Der Begriff Informationssicherheitsmanagementsystem ist nicht nur lang, sondern die Einführung kann auch organisationsintern langwierig sein – aus verschiedenen Gründen. Aber was steckt eigentlich hinter dem sperrigen Begriff?
[/vc_column_text][vc_column_text]Es vergeht kaum ein Tag ohne Meldung zu einer Panne im Bereich Informationssicherheit. Dennoch sehen viele Unternehmer noch nicht die Notwendigkeit, sich mit dem Thema zu beschäftigen. Drei der wichtigsten Gründe dafür sind:- Maßnahmen der Informationssicherheit kosten Unternehmen erst einmal Geld. Der Return-on-Security-Invest wird häufig von Unternehmen nicht gesehen oder nicht bewertet, weil ihm eine geringe Bedeutung beigemessen wird. Er ist auf den ersten Blick erstmal nicht umsatzrelevant. Das läuft dann unter dem Aspekt und der großen Fragestellung: Was haben wir durch Maßnahmen an Schäden vermieden?
- Es herrscht vielfach die Meinung, dass Informationssicherheitspannen nur bei Anderen passieren können. Ein Trugschluss, wie die täglichen Vorfälle zeigen.
- Unternehmen haben häufig kaum bis gar keine Methoden und Ansätze, wie beispielsweise Analysemodelle, um aus Fehlern zu lernen. In diesem Zuge werden vielfach nur die Fehler einzelner Mitarbeiter und weniger der Gesamtprozess gesehen.
Mit einem Informationssicherheitsmanagementsystem, kurz IS MS (was auch zur englischen Bezeichnung Information Security Management System passt), legt ein Unternehmen fest, wie es mit diesen sensiblen und wertvollen Daten, die unbedingt geschützt werden müssen, umgeht. Ein solches System nach IS O/IE C 27001 im Unternehmensalltag praktisch einzuführen, ist eine große Herausforderung und dauert erfahrungsgemäß zwischen neun und 24 Monaten – wenn das Top-Management und die Mitarbeiter aktiv mitgestalten.
In Deutschland ist die Zahl der ausgestellten Zertifikate für ein IS MS zwischen 2011 und 2015 um 57 Prozent auf 994 gestiegen. Weltweit war in derselben Zeit eine Steigerung von 20 Prozent zu messen. Deutschland liegt auf Platz 3 hinter Japan auf Platz 1 (mit 8000 ausgestellten Zertifikaten). Der Abstand zeigt, wie groß in Deutschland das Potenzial im Bereich der Zertifizierung von Managementsystemen ist.
Grundsätzlich gilt: Ein IS MS ist ein Risikomanagementsystem für Geschäftsrisiken, kein reines IT -Risikomanagementsystem, auch wenn das gerne anders gesehen wird und damit zu kurz greift. Dabei ist der Mitarbeiter ein entscheidender Faktor im Gesamtprozess der Informationssicherheit. Es muss gewährleistet werden, dass die Mitarbeiter regelmäßig sensibilisiert werden und den Sinn hinter den Aufwendungen in puncto Informationssicherheit verstehen und mitgehen. Die Mitarbeiter sollten sich – nur als Beispiel – bewusst sein, dass Dokumente oder Telefonate in der Bahn oder am Flughafen auf dem Tablet mitgelesen oder vom Nachbarn mitgehört werden können. Ein weiterer Punkt, der vielfach genannt und diskutiert wird, ist die Tatsache, dass keine Anhänge in Mails geöffnet werden sollen, die man nicht erwartet. Gleiches gilt für das Anklicken von Links in Mails, um nur einige wenige zu nennen.[/vc_column_text][vc_column_text]Allerdings werden Sicherheitsmaßen im Arbeitsalltag vielfach als behindernd eingeschätzt, die den Arbeitsprozess verlangsamen. Was für Mitarbeiter zählt, trifft ebenso auf die Führungsebene zu, sprich: Auch hier liegt die Ursache in der ebenfalls gefühlten oder tatsächlichen Arbeitsbehinderung. Es muss schnell gehen, bequem sein, darf nicht umständlich sein. Doch Vorsicht: Bequem ist nicht sicher. Sicher nicht bequem. Und gerade beim Thema Informationssicherheit sollten Vorgesetzte mit gutem Beispiel vorangehen. Sonst verpuffen die angestrebten Maßnahmen.
Zusätzlich ist es besonders wichtig, Informationssicherheit direkt in die Geschäftsprozesse einzubinden und dort zu sehen, welche Informationen an welchen Stellen fließen und deshalb geschützt werden müssen. Das ist wichtig sowohl im IS MS als auch im Datenschutz. Durch die Beschäftigung der Datenflüsse im Rahmen der DSG VO in diesem Frühjahr haben viele Unternehmen einen Anfang für die Einführung eines Managementsystems bereits gemacht. Hier wäre es wichtig am Ball zu bleiben und damit ein System für kontinuierliche Verbesserung und Lerneffekte zu betreiben.
Um Mitarbeiter mitzunehmen ist es wichtig, eine zielgruppenbezogene IS MS-Dokumentation zu entwickeln und diese an die Gegebenheiten des Unternehmens anzupassen. Das heißt, es braucht klare Antworten auf die Fragen: Was muss wer wissen? Welche Handlungsanweisung braucht welche Personengruppe im Alltag? Hinzu kommt die rollenbasierte Schulung zum IS MS. Damit wird sichergestellt, dass ein Anwender nicht mit Anforderungen aus dem IT -Betrieb überfordert wird. Auf der anderen Seite sollte ein IT -Administrator aber ausreichend tiefe Handlungsanweisungen für seinen Alltag erhalten. Darin lässt sich erkennen, dass die Einführung eines IS MS eine vielschichtige und zugleich sensible Angelegenheit ist, die nicht mal eben nebenbei durchzuführen ist.
Nach der Einführung eines Managementsystems ist vor der kontinuierlichen Verbesserung mit dynamischen und laufenden Anpassungen. Ein entscheidender Punkt für Unternehmen ist die Fähigkeit, die eigene Risikolandkarte immer wieder auf den Prüfstand zu stellen und Aktualisierungen durchzuführen. Hierzu zählt auch das Management von technischen Schwachstellen in Organisationen. Es reicht nicht aus, einen IS MS-Prozess auf den Weg zu bringen, denn die zunehmende Digitalisierung und Vernetzung mit ihren vielfältigen Chancen beinhaltet auch Risiken. Und diese gilt es zielführend zu begleiten. Ein gut eingeführtes und überwachtes IS MS kann an diesen Stellen den gesamten Informationssicherheitsprozess merklich verbessern.[/vc_column_text][/vc_column][/vc_row]
