Die Einführung eines Managementsystems für Informationssicherheit (ISMS) erfordert u.a. die Bereitstellung von Ressourcen und die Akzeptanz des Top-Managements sowie der Mitarbeiter. Wenn dies sichergestellt ist, werden auch die Anforderungen an ein Datenschutz-Management-System gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt. Hierzu muss zunächst das Top-Management überzeugt werden. In dem folgenden Artikel sind Vorteile aufgezählt, die als Argumente für die Entscheider herangezogen werden können.
Der Inhalt im Überblick
Zertifizierung – Aufwand und Vorteile
Eine Zertifizierung ist immer mit Kosten und einem Zeitaufwand verbunden. Teilweise müssen Mitarbeiter aus anderen Projekten abgezogen, ein externer Berater hinzugezogen oder gar eine neue Stelle (z.B. des Sicherheitsbeauftragten) besetzt werden. Zwar ist der initiale Aufwand am größten, jedoch muss das Managementsystem kontinuierlich gepflegt werden. Zudem ist es üblich, dass nach ein paar Jahren eine Re-Zertifizierung erfolgen muss (ein ISO 27001-Zertifikat ist z.B. drei Jahre gültig).
Aus diesem Grund muss jedes Unternehmen für sich selbst entscheiden, ob sich eine Zertifizierung rentiert, ob diese wirklich benötigt wird oder ob ein Aufbau eines entsprechenden Managementsystems ohne Zertifizierung ausreicht. Deswegen sollten auch diese Unternehmen anhand der folgenden Vorteile prüfen, ob diese ebenfalls auf ihr Unternehmen zutreffen.
1. Minimierung von IT-Risiken und Schäden
Ein umfassendes Managementsystem deckt Risiken sowie mögliche Schadensszenarien auf. Durch den systematischen Aufbau eines entsprechenden Managementsystems für die Informationssicherheit oder nach der DSGVO wird dem Unternehmen klar vor Augen geführt, welchen Risiken und möglichen Schäden es ausgesetzt ist. Bei der Zertifizierung nach ISO 27001 (nativ) kann das Unternehmen dann entscheiden, wie es mit diesen Risiken umgeht und welche Maßnahmen umgesetzt werden. Bei der Zertifizierung auf Basis von IT-Grundschutz werden die meisten Maßnahmen vorgegeben, die ein Unternehmen umsetzten muss.
Durch die Umsetzung der unterschiedlichen Maßnahmen und Etablierung von Prozessen können Risiken und Schäden minimiert werden. Zusätzlich können die umgesetzten Maßnahmen in die Liste der technischen und organisatorischen Maßnahmen aufgenommen werden (z.B. für den Anhang der Vereinbarung zur Auftragsdatenverarbeitung).
2. Etablierung von Prozessen und Verantwortlichkeiten
Ein weiterer wichtiger Vorteil einer Zertifizierung ist die Aufdeckung, Bereinigung bzw. Etablierung der internen Organisation. Nicht nur Verantwortlichkeiten sondern auch klare Prozesse müssen im Rahmen des Managementsystems etabliert werden. Dadurch wird das Unternehmen dazu gezwungen, Prozesse und Verantwortlichkeiten zu etablieren, an die sich die Mitarbeiter halten müssen. Dies wirkt sich nicht nur auf die Sicherheit aus sondern kann die Arbeit erleichtern und Kosten einsparen. Durch das Verankern von Prozessen und Verantwortlichkeiten im Unternehmen werden Mitarbeiter in das Managementsystem eingebunden, wodurch sich ihr Bewusstsein für die Informationssicherheit und den Datenschutz erhöhen kann. Damit ist auch die Voraussetzung geschaffen, Informationssicherheit und Datenschutz in ihrer alltäglichen Arbeit einzubinden.
3. Minimierung von Kosten
Reduzierung von IT-Risiken und Etablierung von Prozessen und Richtlinien bewirkt zugleich eine Minimierung möglicher Kosten. Ist kein Managementsystem vorhanden, so kann es zu Vorfällen und Störungen kommen. Dies reicht von Ausfällen der IT-Systeme, Datenpannen, externen und internen IT-Angriffen bis hin zum menschlichen Fehlverhalten. Mit dem Aufbau eines entsprechenden Managementsystems sowie durch das Einführen klarer Prozesse und Verantwortlichkeiten werden solche Kosten verhindert bzw. minimiert.
4. Nachweis der gesetzlichen Anforderungen (Compliance)
Mit einer Zertifizierung kann der Nachweis erbracht werden, dass gesetzliche oder behördliche Anforderungen eingehalten werden. Neben der DSGVO wird in vielen anderen Gesetzen wie § 91 Abs. 2 AktG, IT-Sicherheitsgesetz, Basel II oder MaRisk die Etablierung eines ISMS gefordert. Auch in der Know-How-Richtlinie ist gefordert, dass Unternehmen in Zukunft Geschäftsgeheimnisse schützen müssen. Diese Richtlinie muss noch von den Mitgliedstaaten in nationales Recht umgesetzt werden.
5. IT-Sicherheitsgesetz und ISMS
Bei kritischen Infrastrukturen (KRITIS) fordert das IT-Sicherheitsgesetz eine Zertifizierung derjenigen Einrichtungen, die eine hohe Bedeutung für das Gemeinwesen haben. Auch wenn das eigene Unternehmen (noch) nicht unter das IT-Sicherheitsgesetz fällt, so muss es damit rechnen, dass betroffene KRITIS-Unternehmen ihre Sicherheitsanforderungen an die Dienstleister weitergeben werden. Das hat zur Folge, dass auch diese Dienstleister selbst nachweisen müssen, dass sie ein funktionierendes ISMS etabliert haben. Zudem ist damit zu rechnen, dass in absehbarer Zeit weitere Branchen unter das IT-Sicherheitsgesetz fallen werden.
6. Nachweis der Kundenanforderungen und Wettbewerbsvorteil
Ein wichtiger Vorteil der Zertifizierung ist auch darin zu sehen, dass mit einer Zertifizierung die Anforderungen der Kunden nachgewiesen werden, was einen Wettbewerbsvorteil gegenüber Mitbewerbern bedeuten kann. Zudem fordern gerade öffentliche Ausschreibungen eine solche Zertifizierung, so dass Unternehmen, die diese nicht vorweisen können, als nicht qualifiziert angesehen werden können.
7. Reduzierung der Haftung
Schließlich kann mit einer Zertifizierung die Haftung reduziert werden. Kommt es zu einer haftungsrechtlichen Gerichtsverhandlung wird das Gericht (bzw. der Sachverständiger) prüfen, ob der Stand der Technik und verkehrsübliche Sorgfaltspflichten eingehalten wurden. In einem solchen Haftungsverfahren kann sich eine Zertifizierung positiv auf den Ausgang der Verhandlung auswirken.
Fazit
Das Top-Management und die Mitarbeiter werden nur dann aktiv zum Managementsystem beisteuern, wenn sie den Nutzen und die Vorteile einer Zertifizierung bzw. eines Aufbaus eines Managementsystems für Informationssicherheit bzw. nach der DSGVO erkennen. Hierfür ist es wichtig, dass die Ziele und Vorteile klar kommuniziert werden.