Ein ISMS – lang Informationssicherheitsmanagementsystem – steht für eines der spannenden und herausfordernden Themen in Unternehmen. Aber ist es ein IT-Thema? Ist es ein Teil des internen Kontrollsystems? Oder ist es „nur“ IT-Sicherheit? In unserer Reihe ISMS & DSGVO hatten wir uns dem Themenkomplex bereits von der rechtlichen Seite genähert. Mit diesem Blog starten wir eine Reihe von Praxisartikeln, die den Aufbau eines Informationssicherheitsmanagementsystems bei einem Unternehmen beschreiben, so wie wir es schon dutzendfach erlebt haben.
Der Inhalt im Überblick
Ein Thema erhebt sich aus der Dunkelheit
In unterschiedlichen Zusammenhängen werden Schlagworte genutzt, die unser Thema adressieren:
- „Wir brauchen ein ISO 27001 Zertifikat“ fordert der Vertriebsleiter, „sonst werden wir nicht zugelassen.“
- „Zur Vertragsverlängerung ist ein TISAX-Assessment nötig“, informiert der Customer Happiness Manager seinen Chef.
- „Gemäß dem IT-SiG wird ihr Unternehmen als kritische Infrastruktur eingestuft.“, stellt das BSI fest.
- „Unsere Cyber-Versicherung erwartet ein ISMS, sonst wird es unverhältnismäßig teuer“, wirft der Einkäufer ein.
So oder in ähnlichen Fragestellungen wird häufig das ISMS von außen adressiert. Auch im eigenen Unternehmen kommen Fragen hoch:
- „Sind wir von IT-SiG V2 betroffen?“ forscht der Aufsichtsrat beim Vorstand nach.
- „Wie werden die Sicherheitsanforderungen vom Fachbereich an die IT übergeben?“ fragt der Qualitätsmanager.
- „Wie werden unsere Geschäftsgeheimnisse auf Dienstreisen geschützt?“ interessiert sich der Vorstand.
- „Unser Marktbegleiter kann nicht anbieten, da seine Dateien bei einem Ransomware-Angriff verschlüsselt wurden und auch Mail nicht mehr zur Verfügung steht. Kann uns das auch passieren?“ Der Vertriebsleiter ist leicht verunsichert.
Doch wie hat es sich bei unserem Unternehmen zugetragen?
Der Geschäftsführer formulierte es im Vorgespräch so,
„unsere Firma ist in den letzten beiden Jahrzehnten solide gewachsen und ich bin sehr zufrieden. Wir stehen im Markt gut da. Die nächste Generation übernimmt jetzt nach und nach die Geschäftsleitung.“
Damit schien alles gesagt zu sein, es kam aber noch ein „aber“.
„Wir haben unser Unternehmen immer sehr an den Kundenwünschen ausgerichtet und pragmatisch unsere Ziele erreicht. Jetzt merken wir, dass es uns – auch im Zeichen der wandelnden Anforderungen – an Prozessen, Übersicht, Steuerbarkeit und Dokumentation fehlt.“
Damit schließt sich der Kreis rund um die unterschiedlichen Motive, die zum Aufbau eines Informationssicherheitsmanagementsystems führen.
Freiwillige vor – Wer macht‘s?
In vielen Unternehmen gilt:
„Das hat was mit IT zu tun, dann macht die IT auch das ISMS.“
So wird das Thema schnell aus der Gesamtsicht in einen speziellen Fokus gebracht, der zwar für Erleichterung bei allen anderen sorgt, dem Ziel „Sicherheit der Informationen“ aber nicht gerecht wird. Hier liegt schon ein Knackpunkt, die IT hat zwar sehr viel mit Informationsverarbeitung zu tun, stellt aber oft nur die notwendigen Anwendungen und IT-Systeme bereit. Die IT ist aber nicht in der Verantwortung für die verarbeiteten Informationen.
Ein Informationssicherheitsmanagementsystem ist nicht eine technische Maßnahme, sondern ein lebender, lebendiger Prozess, der von Menschen für Menschen gemacht und (vor)gelebt wird. Daher ist die Frage: „Wer macht’s?“ eine der wichtigen Fragen beim Aufbau eines ISMS.
Ein Informationssicherheitsbeauftragter (ISB) oder auch neudeutsch Information Security Officer (ISO) ist das Gesicht des ISMS. Im Idealfall entwirft der ISB das Informationssicherheitsmanagementsystem, baut es innerhalb des Unternehmens auf und betreibt es. Im Fall einer Zertifizierung „verteidigt“ der Informationssicherheitsbeauftragte sein ISMS gegenüber den Fragen des Auditors.
In größeren Unternehmen kann sich dahinter auch ein ganzes Team verbergen oder auch Teil eines integrierten Managementsystems zusammen mit Qualitätsmanagement, Arbeitsschutz, Umweltschutz etc. sein.
Der Informationssicherheitsbeauftragte sollte direkt von der Geschäftsleitung berufen werden und ihr auch berichten. Denn Informationssicherheit ist Chefsache.
Das liebe Geld – Wer bezahlt’s?
Der Aufbau eines Informationssicherheitsmanagementsystems kostet Ressourcen auf unterschiedlichen Ebenen:
- Informationssicherheitsbeauftragter (Lohnkosten)
- Training der Mitarbeiter zur Informationssicherheit
- Zeit und Nerven bei der IT
- Kooperation bei Personal, Compliance, DSB, Revision
- Unterstützungsleistungen durch externe Berater (Dokumentensatz)
- Unterstützung und Zeit bei der Geschäftsleitung
- Zertifizierung
All diese Ressourcen müssen von der Geschäftsleitung gebilligt werden und werden, wenn auch in geringerer Höhe, jedes Jahr fällig. Ein ISMS ist kein kurzes Projekt, sondern ein andauernder Prozess. Wie hoch die Kosten im einzelnen Fall sind, ist schwer zu bestimmen. Es gibt initiale Kosten, die im Rahmen des Einführungsprojektes entstehen und jährliche Kosten, die zum Betrieb des Informationssicherheitsmanagementsystems gehören.
Gibt es z.B. schon ein Qualitätsmanagementsystem nach ISO 9001, müssen viele Prozesse nur erweitert und nicht neu aufgebaut werden. Zudem können Ressourcen (z.B. Auditoren, Schulungstools, …) gemeinsam genutzt werden.
Hilfe, wir finden keinen Informationssicherheitsbeauftragten (ISB)
Der Aufbau eines ISMS ist kein Hexenwerk. Die Schritte liegen auf der Hand:
Allerdings sind erfahrene Informationssicherheitsbeauftragte auch schwer zu finden. Daher bietet es sich durchaus an, über den Einsatz eines externen ISB nachzudenken. Ein erfahrener Berater kann schneller eingesetzt werden und umschifft meistens viele Stolpersteine. Er kann auch einen „ungelernten“ Mitarbeiter im Training-on-the-Job mitnehmen und zum ISB ausbilden, ohne dass die Projektziele gefährdet werden.
Das Wichtigste zum ISMS in zwei Sätzen
Immer mehr innere und äußere Faktoren drängen zu einem Informationssicherheitsmanagementsystem (ISMS). Die beiden wichtigsten Bausteine zu einer erfolgreichen Einführung sind:
- Der Wille des Top-Managements
- Das Können des ISBs
In den folgenden Artikeln widmen wir uns dann vertieft Punkten wie dem Aufbau und die genaue Organisationsform eines ISMS oder auch den Anforderungen an die Person des Informationssicherheitsbeauftragten.
Hinweis zu den gesetzlichen Vorgaben: Ab 2022 müssen ALLE Krankenhäuser ein ISMS betreiben, Anforderung aus dem §75c des SGB V. Allein die Risikobewertung aller Assets – wir reden da neben der IT-Infrastruktur in der Regel über tausende medizintechnische Geräte – ist eine echte Herausforderung. Ist die Kompetenz nicht im Haus empfiehlt es sich in der Tatm, dass Externe die Internen fit machen. Gegen eine KRITIS-Begehung ist die DIN ISO ein Waldpaziergang, bedenkt man insbesondere die möglichen Sanktionen.
Die Hardware-Assets sind leicht im Vergleich zu den Informations-Assets. Also alle Befunde, Akten, Verträge usw mit Einordnung nach Vertraulichkeit, Integrität und Verfügbarkeit.
Spot On. Die „Primary Assets“ sind die Informationswerte. Alles andere sind „Supporting Assets“. Die Primaries geben den Schutzbedarf vor, nachdem die Supportings abgesichert werden müssen. In ein Asset-Management gehören daher ganz oben die Informationseinheiten
Der Punkt: „Ein ISMS ist kein kurzes Projekt, sondern ein andauernder Prozess.“ finde ich immer das Schwerste rüberzubringen. Besonders wenn das Ziel „nur ein Zertifikat“ ist, steht das im Kundenbewusstsein als einmalige Kosten (ohne Konsequenzen). Deshalb ist es besonders wichtig, ein ISMS als strategisches, langfristiges und übergreifendes Ziel anzunehmen. Sonst macht die Anstrebung, Kosten und Wirbel kein Sinn und der Kunde ist besser dran, seine Ressourcen zu sparen.
Spätestens nach dem ersten erfolgreichen Hackerangriff denkt jeder darüber nach ein ISMS umzusetzen, oder die IT zu stärken, zu spät ist es jedenfalls nie, und egal was man im Unternhemen umsetzt, wenn es nicht gelebt wird und einer ständigen Verbesserung unterliegt sollte man es erst gar nicht einführen oder umsetzen.