Informationssicherheit

Begriffsbestimmung

ups... hier sollte ein Wordle abgebildet sein. Der Begriff Informationssicherheit beschreibt heute diverse Aufgaben organisatorischer und technischer Natur. Zu den technischen Aspekten der Informationscherheit zählt die IT-Security unter der eine Vielzahl von technischen Themen zusammengefaßt wird:

Erfolgreiches Informationssicherheitsmanagement sollte folgendes beinhalten:

Mittlerweile gibt es eine Reihe von Standards, die "Best-Practice"-Vorlagen für ein gutes Management von Informationssicherheit zur Verfügung stellen. Im ISO-Kontext wird dann immer von Managementsystemen gesprochen, in diesem Fall von einem Informations Sicherheits Management System (ISMS). Ein solches ISMS steht im Unternehmenskontext nie für sich allein, da es in andere Unternehmensprozesse integriert ist und möglicherweise mit anderen Managementsystemen interagiert. So stützen sich die Managementsysteme für QM ISO9000) und IT-Management (ITIL, ISO20000) auch in der Praxis gegenseitig bzw. ergänzen sich.

Motivation und Ziele

ups... hier sollte eine Grafik abgebildet sein. Die Motivation für die Umsetzung von Informationssicherheit ergibt sich aus dem Risiko dem Informationen ausgesetzt sind. Daher sollten wichtige Daten und Information vor dem Verlust von Verfügbarkeit, Vertraulichkeit und Integritätgeschützt werden. Als weitere Schutzziele können auch Authentizität, Verbindlichkeit und Wiederherstellbarkeit in Betracht kommen.

Wissen Sie, welches Ihre Kronjuwelen sind?
Wissen Sie auch, wo diese gelagert, gespeichert und verarbeitet werden?

War bis in die 1980er Jahre die klassische Definition von Unternehmensressourcen gültig (Arbeit, Boden, Rohstoffe), hat sich in den vergangen Jahren ein Wandel vollzogen, in dem der Ressource "Informationen" ein immer größeren Stellenwert zuteil wird. Informationen stellen in der heutigen Zeit einen wichtigen unternehmerischen Erfolgsfaktor dar.

Diese Entwicklung setzt sich weiter fort und neue, heute noch unbekannte Business-Modelle entstehen. Gleichzeitig werden die Lebenszyklen von Technologien und Business-Modellen kürzer. Dieser Innovationsdruck wirkt sich immens auf das Management von Informationssicherheit aus, zumal technische Innovationen und neue Business-Modelle oft auch neue Compliance- oder Governance-Regelwerke bedeuten, die es dann zu berücksichtigen gilt.

Ein weiterer Einflussfaktor ist die immer stärker werdende Vernetzung früher getrennter Infrastrukturen. Nicht erst mit IoT steigt das Risiko, dass durch diese Vernetzung von Infrastrukturen Probleme in der öffentlichen Infrastruktur entstehen können. Daher werden Aspekte aus dem Bereich Krisenmanagement (Kritis) oder BCM (Business Continity Management) immer wichtiger.

Informationssicherheits Management System (ISMS)

... ups, hier sollte eine Grafik angezeigt werden Ein ISMS aufzubauen und zu betreiben ist eine strategische unternehmerische Entscheidung. Auch die Frage, ob eine Zertifizierung nach ISO27001 angestrebt und durchgeführt werden soll, ist von den Bedürfnissen des Unternehmens und seiner Kunden abhängig. Das Kernelement eines ISMS ist der KVP (Kontinuierlicher Verbesserungs Prozess), in dem der PDCA (Plan, Do, Check, Act) Prozess verankert ist.

Vereinfacht gesagt bedeutet das: Informationen werden durch einen Prozess verarbeitet und das Ergebnis wird überprüft, ob es strukturell und in der Qualität dem gewünschten Ergebnis entspricht, andernfalls wird in einer Feedbackschleife der Grund für die Abweichung gesucht und der Prozess verbessert.

Ein ISMS verlangt Management Attention. Jedes Managementsystem ist streng genommen ein Werkzeug für die Unternehmensleitung zur Steuerung von Unternehmensprozessen, deshalb sollten Managementsysteme, die sich auf unterschiedliche Normen stützen nach Möglichkeit als integrerte Managementsysteme operieren.

Die wichtigsten Bestandteile eine ISMS sind:

IT-Security

Künstliche Intelligenz War die IT-Security vor 20 Jahren im Wesentlichen das Bereitstellen von Virenschutz, Firewalls oder Protokoll-Gateways, so hat sich durch die fortschreitende "Consumerization of IT" ein weitreichender Wandel vollzogen, der auch zu einer hohen Spezialisierung von Disziplinen geführt hat.

Früher musste ein Einbrecher mit seinem Werkzeug zum Objekt der Begierde gehen, heute kann er von jedem Ort der Erde zu jeder Zeit die IT angreifen und kann sich im Gegensatz zu dem klassischem Einbrecher recht gut verstecken.

Neben den klassischen IT-Architekturen sind heute zusätzlich Cloud-Services, eine Vielzahl unterschiedlicher Endgerätetypen, IoT, die Vernetzung von früher autarken Netzen und Infrastrukturen hinzugekommen.

Vor allem aber sind die Angriffe immer besser geworden.

Mittlerweile ist das "Hackingbusiness" international gut organisiert und hat sich in viele Spezialistengruppierungen aufgeteilt, die sich gegenseitig ihre "Dienstleistungen" verkaufen.

Auch wenn sich mittlerweile die IT immer stärker diversifiziert hat, gelten einige grundsätzliche Anforderungen für alle Arten von IT:

Die hier aufgezählten "Informationssicherheits-", "ISMS-" und "IT-Security-Aspekte" sind nur ein kleiner Ausschnitt der kompletten Palette. Jedes Unternehmen muss für sich entscheiden, in welchem Spannungsfeld zwischen Schutzbedarf und Risiko es sich befindet und dann die sinnvollen und geeigneten Maßnahmen ergreifen.

Bei der Analyse von Anforderungen und der Umsetzung von Maßnahmen bin ich Ihnen gerne behilflich. Ich freue mich auf Ihren Anruf.