Informations- & Datensicherheit

Die Sicherheit in der Informationsverarbeitung ist im Unternehmensumfeld ein wichtiger Aspekt. Das Ziel der Informationssicherheit ist der Schutz Ihrer Unternehmenswerte (Daten, Geschäftsprozesse, IT-Infrastruktur) vor Gefahren bzw. Bedrohungen und damit die Vermeidung von wirtschaftlichen Schäden und die Minimierung von Risiken.
Zum einen lassen sich die Verpflichtungen zur Informations-sicherheit aus verschiedenen Gesetzen und Vorschriften wie z.B. Gesellschaftsrecht, Haftungsrecht, Datenschutz und Bankenrecht herleiten. Zum anderen fordern auch immer mehr Unternehmen von ihren Lieferanten Maßnahmen zur Informationssicherheit. Und letztlich liegt es auch im unternehmerischen Interesse, den Betrieb ohne Sicherheitsvorfälle und Störungen führen zu können.


Datensicherheit
ISMS


Informationssicherheits-Management (ISMS)

Was macht heute den Wert eines Unternehmens aus?

In den letzten Jahren und Jahrzehnten haben sich die Unternehmenswerte von Sachwerten immer mehr verlagert in virtuelle, digitale Werte. Mit der rasant wachsenden „Digitalisierung“ der Unternehmenswerte ist auch eine entsprechende Digitalisierung der Unternehmensrisiken verbunden.

Praktische Umsetzungswege

Vor dieser Herausforderung stehen viele, vor allem kleine und mittlere Unternehmen oder öffentliche Stellen. Dabei entstehen immer wieder gleiche oder ähnliche Probleme, Fragestellungen und Aufgaben. Dieser Umstand hat dazu geführt, dass sich mehrere praxisbezogene Arbeitsinstrumente etabliert haben. 


Umsetzungswege

Umgang mit Risiken

Es gilt eine gewisse Sensibilität gegenüber den digitalen Risiken zu entwickeln. Der Verlust von geistigem Eigentum, vernichtete oder manipulierte Daten, schwindendes öffentliches Vertrauen,  sich verschärfende gesetzliche, regulatorische Sanktionen gefährden Unternehmen. Jedes dieser Risiken kann die Wettbewerbsposition und den Unternehmenswert negativ beeinflussen.

Risiken effektiv begegnen

Cyber-Risiken – ebenso wie andere kritische Risiken – sind im Sinne einer Abwägung von Risiko und Nutzen zu betrachten. Eine etablierte Herangehensweise dazu stellt die Verwendung von normierten Standards zum Sicherheits-Management (ISMS) dar.

ISMS steht für den englischen Begriff “Information Security Management System” und umfasst alle Maßnahmen, die eingeleitet werden, um firmeninterne Werte zu schützen.
Dabei handelt es sich nicht etwa um eine fertig einsetzbare Software oder Hardware, sondern um eine systematische Vorgehensweise.

Mögliche Vorgehensweisen

Es gibt verschiedene Standards, die eine systematische Herangehensweise zur Umsetzung eines ISMS beschreiben. Die bekanntesten und am meisten verwendeten Standards sind:
    - ISO 27000 Reihe
    - BSI Grundschutzkompendium

Darüber hinaus gibt es Ansätze, die auf diesen Standards aufbauen und deren Ziel es ist, die Herangehensweise zur Umsetzung zu vereinfachen. Zum Beispiel:
    - ISIS12
    - VDA10000

Die Anforderungen, die insbesondere an die IT oder die mit Sicherheitsaufgaben beauftragte Person gestellt werden, sind immens. Wo fängt man an, was muss mindestens umgesetzt werden und wie sieht eine standardmäßige Strategie aus?

Die Einführung eines ISMS, ist für mittelständische Unternehmen oft schwer zu meistern.

BSI-IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem
IT-Grundschutz ein systematisches Vorgehen entwickelt um notwendige Sicherheitsmaßnahmen zu identifizieren und umszusetzen.

ISIS12

ISIS12 stellt ein Informations-Sicherheitsmanagement-System in 12 Schritten dar. Entwickelt wurde es vom Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. speziell für den Einsatz in KMU und in Organisationen oder öffentliche Stellen.

VDS V10000

Die VdS Schadenverhütung GmbH hat mit der Richtlinie VdS10000 eine Vorgehensweise für die Einführung und Umsetzung eines Informations-sicherheits-Management-System herausgebracht für kleine und mittlere Unternehmen veröffentlicht.