Datendiebstahl und Datenverlust sind Risiken, die Unternehmen wirtschaftlich enorm schädigen können. Schutz verspricht eine gezielte Risikominimierung. Die Informationssicherheit umfasst ein breites Spektrum an Maßnahmen, um dieses Ziel zu erreichen.
Definition Informationssicherheit
Aufgabe der Informationssicherheit ist der Schutz von Daten. Im Fokus stehen keineswegs nur personenbezogene Daten, sondern auch andere Unternehmensdaten. Der wesentliche Ansatz besteht darin, ausschließlich autorisierten Benutzern den Zugriff auf Daten zu gewähren, während er Unbefugten verwehrt bleibt.
Im Hinblick auf diese Aufgabenstellung sind die drei zentralen Schutzziele der Informationssicherheit zu berücksichtigen:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
In unserem Beitrag zum IT-Sicherheitskonzept wird erläutert, was die drei Schutzziele im Detail bedeuten. Daneben bestehen weitere Schutzziele, nämlich Authentizität und Verbindlichkeit.
Die praktische Umsetzung erfolgt in Deutschland überwiegend nach dem IT-Grundschutz. Er verkörpert eine umfassend dokumentierte Vorgehensweise, um geeignete Schutzmaßnahmen im Feld der Informationstechnik zu identifizieren und umzusetzen.
Informationssicherheitskonzept
Zur Erreichung der Sicherheitsziele unter Berücksichtigung des angestrebten Schutzniveaus wird ein Sicherheitskonzept erarbeitet.
Das Konzept baut auf einer Risikoanalyse auf. Unter Berücksichtigung aller betroffenen Unternehmensprozesse werden die existierenden Gefahren ermittelt. In den nachfolgenden Schritten wird erarbeitet, mit welchen Maßnahmen sich die Schutzziele erreichen lassen.
In diesem Zusammenhang möchten wir anmerken, dass sich ein Informationssicherheitskonzept keineswegs auf die Informationstechnologie im Unternehmen beschränkt. Während ein IT-Sicherheitskonzept seinen Fokus hierauf gerichtet hat, blickt das Informationssicherheitskonzept weiter. Es berücksichtigt nicht nur Daten, die mit IT-Systemen verarbeitet und gespeichert werden, sondern sämtliche Daten im Unternehmen.
Informationssicherheitsrichtlinie
Ein wesentlicher Meilenstein auf dem Weg zu einer hohen Informationssicherheit ist die Erarbeitung einer internen Informationssicherheitsrichtlinie. Sie benennt die Sicherheitsziele, beschreibt die Systeme der Datenverarbeitung und die abgeleiteten Sicherheitsanforderungen. Außerdem geht aus der Richtlinie hervor, wie die Verantwortlichkeiten geregelt sind und wer die Rolle des Informationssicherheitsbeauftragten inne hat.
Umsetzung am besten per ISMS
Die Umsetzung von Maßnahmen, um das angestrebte Niveau in der Informationssicherheit zu erreichen, kann theoretisch auf verschiedene Weise erfolgen. Die Praxis zeigt, dass sich Unternehmen am einfachsten tun, wenn sie die Aufgabe mit Unterstützung eines Information Security Management Systems (ISMS) angehen. So können sie nach einem erprobten Rahmenwerk handeln, das nicht nur augenblickliche Probleme berücksichtigt. Ein ISMS stellt mit seinem Konzept des Regelkreislaufs sicher, dass auch künftige Risiken früh erkannt und minimiert werden.
Zentrale Elemente hierbei sind:
- Informationssicherheitsrichtlinie: Die Richtlinie definiert wesentliche Anforderungen, wie z.B. welche Daten zwingend geschützt werden müssen und wie die gewählte Informationssicherheitsstrategie lautet.
- Informationssicherheitsbeauftragter: Eine verantwortliche Person, die die Umsetzung und Einhaltung des ISMS gewährleistet. Es kann ein interner oder externer Informationssicherheitsbeauftragter benannt werden.
Fazit
Daten sind erheblichen Risiken ausgesetzt. Unternehmen, die ein angemessenes Niveau in der Informationssicherheit erreicht haben, sind für den Ernstfall gewappnet. Die Entwicklung eines Informationssicherheitskonzepts erfordert eine gründliche Analyse der Ist-Situation mit anschließender Entwicklung maßgeschneiderter Lösungen.
Sie möchten die Informationssicherheit in Ihrem Unternehmen steigern und beispielsweise ein ISMS einführen? Profitieren Sie von unserer jahrelangen Erfahrung in der Beratung. Gerne unterstützen wir Sie bei der Erarbeitung geeigneter Lösungsansätze sowie deren Umsetzung. Nutzen Sie unsere kostenlose Erstberatung – wir freuen uns auf Ihre Anfrage.