Informationssicherheit für kleine und mittlere UnternehmenOder: ISMS auf Basis von VdS 3473 – ein schneller Überblick :-). Informationssicherheit ist unverzichtbar für Unternehmen jeder Größe. Die Frage nach der Notwendigkeit stellt sich nicht mehr. Die Frage ist vielmehr wie mit einem vertretbaren Aufwand die für das Unternehmen angemessene Informationssicherheit geschaffen werden kann. Denn Informationssicherheit ist kein Selbstzweck, sondern ist unverzichtbar für jedes Unternehmen. Wie nun aber anfangen und was ist überhaupt ein ISMS? Das will der Artikel auf Basis der VdS 3473 beleuchten.

Informationssicherheitsmanagement

Damit ist die erste Frage schon fast beantwortet: Für die wirksame und vor allem nachhaltige Umsetzung von Informationssicherheit ist eine strukturierte Herangehensweise unumgänglich. Dafür bedarf es eines Informationssicherheitsmanagementsystems (ISMS). Die zentrale Komponente eines Managementsystems ist der PDCA-Zyklus (Plan, Do, Check, Act), der die sich wiederholenden Schritte beschreibt, um Informationssicherheit zu schaffen, zu erhalten und vor allem zu verbessern. Die VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) beschreibt ein ISMS mit allen Voraussetzungen, Maßnahmen und Tätigkeiten.

Organisation der Informationssicherheit

Es müssen klare Verantwortlichkeiten für die Informationssicherheit definiert und die notwendigen Ressourcen (Wissen, Budget, Personal) durch die Geschäftsführung bereitgestellt werden. Hierbei ganz wichtig: Die Gesamtverantwortung für die Informationssicherheit liegt bei der Geschäftsführung. Erst durch dieses „Commitment“ der Geschäftsführung zur Informationssicherheit erhält das ISMS den notwendigen „Rückenwind“.

Die zentrale Rolle im ISMS wird durch den Informationssicherheitsbeauftragten (ISB) ausgefüllt. Er initiiert, plant, überwacht und steuert alle Tätigkeiten in diesem Bereich und er ist zentraler Ansprechpartner im Unternehmen für Informationssicherheit. Der ISB ist auch Mitglied im Informationssicherheitsteam (IST), das neben dem ISB aus einem Vertreter der Geschäftsführung, dem IT-Verantwortlichen, Vertreter des Personals und, sofern vorhanden, aus dem Datenschutzbeauftragten besteht. Das IST unterstützt den ISB bei seinen Aufgaben und ist im Wesentlichen für die Erstellung der Richtlinien zur Informationssicherheit (IS-Richtlinien) verantwortlich.

Leitlinie und Richtlinien

Die Leitlinie zur Informationssicherheit (IS-Leitlinie) ist das zentrale Dokument für den gesamten Informationssicherheitsprozess. In der IS-Leitlinie bekennt und verpflichtet sich die Geschäftsführung zur Informationssicherheit. Es werden die Ziele und der Stellenwert der Informationssicherheit mit den jeweiligen Verantwortlichkeiten definiert. Daneben ist es notwendig, weitere Vorgaben für die Sicherstellung der Informationssicherheit zu verabschieden und in einzelnen Dokumenten, den IS-Richtlinien, zu sammeln. Eine exponierte Stellung nehmen die Regelungen für die Nutzer der IT ein, die den Umgang und die Nutzung der IT regelt. Weiterhin sind themenspezifische Richtlinien wie z.B. für mobile IT-Systeme, mobile Datenträger und zur Datensicherung sowie Richtlinien, wie Sicherheitsvorfälle oder andere Störungen behandelt werden, zu erarbeiten.

Identifizieren kritischer IT-Ressourcen

Für die Auswahl der geeigneten Sicherheitsmaßnahmen müssen die kritischen IT-Ressourcen identifiziert werden. Denn hier gilt es über ein risikobasiertes Vorgehen den goldenen Mittelweg zu finden, nicht zu groß und/oder überdimensioniert, aber auch nicht zu wenig. Dazu müssen im ersten Schritt die zentralen Geschäftsprozesse ermittelt werden. Zudem muss definiert werden, wie lange diese Prozesse ausfallen dürfen, bis es zu einem katastrophalen Schaden kommt. Im nächsten Schritt müssen jene Informationen des Unternehmens ermittelt werden, die besonders geschützt werden müssen (Kritikalität). „Kritisch“ kann für jedes Unternehmen unterschiedlich definiert werden. In jedem Fall sollten Informationen als kritisch gelten, wenn eine Verletzung der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit wiederum zu katastrophalen Schäden für das Unternehmen führt.

Risikobasierte Sicherheitsmaßnahmen

Durch die Unterscheidung in kritische und nicht-kritische Informationen und IT-Systeme können nun je nach Kritikalität die passenden Sicherheitsmaßnahmen ausgewählt und implementiert werden. Dabei sollten die folgenden Themen berücksichtigt werden:

  • IT-Systeme (z.B. Server, Clients, Drucker)
  • Netzwerke und Verbindungen
  • Mobile Datenträger (z.B. USB-Sticks, externe Festplatten)
  • Physische Umgebung (z.B. Klimatisierung, Feuerschutz, Stromversorgung)
  • IT-Outsourcing und Cloud Computing
  • Zugänge und Zugriffsrechte
  • Datensicherung und Archivierung
  • Störungen und Ausfälle
  • Sicherheitsvorfälle

Darüber hinaus wird für kritische IT-Systeme die Durchführung einer Risikoanalyse gefordert. Bei diesem strukturierten Vorgehen wird ermittelt, welche Gefährdungen auf die kritischen IT-Komponenten einwirken können und welche Auswirkung dies haben kann.

Fazit

Informationssicherheit ist ein dauerwährender Prozess. Die beschriebenen Schritte werden nicht nur einmalig durchgeführt, sondern auch regelmäßig auf ihre Wirksamkeit geprüft. Das Ziel ist, die Informationssicherheit ständig zu verbessern und so die Risiken für das Unternehmen auf ein akzeptables Niveau zu reduzieren. Die VdS 3473 Richtlinien stellen ein umfassendes Rahmenwerk für Informationssicherheit dar und sind für kleine und mittlere Unternehmen mit überschaubaren Aufwand umsetzbar. Alle Anforderungen sind kompatibel zu den Standards ISO 27001 und BSI IT-Grundschutz, so dass bei Bedarf und auf Basis der VdS 3473 ein „Upgrade“ erfolgen kann.