Interessantes aus den Medien

Cyber-Attacken systematisch begegnen

Fachbeitrag in MaschinenMarkt, Ausgabe 18 vom 02.09.2019

Unternehmen haben bei der Informationssicherheit kaum eine Wahl: Entweder sie bilden Rücklagen für die Zahlung von Löse- und Bußgeldern sowie zur Behebung angerichteter Schäden, oder sie handeln und schützen ihre Daten systematisch vor unbefugtem Zugriff.

  • So wie die Datenmengen in Unternehmen zunehmen, so steigt auch das Risiko, Zielscheibe für Cyberangriffe zu werden. Es gilt also, Unternehmensinformationen zu schützen.
  • Je nachdem, welche Informationen und Daten geschützt werden sollen, müssen bei der Implementierung eines Informationssicherheits-Managementsystems auch Anforderungen aus der DS-GVO berücksichtigt werden.
  • Für die Implementierung stehen verschiedene Regelwerke zur Verfügung, die sich an unterschiedliche Zielgruppen wenden.

Cyber-Kriminalität boomt! Umsatzzahlen sind zwar nicht bekannt – der Anteil des gezahlten Lösegeldes am Gesamtschaden in Höhe eines mittleren zweistelligen Milliardenbetrages allein in Deutschland (2018) wird aber nicht zu knapp sein. Und Experten schätzen die Dunkelziffer als „immens“ ein. Schlagwörter wie „Industrie 4.0“ oder „Smart Factory“ sind längst in aller Munde, wenn auch noch nicht flächendeckend umgesetzt. Doch selbst ohne die ultimative Vernetzung ist das Bedrohungspotenzial bereits derart groß, dass Unternehmen an den Rand ihrer Existenz gelangen können, wenn sie von einem meist erpresserischen Cyber-Angriff betroffen sind („Ransomware“, Erpressungssoftware). Zum hohen Lösegeld und den Kosten zur Schadensbehebung kann auch ein enormes Bußgeld hinzukommen, und zwar dann, wenn ein Vorfall mit einem Verstoß gegen die DS-GVO einhergeht.

 

Welches Regelwerk für welches Unternehmen?

Ein Informationssicherheits-Managementsystem (ISMS) einzuführen und zertifizieren zu lassen, gegebenenfalls ergänzt um eine Datenschutzkomponente, ist also eine empfehlenswerte Maßnahme – besonders im Hinblick auf die zunehmende Digitalisierung. Ein wirksames ISMS stellt Anforderungen, die geeignet sind, die Sicherheit von Unternehmensinformationen je nach Anwendungsbereich zu gewährleisten. Die Wahl des zugrundeliegenden Regelwerks entscheidet darüber, wie ausgeprägt die Prozess- und Risikoorientierung des ISMS ist und welche Verfahren/Methoden zur Anwendung kommen oder empfohlen werden.

Informationssicherheit gilt als Chefsache, weshalb die Implementierung eines ISMS eine strategische Entscheidung der obersten Leitung ist. Bei der Wahl des Regelwerks sollte man sich folgende Fragen stellen:

  • Welches Regelwerk passt zu unserer Unternehmenssituation?
  • Wie komplex ist unsere IT-Struktur?
  • Wie umfangreich ist unser Umgang mit personenbezogenen Daten?
  • Welche externen oder branchenspezifischen Anforderungen müssen wir erfüllen?
  • Welchen zeitlichen, personellen und finanziellen Aufwand können oder wollen wir betreiben?

Unternehmen, die nicht nur ihre wertvollen Informationen vor Angriffen schützen müssen, sondern mit Blick auf die DS-GVO auch die personenbezogenen Daten ihrer Kunden, sollten bei der Wahl des Regelwerkes das Thema Datenschutz im Blick haben. Die folgenden Regelwerke tauchen unterschiedlich tief in die Materie ein und sprechen damit auch unterschiedliche Zielgruppen an.

ISA+: Einfacher Einstieg für KMU

ISA+Informations-Sicherheits-Analyse (kurz: ISA+) wurde vom Bayerischen IT-Sicherheitscluster e. V. für kleine und mittlere Unternehmen (KMU) und Kommunen als einfacher Einstieg in die Informationssicherheit entwickelt. Das Verfahren ist leicht verständlich, bedarf keiner besonderen IT-Kenntnisse und ist auch hinsichtlich einer Zertifizierung mit überschaubarem Aufwand umzusetzen. Die Anforderungen der DS-GVO  werden jedoch nicht explizit behandelt.

Zunächst wird der Informationssicherheitsbedarf des Unternehmens anhand von 50 praxisnahen Fragen ermittelt, die vier Themenbereichen zugeordnet sind:

  • allgemeine Themen (Zahlen zum Unternehmen)
  • Organisation (Richtlinien, Anweisungen, Schulung oder Verantwortlichkeit)
  • Technik (vorhandene IT-Systeme, Datensicherung, Notfallvorsorge und Ähnliches)
  • Recht (Compliance, Leistungen Dritter)

Zu jeder Frage existiert eine Handlungsempfehlung, die ein akkreditierter Berater mit den Antworten des Unternehmens abgleicht. Er nimmt unter Nennung von Stärken und Schwächen eine Einstufung in vier Reifegrade vor und ermittelt auf dieser Basis jene Maßnahmen, die für einen wirksamen Informationssicherheitsprozess umzusetzen sind. Das Unternehmen kann sich zum Nachweis der Wirksamkeit des Prozesses exklusiv von der DQS GmbH nach ISA+ für ein Jahr zertifizieren lassen.

ISIS12: Wirksames ISMS für KMU

ISIS12 wurde im Jahr 2012 vom Netzwerk für Informationssicherheit im Mittelstand als Grundlage für ein wirksames ISMS entwickelt und wie ISA+ vom Bayerischen IT-Sicherheitscluster herausgegeben. Auch dieses Regelwerk ist für KMU und öffentliche Verwaltungen gedacht, mit der zurzeit laufenden Revision sollen aber auch größere Unternehmen angesprochen werden. ISIS12 bietet – bei überschaubarer Komplexität der IT-Strukturen – einen festen Rahmen für Informationssicherheit. Die Implementierung erfolgt in zwölf Schritten, eingeteilt in drei Phasen:

  • Phase I: Initialisierung
  • Phase II: Festlegung der Aufbau- und Ablauforganisation
  • Phase III: Entwicklung und Umsetzung des ISIS12-Konzepts

ISIS12 kann anhand eines Handbuchs und einer Software prinzipiell in Eigenregie implementiert werden. In der Regel kommt jedoch ein zugelassener Berater zum Einsatz. Die Zertifizierung erfolgt ebenfalls exklusiv durch DQS. Für ISIS12 gibt es ein zusätzliches Datenschutzmodul, mit dem die Anforderungen der DS-GVO gut erfüllt werden können.

Hauptanliegen der aktuellen Revision ist die Erleichterung eines Upgrades zu ISO 27001 (Einrichtung, Umsetzung und Aufrechterhaltung eines dokumentierten Informationssicherheits-Managementsystems), was dem Bedarf vieler ISIS12-Anwender entspricht, beispielsweise bei zunehmender Komplexität der IT oder aufgrund externer Anforderungen. ISIS12 2.0 wird deshalb auf die Basis ISO 27001 umgestellt (statt IT-Grundschutz-Katalog). Ein nicht unerhebliches Delta zu ISO 27001 bleibt jedoch bestehen.

ISO 27001: Umfassende Informationssicherheit:

Die ISO 27001 – erstmals im Jahr 2005 erschienen – kann von Unternehmen aller Branchen und Größen implementiert werden, sinnvollerweise von solchen mit komplexerer IT-Struktur. Eine Ausnahme bilden Organisationen, die unter die sogenannte „Kritis-Verordnung“ fallen und damit ein ISMS entweder auf Basis von ISO 27001 oder einem der branchenspezifischen Sicherheitsstandards“ (B3S) einführen müssen. Das Hauptkriterium ist hier nicht die Komplexität der IT-Strukturen, sondern die Bedeutung, die eine Organisation als „kritische Infrastruktur“ für die Versorgung der Gesellschaft hat.

Was ISO 27001 unter anderem von den vorgenannten Regelwerken abhebt, sind neben der individuellen Herangehensweise vor allem die umfassende Risikoanalyse und die daraus abzuleitenden Sicherheitsmaßnahmen. Hilfreich hierbei sind der Normenanhang mit über 100 praxisorientierten Sicherheitskontrollen und der Normentext selbst mit seinen Empfehlungen für die Kontrollmechanismen. Die ISO 27001 deckt Datenschutzbelange nur teilweise ab – am ehesten dort, wo es um technische Sicherheit oder Zugangskontrollen geht. Auch ist der Datenschutzbeauftragte kein Thema. Ein zusätzliches Datenschutz-Audit (Compliance) kann diese Deltas sicher schließen.

Der Nutzen von ISO 27001:

  • Nachweis angemessener Informationssicherheit
  • Sensibilisierung der Belegschaft für Informationssicherheit
  • fortlaufende Verbesserung des ISMS
  • Compliance bzw. Rechtssicherheit
  • Vertrauen bei interessierten Parteien
  • sehr gute Integration in bestehende ISO-Managementsysteme

Tisax: Automobiler Branchenstandard für Informationssicherheit

Der Verband der deutschen Automobilindustrie (VDA) hat im Jahr 2017 mit Tisax (Trusted Information Security Assessment Exchange) einen Branchenstandard veröffentlicht, der speziell für die automobile Lieferkette entwickelt wurde, im Prinzip aber auch von anderen Branchen genutzt werden kann. Einige Hersteller (darunter VW) verlangen als Voraussetzung für eine Zusammenarbeit ein erfolgreich durchlaufenes Tisax-Verfahren, vom Motorenentwickler bis zur Kreativagentur.

Die Tisax-Assessments werden entlang eines Prüfkatalogs durchgeführt, der sich an ISO 27001 orientiert (und ebenso wie die ISO-Norm die Anforderungen der DS-GVO nur teilweise abdeckt) und um automobile Kriterien, wie Prototypenschutz oder Auftragsverarbeiter, ergänzt ist. Tisax besteht aus drei Hauptschritten:

  • Registrierung auf dem Tisax-Portal,
  • Assessment/Audit durch akkreditierten Zertifizierer,
  • Austausch der Ergebnisse auf der Tisax-Plattform.

Das Verfahren sieht als Abschluss kein Zertifikat vor (auch nicht nach ISO 27001), sondern einen Bericht, der eine Gültigkeit von drei Jahren hat.

Die Tisax-Vorteile auf einen Blick:

  • Informationssicherheit für die automobile Lieferkette,
  • Anerkennung durch alle VDA-Mitglieder,
  • Vermeidung von Doppel- und Mehrfachprüfungen,
  • Vertrauen in geprüfte Lieferanten
  • Tisax-Bericht gilt für drei Jahre

Literaturverzeichnis:

[1] DIN EN ISO/IEC 27001:2017-06. Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme – Anforderungen. Beuth Verlag GmbH, Berlin

[2] ISA+ Informations-Sicherheits-Analyse für Anwender ist eine Entwicklung des Bayerischen IT-Sicherheitsclusters e.V. Weitere Informationen: https://www.it-sicherheitscluster.de/isa/

[3] ISIS12 Informationssicherheits-Managementsystem in 12 Schritten ist eine Entwicklung des Netzwerks für Informationssicherheit im Mittelstand (hg. v. Bayerischen IT-Sicherheitscluster e.V.) Alle Informationen zur Einführung und Zertifizierung: https://isis12.it-sicherheitscluster.de/

[4] Tisax (Trusted Information Security Assessment Exchange) ist eine Entwicklung des Arbeitskreises "Informationssicherheit" des VDA (Verband der Automobilindustrie). Governance-Organisation für das Tisax-Verfahren ist die ENX Association. Alle Informationen zum Verfahren und zu den Prüfdienstleistern: https://enx.com/tisax/#

Zum Autor: André Säckel ist Experte und Produktmanager für den Bereich Informationssicherheit bei der DQS GmbH in 60433 Frankfurt am Main, Tel. (0 69) 9 54 27-81 21, andre.saeckel(at)dqs.de

Informationssicherheitsmanagement – Besuchen Sie auch den DQS Blog:

 

 

DQS-Newsletter

Mit unserem kostenfreien Newsletter halten wir Sie rund um Audits, Managementsysteme und Zertifizierungen auf dem aktuellen Stand.
Lesen Sie unsere Best Practice-Beispiele und entnehmen Sie Tipps für Ihren Terminkalender.