Lang genug haben wir Sie freitags mit IT-Themen gequält. Für alle, die tapfer durchgehalten haben: Gratulation! Jetzt können Sie selbstbewusst mitreden und mit Ihrem neuen Wissen prahlen. Ab heute widmen wir uns einem neuen Thema, dem Management für Informationssicherheit bzw. Datensicherheit. Warum? Weil die Datenschutz-Grundverordnung (DSGVO) es so wünscht. Ab heute werden wir Ihnen, in regelmäßigen Abständen, das Managementsystem Stück für Stück näher bringen.
Der Inhalt im Überblick
Was ist ein ISMS?
Ein Informationssicherheits-Managementsystem (ISMS, engl. Information Security Management System) etabliert ein Verfahren, mit dem Informationen (und damit auch personenbezogene Daten) geschützt und Risiken minimiert werden sollen. Ein ISMS stellt hierfür Prozesse und Richtlinien im Unternehmen auf, die die Informationssicherheit regelt, steuert, kontrolliert und ständig verbessert. Das ISMS deckt Risiken auf und realisiert technische und organisatorische Maßnahmen, um Risiken zu vermeiden bzw. zu reduzieren.
Wenn sich ein Unternehmen für ein umfassendes ISMS entscheidet, besteht der Vorteil darin, dass eine Zertifizierung nach ISO 27001 nicht mehr in weiter Ferne ist. Denn bei einer Zertifizierung nach ISO 27001 wird ja das Informationssicherheits-Managementsystem zertifiziert.
DSGVO verpflichtet Unternehmen
Die Datenschutz-Grundverordnung fordert in Art. 32 DSGVO ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten. Dabei sollen nicht nur Art, Umfang und Zweck der Verarbeitung, Stand der Technik und Kosten berücksichtigt, sondern auch die Eintrittswahrscheinlichkeit und die Risiken für die Betroffenen beachtet werden. Das Ganze soll dann unter dem Aspekt der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme betrachtet werden und auch noch auf Dauer ausgelegt sein. Dann soll auch noch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen implementiert werden.
Wir lesen also aus Art. 32, dass ein Managementsystem in Hinblick auf die Datensicherheit im Unternehmen etabliert werden soll. Eine Check-Liste mit technischen und organisatorischen Maßnahmen, die man irgendwann erstellt und bestenfalls noch regelmäßig angepasst oder aktualisiert hat, reicht nicht mehr aus.
Blick auf das große Ganze
In unserem Artikel haben wir uns mit dem Unterschied zwischen Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit auseinander gesetzt. Zusammenfassend kann man sagen, dass die Informationssicherheit alles umfasst und Datensicherheit bzw. IT-Sicherheit nur ein Teil hiervon ist.
Wenn ein Unternehmen den Aufbau eines Managementsystems plant, ist es ratsam darüber nachzudenken, gleich das große Ganze daraus zu machen und nicht nur personenbezogene Daten, sondern alle Informationen abzusichern, egal ob diese in Papierform oder digital vorliegen, ob sie personenbezogen sind oder nicht.
Grundsätzlich reicht es nicht aus, sich nur mit einem Gebiet zu beschäftigen. Wird nur die IT-Sicherheit betrachtet, sind Informationen, die nicht digital verarbeitet werden nicht abgesichert. Man denke hier auch an das Szenario, dass ein einziger IT-Administrator Systempasswörter kennt und das Unternehmen verlässt, ohne diese preiszugeben. Werden nur personenbezogenen Daten geschützt, wird der Schutz von Geschäftsdaten (wie dem Know-How) ignoriert, was im Zeitalter der professionellen Industriespionage verheerend ist.
Ausblick
In den nächsten Artikeln dieser neuen Serie werden wir uns deshalb mit ISMS & DSGVO beschäftigen und einzelne Schritte erläutern. Dabei werden die Themen nicht separat betrachtet, sondern in Beziehung gesetzt.