensibilisierung für Informationssicherheit.
Betrieb eines Informationssicherheitskonzepts — Der Informationssicherheitsbeauftragte
Für den Betrieb eines solchen Konzepts ist es demnach unerlässlich eine verantwortliche Personen mit ausreichend Ausbildung, Zeit und Mitteln zum Betrieb des Sicherheitskonzepts ernsthaft einzuführen, den sog. Informationssicherheitsbeauftragten (oder die Sicherheitsbeauftragte). Nur damit können Sie gewährleisten, dass
- Ihre bisherigen Investitionen zur Einführung des Konzepts nicht nach wenigen Monaten oder Jahren bereits vernichtet sind aufgrund mangelnder Aktualisierung (im Zweifel fangen Sie mit dem Prozess wieder ganz weit vorne an) und
- Ihre Organisation auch für neue Risiken stets gerüstet ist.
Informationssicherheit mit a.s.k. Datenschutz
Wir unterstützen kommunale Einrichtungen und Unternehmen sowohl bei der Einführung eines Informationssicherheitskonzepts gemäß den Vorgaben
- der Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts nach Artikel 11 BayEGovG (entwickelt von a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune und die Bayerischen Kommunalen Spitzenverbände),
- des ISMS Standards CISIS12 oder
- gemäß den Vorgaben des BSI IT-Grundschutz 200‑x (Bundesamt für Sicherheit in der Informationstechnik) oder
- der ISO 27001.
Selbstverständlich kümmert sich das Team von a.s.k. Datenschutz auch um die kontinuierliche Betreuung und Aktualisierung Ihres Informationssicherheitskonzepts als externer Informationssicherheitsbeauftragter.