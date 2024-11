Cyberattacken, Ransomware-Attacken, Hardwaredefekte und menschliche Fehler: Es gibt einiges, was die Informationssicherheit eines Unternehmens, und dazu gehören auch Behörden und Einrichtungen der Öffentlichen Hand, gefährden kann. Die Störungen stellen sowohl für die Betreiber der IT wie auch für deren Anwender, ganz gleich ob im eigenen Hause oder bei den Kunden, ein Risiko da.

Es gibt viele Handreichungen für den Aufbau der Sicherheit im Unternehmen. So hat der Bitkom auch einige nützliche Leitfäden, die bei der Einrichtung stabiler, sicherer und geschützter IT-Umgebungen helfen. Das Datenschutzgrundhandbuch des BSI hilft ebenso. Seit einiger Zeit sind die wichtigsten Grundsätze des Datenschutzes in einer europäischen Norm zusammengefasst.

Gut – Unfälle sind unvermeidbar, was jedoch an Zeit und Mitteln für die Reparatur von IT-Umgebungen aufgewendet wird, stellt einen erheblichen unternehmerischen und somit volkswirtschaftlichen Schaden dar.

All dies soll Anlass sein für eine kleine Reihe von Artikeln zur ISO 27001, die als europäische Norm die formalen Kriterien definiert. Die Einhaltung der formalen Kriterien ist wiederum die Voraussetzung für die Zertifizierung des Unternehmens entsprechend der Norm. Dies hier ist der erste Artikel der Reihe, bei einige grundlegende Aspekte erörtert werden.

Relevanz von Normen Wie sich in den Gesprächen mit den Anwendern gelegentlich zeigt, sind viele der Leitfäden Gesetze und Normen wie die ISO 27001 nicht immer so präsent, wie es für das Unternehmen nötig oder zumindest wünschenswert wäre. Oft fließt die Energie bei der Projektierung in die Fachverfahren. Diese sind oft mustergültig formuliert und geplant. Bei der Umsetzung stoßen die Unternehmen dann mitunter auf Schwierigkeiten bei der Auslegung des Data Centers und der Speicherarchitektur (ganz gleich, ob On-premises oder in der Cloud) oder auch bei der Gestaltung der IT-Prozesse unter der Anwendungsebene. Schlussendlich entsteht daraus ein Risiko für die Durchführung des jeweiligen Fachverfahrens. Die Gefahren können nicht nur das Fachverfahren stören, sondern auch die umgebenden Unternehmensprozesse beeinträchtigen. Längere Störungen führen schlussendlich zu einem Reputationsverlust. Dieses Thema ist in Deutschland noch nicht immer so richtig angekommen, wird sich aber angesichts der Globalisierung der Märkte weiter verschärfen. Zur Minimierung von Risiken wurden neben Leitfäden von Branchenverbänden auch Normen, Gesetze und Verordnungen zur geflissentlichen Beachtung erarbeitet.

Die ISO 27001 als Norm Zunächst einmal handelt es sich mit der ISO 27001 um eine Norm. Die Unternehmen sind also frei in ihrer Entscheidung, ob sie ihre IT nach dieser Norm ausrichten – so wie es den Unternehmen auch freisteht, für Briefe das Format nach DIN A4 oder doch lieber das Format US Legal zu verwenden. Entscheidet man sich für US Legal, hat man vielleicht hier und da Schwierigkeiten bei der Weiterverarbeitung, weil zum Beispiel nicht alle Briefumschläge passen. Gar nicht so unähnlich ist die ISO 27001: Sie dient vor allem für die Kunden als wichtiges Orientierungsmerkmal bei der Gestaltung von Ausschreibungen. Ist ein IT-Anbieter nach ISO 27001 zertifiziert, darf davon ausgegangen werden, dass bestimmte IT-Prozesse nicht nur normgerecht funktionieren, sondern eben auch entsprechend dokumentiert und abgenommen sind. Das sorgt für ein positives Erwartungshaltungsmanagement, dokumentiert die Maßnahmen zur Risikominimierung und verschafft so auch eine gewisse rechtliche Sicherheit für alle Beteiligten.