ISMS: Ein Information Security Management System einrichten

ISMS: Relevanz steigt

Was heißt das für die Verantwortlichen für Informationssicherheit im Unternehmen? Sie sollen nicht erst dann handeln, wenn Probleme auftreten oder gar Schäden entstanden sind. Vielmehr ist es das Ziel, Risiken zu minimieren und genau festzulegen, was wann in welcher Situation zu tun ist. Sicherheitsziele sind zu definieren, ebenso die Richtlinien, Maßnahmen und Prozesse zu deren Umsetzung. Genau das leistet ein Informationssicherheits-Management-System, kurz ISMS, auf Basis der Norm ISO 27001.

Für die Betreiber kritischer Infrastrukturen (KRITIS), sprich, Branchen wie Energie- und Wasserversorgung oder Gesundheit, ist der Aufbau eines ISMS seit 2015 mit dem IT-Sicherheitsgesetz Pflicht. Doch auch Firmen anderer Branchen bilden ihre Mitarbeiter etwa zum Information Security Officer weiter, damit sie ein ISMS implementieren können.

„Bei der TÜV Nord Akademie sind die Teilnehmerzahlen bei den Seminaren zum Information Security Officer von 2017 auf 2018 um 64 Prozent gestiegen. Seminare rund um das Thema ISO 27001 werden insgesamt stärker nachgefragt, so etwa auch der dreitägige ISO 27001-Praxisworkshop, den wir neu in unser Portfolio aufgenommen haben“, erklärt Melanie Braunschweig, Produkt-Managerin Datenschutz und IT bei der TÜV Nord Akademie.

ISO 27001 als Basis

Die internationale Norm ISO/IEC 27001 „Information technology - Security techniques - Information security management systems - Requirements“ spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte im Unternehmen und in der IT, also auch der Informationen. Sie berücksichtigt dabei die Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non-Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information Security Management Systems. 

Ein ISMS gibt Richtlinien und Anleitungen vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im Anhang A beschreibt die ISO 27001 die Planung und Umsetzung konkreter Sicherheitsmaßnahmen (Controls) in Bereichen wie Zugangskontrolle, Incident Management, Kryptografie oder Netzwerksicherheit. Insgesamt sind es 114 Maßnahmen in 14 Bereichen. Zudem fordert die ISO 27001 die regelmäßige Überprüfung der Qualität des ISMS über regelmäßige interne und externe Audits. Letztere bilden die Basis für die Zertifizierung des ISMS.

Risikoorientierter Ansatz

Ein wichtiger Punkt ist das Festlegen des Scopes, sprich die Definition des Anwendungsbereiches des ISMS. „Viele Firmen machen den Fehler, dass sie den Scope zu groß bemessen und alles auf einmal erledigen wollen“, erklärt Gerry Wallner, Head of Department IT Business Applications bei der Helm AG in Hamburg. Er ist zertifizierter ISO-27001-Auditor, Consultant und hat in seiner Laufbahn mehrere ISMS aufgebaut, auch bei DAX-Unternehmen.

Beim Festlegen des Scopes hilft ein Blick auf die Geschäftsrisiken, da die ISO 27001 einen risikoorientierten Ansatz verfolgt. Die oberste Ebene der Risikoanalyse bildet laut Gerry Wallner die Business Continuity: Welche Themen bringen das größte Risiko für unsere Werte (Assets wie Informationen, Hardware, Software, Mitarbeiter, Reputation), Geschäftsprozesse und den Betrieb unseres Business? Was kann uns und unseren Kunden am meisten Schaden bereiten? Was bedroht uns am stärksten?

„Ein ISMS sorgt nicht für absolute Sicherheit. Es reduziert und vermeidet aber Risiken, da es einen Rahmen mit Prozessen und Maßnahmen für eine höhere Informations-Sicherheit schafft.“

Die Risikobewertung bildet dann den Startpunkt für das Scoping und die Baseline der Maßnahmen: Welche Maßnahmen sind unbedingt notwendig oder müssen wir unbedingt umsetzen? Der Anwendungsbereich des ISMS kann ein Standort sein, die Leitstelle bei Stromversorgern oder eine Software wie das ERP-System. Letzteres birgt hohe Risiken in sich, da dort die Kundendaten gespeichert sind“, sagt Gerry Wallner. Wichtig: Alle Richtlinien, Prozesse, Methoden, Maßnahmen und Ergebnisse der Überprüfung des ISMS müssen dokumentiert werden. Beispiele sind etwa ein Backup-Plan, Notfallplan oder Prozessbeschreibungen.

Kontinuierliche Verbesserung mit der PDCA-Methodik

Nach dem Festlegen des Scopes und dem Aufbau des ISMS ist die Arbeit noch lange nicht getan. Denn die ISO 27001 fordert die kontinuierliche Verbesserung des ISMS mit der PDCA-Methodik (Plan, Do, Check, Act):

• Plan: Definition des SOLL-Zustands
• Do: Umsetzung des SOLL-Zustands in den IST-Zustand
• Check: Vergleich des umgesetzten IST-Zustands mit dem vorher definierten SOLL-Zustand
• Act: Anpassung des IST-Zustands aufgrund festgestellter Probleme

Im letzten Schritt werden die Ursachen der festgestellten Abweichungen abgestellt, der PDCA-Zyklus beginnt wieder von vorne. Es geht dabei darum, die Verbesserungsvorschläge zu erarbeiten, dokumentieren, priorisieren und umzusetzen. Inbegriffen ist auch die Behandlung von Sicherheitsvorfällen (Security Incident) mit dem Ziel, diese künftig zu vermeiden.

Zentral für den Erfolg eines ISMS ist zudem die Unterstützung durch das oberste Management. Informationssicherheit ist Chefsache. Die Geschäftsführung muss das ISMS im Rahmen einer regelmäßigen Management-Bewertung freigeben, die Leitlinie für Informationssicherheit festlegen, Ressourcen bereitstellen, Ziele kommunizieren sowie die Verantwortlichkeiten der Mitarbeiter festlegen.

Natürlich müssen auch die Mitarbeiter selbst das ISMS akzeptieren. „Alles, was auf Papier steht, ist Makulatur, wenn die Awareness bei den Mitarbeitern nicht da ist und das ISMS im Unternehmen nicht gelebt wird. Es geht ganz klar um Change Management“, so Gerry Wallner. Sein Resümee zum Thema Information Security System nach ISO 27001: „Ein ISMS sorgt nicht für absolute Sicherheit. Es reduziert und vermeidet aber Risiken, da es einen Rahmen mit Prozessen und Maßnahmen für eine höhere Informationssicherheit schafft.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!