So funktioniert ein ISMS

So funktioniert ein ISMS

Beitrag vom 08.07.2020

Zur Themenwelt Qualitätsmanagement

Informationssicherheit managen

Die Anforderungen an die Datensicherheit und IT-Security in Unternehmen sind hoch. Managementsysteme nach anerkannten Standards helfen sie zu erfüllen.

Konstruktionszeichnungen von Prototypen, Kalkulationsunterlagen und Marktstrategien: Der Schutz vertraulicher Informationen ist für Unternehmen existenziell. Denn geraten Betriebsgeheimnisse in die falschen Hände, etwa in die eines Wettbewerbers, kann dies erheblichen Schaden anrichten – bis hin zum Ruin.

Viele Unternehmen nutzen spezielle Managementsysteme, um die Informationssicherheit zu gewährleisten – auf Englisch: „Information Security Management System“ (ISMS). Vorsicht geboten im Umgang mit sensiblen Daten ist aber nicht nur innerhalb des eigenen Unternehmens, sondern auch bei Zulieferern. Für Informationssicherheit in der Lieferkette in der Automobilindustrie beispielsweise steht das TISAX® Label (Trusted Information Secuity Assessment Exchange): Die Auszeichnung verleiht der Verband der Automobilindustrie (VDA), die Anforderungen sind im Prüfkatalog ISA (Information Security Assessment) festgelegt.

Was sind Ziele der Informationssicherheit?

Per Gesetz vorgeschrieben ist ein ISMS zwar nur für kritische Infrastrukturen wie im Energiesektor, dem Finanzwesen oder der Telekommunikation. Doch auch immer mehr Unternehmen anderer Branchen erkennen die Vorteile​​​​​ oder wollen Kunden bedienen, die bei ihren Lieferanten ein ISMS voraussetzen.

Das ISMS soll vor allem drei Sicherheitsziele erreichen:

  • Vertraulichkeit: Nur befugte Personen haben Zugriff auf die Informationen. Sonst könnten Hacker zum Beispiel Wirtschaftsspionage betreiben, Kreditkarten-Informationen missbrauchen oder Identitätsdaten stehlen.
  • Integrität: Die Informationen wurden nicht manipuliert. Dabei könnte es beispielsweise zu Fehlbestellungen, falschen Analyse-Ergebnissen oder Produktionsfehlern kommen.
  • VerfügbarkeitDie Informationen stehen bereit, wenn man sie benötigt. Andernfalls könnten etwa Waren nicht ausgeliefert werden oder schlimmstenfalls ganze Betriebe stillstehen.

Geeignete Maßnahmen, um diese Ziele zu erreichen, finden sich in der international gültigen ISO-Normenserie 27000 sowie in den IT-Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Eine wichtige Maßnahme ist das Etablieren eines ISMS. Die Anforderungen dafür definiert die ISO 27001-Norm, an der sich auch das TISAX® Modell orientiert.

Was ist Informationssicherheitsmanagement?

Das Informationssicherheitsmanagement legt Regeln und Methoden fest, mit denen sich die Informationssicherheit in einer Organisation gewährleisten, überprüfen und kontinuierlich verbessern lässt. Diese gesammelten Daten sind das ISMS: eine Art Handbuch, das es jedem einzelnen Mitarbeiter ermöglichen soll, sämtliche Informationen an seinem Arbeitsplatz sicher zu behandeln.

Hierzu müssen die Beauftragten – meist die Qualitäts- oder IT-Verantwortlichen eines Unternehmens – zunächst die Risiken für die Informationssicherheit ermitteln. Das können potenzielle Cyber-Angriffe sein, etwa durch Schadprogramme auf firmeneigenen Computern, aber auch Bedrohungen aus der realen Welt wie gescheiterte Software-Updates, Umweltkatastrophen oder menschliches Versagen.

Schwachstellen erkennen, Risiken bewerten

Natürlich werden sich nie alle Risiken beseitigen lassen. Für einen angemessenen Schutz müssen die Verantwortlichen daher die verschiedenen Risiken bewerten und priorisieren: Welche Prozesse sind für das Unternehmen besonders wichtig? Welche Schwachstellen haben sie? Wie groß ist das Risiko, dass diese ausgenutzt werden? Und welchen Schaden kann das anrichten?

Mögliche organisatorische und technische Maßnahmen sind dann beispielsweise Zugangskontrollen zu Gebäuden und Firewalls. Wichtig sind aber auch Schulungen zur IT-Security, um Mitarbeiter zu sensibilisieren: Der Mensch gilt als die größte Schwachstelle für die Informationssicherheit in Unternehmen. Cyber-Kriminelle versuchen das immer wieder gezielt auszunutzen – etwa mit Phishing-Mails, die Anwender dazu auffordern, Login-Daten preiszugeben oder Malware auf ihrem PC zu installieren.

Prozesse etablieren – und Mitarbeiter qualifizieren

Ein ISMS nach ISO 27001 legt zudem klare Verantwortlichkeiten, Kommunikationswege und Abläufe fest. Es wird von einer unabhängigen Zertifizierungsstelle wie den TÜV-Mitgliedern geprüft, ist aber nie abgeschlossen: Die Unternehmen müssen ihre Schutzmaßnahmen kontinuierlich verbessern, weiterentwickeln und erneut überprüfen in einem unendlichen Kreislauf – dem PDCA-Zyklus, bekannt aus dem Qualitätsmanagement.

Eine wichtige Voraussetzung für ein ISMS ist daher auch entsprechend qualifiziertes Personal. Die TÜV NORD Akademie bietet berufsbegleitende Fortbildungen für Management- und IT-Beauftragte an. Darunter sind auch Seminare, die speziell unterstützen beim Auditieren eines ISMS nach den Anforderungen der ISO 27001-Norm und des TISAX® Standards für die Automobilindustrie und bei der Implementierung eines ISMS nach den genannten Anforderungen.