test
26. August 2021

Dringender Appell an die Geschäftsleitung

Home » News » Dringender Appell an die Geschäftsleitung
alle News

Die Einführung eines Informationssicherheits- und Datenschutzmanagementsystems ist keine Kür, sondern eine Pflicht!

Es geht nicht mehr nur darum, ob Sie mit einem Angriff rechnen müssen, sondern vielmehr wann dieser eintritt und wie gut Sie darauf vorbereitet sind.

Diese Aussage wird aktuell in zahlreichen Veröffentlichungen getätigt und wir als IT-Dienstleistungs- und Beratungshaus für Datenschutz und Informationssicherheit können dies nur unterstreichen.

Es geht nicht mehr darum, ein Sicherheitsprodukt zu implementieren oder einzelne Maßnahmen zur Erhöhung der IT-Sicherheit isoliert umzusetzen. Es geht darum, als Leitung einer Organisation die Bereitschaft zu zeigen, die Anforderungen an die Vertraulichkeit, Verfügbarkeit und Integrität, die Chancen und vor allem die Risiken in einem Managementsystem zu regeln und zu steuern. Die Entscheidung gegen die Einführung eines ISMS ist die Entscheidung gegen den aktuellen Stand der Technik, welcher neben der Informationssicherheit auch von der Datenschutzgrundverordnung gefordert wird.

Aktuelle Situation

Laut Branchenverband Bitkom hat sich die Schadenssumme auf Grund von Datenklau, Spionage oder Sabotage gegenüber den Jahren 2018\2019 mehr als verdoppelt – insgesamt auf 220 Milliarden Euro.

Unternehmer messen die größte Gefahr Ransomware Attacken zu. Weiter in der Top 3 folgen „Zero-Day-Lücken“ sowie „Spyware-Angriffe“.

83% der Unternehmen befürchten, dass die Angriffe in den kommenden Monaten weiter zunehmen werden.

Schriftlicher Appell an die Geschäftsleitung

Mit diesem Artikel möchten wir uns in klarer Sprache direkt an Sie, als Geschäftsleiter Ihres Unternehmens, richten. Sie müssen die Entscheidung für oder gegen ein Managementsystem treffen.

Was ist ein Informationssicherheits-Managementsystem (ISMS)?

Ein ISMS umfasst die Einrichtung, die Implementierung, den Betrieb, die Überwachung, das Review, die Wartung und die ständige Verbesserung der Informationssicherheit und stützt sich auf das Management von Geschäftsrisiken.

Ein ISMS umfasst folgende Bausteine:

  • Erstellung von Richtlinien, Prozessen und Verfahren
  • Definition von Rollen und Verantwortlichkeiten
  • Analyse und Behandlung von Risiken
  • Planung und Umsetzung von Maßnahmen
  • Überprüfung durch interne Audits
  • Fortlaufende Verbesserung und damit Anpassung an die sich ändernde Gefahrenlage

Warum wird ein Managementsystem benötigt?

In einer jeden Umgebung gibt es Freigaben, die von jedem Mitarbeiter genutzt werden dürfen. Nur ein Managementsystem erwirkt eine systematische, gezielte und geplante Vorgehensweise und verfolgt einen ganzheitlichen Ansatz für Informationssicherheit in Ihrer Organisation. Alle Anforderungen der Informationssicherheit werden im Managementsystem behandelt und erfordern unter anderem Entscheidungen der obersten Leitung. Mit Entscheidungen kann die Leitungsebene umgehen. Voraussetzung ist, dass diese Entscheidungen der Leitungsebene überhaupt erst vorliegen. Ohne Managementsystem wird dies, wenn überhaupt, nur bruchstückhaft passieren. Die Erforderlichkeit, Eignung und Verhältnismäßigkeit einer Maßnahme wird ohne gezielte Risikobewertung und Zuteilung von Verantwortlichkeiten erfolgen. Das Management bleibt außen vor und trägt doch die Gesamtverantwortung der Organisation. Auch dann, wenn Betriebsabläufe auf Grund von Basisfehlern stehen.

Ein Managementsystem bedeutet in erster Linie nicht die Umsetzung von Maßnahmen, sondern die Transparenz über vorhandene Betriebsabläufe, darauf wirkende Risiken und die sich ändernde Bedrohungslage. Nur auf dieser Grundlage ist es möglich, bewusste und zielführende Entscheidungen zu treffen.

Ohne systematische Vorgehensweise bleibt vieles im Dunkeln

Ohne Betrieb eines Managementsystems fehlt regelmäßig das Wissen um die wichtigsten Werte und die darauf wirkenden Risiken. Ist der Organisation nicht bewusst, welche Gewichtung den einzelnen Werten zuzuordnen ist, werden Sicherheitsmaßnahmen falsch priorisiert. Essentielle Dienste, die für die Aufrechterhaltung des Betriebs unerlässlich sind, werden damit nicht ausreichend geschützt. Dies führt zum Stillstand der Kernprozesse und damit zum Stillstand der Organisation. Daneben wird sich die Notfallbehandlung, die selbst für Organisationen mit Managementsystem herausfordernd ist, als Herkulesaufgabe erweisen. Unbedingt notwendige Informationen zur Notfallbehandlung liegen womöglich nicht vor, weil diese niemals hinterfragt wurden.

Im Fokus steht der Betrieb - aber zu welchem Preis?

Natürlich ist das oberste Gebot, dass die Betriebsabläufe reibungslos funktionieren und die Unternehmensprozesse den berechneten Erfolg bringen. Meist sind IT-Abteilungen ausschließlich damit beschäftigt, diesen Betrieb zu ermöglichen. Es ist kein Freiraum vorhanden, zusätzliche Themen wie die Dokumentation, die Härtung von Systemen, oder ein Notfallmanagement in Angriff zu nehmen. Produktionsrelevante und wertschöpfende Handlungen werden immer in den Fokus gestellt und Maßnahmen zur Steigerung der Informationssicherheit immer weiter nach hinten verschoben.

Der Preis dafür zeigt sich in einem möglichen Schadensfall. Wo Organisationen mit geregelten Sicherheitsprozessen in die kontrollierte Notfallbewältigung gehen, arbeiten Einrichtungen ohne solche Strukturen an grundlegenden Themen, die bereits vorliegen sollten. Jede Stunde und jeder Tag mit Betriebsstillstand setzt sich nun ins Verhältnis zur Entscheidung für oder gegen die Implementierung eines Managementsystems.

Adressat Geschäftsleitung

An dieser Stelle klärt sich auch die Frage, warum die oberste Leitung ein essentieller Baustein eines Managementsystems ist. Es geht hier nicht nur um die Freigabe von Ressourcen in Zeit und Geld. Diese Fragen werden auch ohne Managementsystem regelmäßig an die Geschäftsleitung adressiert. Der Unterschied ist, dass dies im systematischen Managementansatz automatisiert, bewusst und risikobasiert erfolgt.

Ständige Verbesserung/Anpassung an die bestehende Bedrohungslage

Managementsysteme gehen aber noch einen Schritt weiter. Ein finaler Stand ist - wenn überhaupt - nur für einen kurzen Moment erreicht. Das System hinterfragt sich immer wieder und leistet damit einen wichtigen Beitrag zur ständigen Verbesserung. Dieser Prozess ist essentiell, um der sich ständig ändernden Gefahrenlage gerecht zu werden. Nur über einen dauerhaften Zyklus der Reflektion lassen sich neue oder bestehende Schwachstellen erkennen, die wiederum bewusst behandelt werden.

Rückblick

Die Bedrohungslage auf IT Systeme hat sich in den zurückliegenden Jahren drastisch verschärft. Einschläge rücken näher und lösen in Organisationen gut gemeinte Maßnahmen zur Risikominimierung aus. Diese sind regelmäßig unstrukturiert und stopfen Sicherheitslecks, die gerade im Fokus der Maßnahmenbehandlung stehen. Ein Konzept, welches auf Basis der Kritikalität von Unternehmensprozessen strukturierte Maßnahmen platziert, fehlt.

Vorschau

Die Leitungsebene muss sich bewusst für oder gegen ein Managementsystem entscheiden. Aus dem Normenstrauß (ISO27001, BSI, CISIS12, VdS…) lässt sich für jede Organisation eine passende Norm finden, die zur Größe und Ausrichtung der Organisation passt. Ohne die systematische Vorgehensweise bleiben essentielle Maßnahmen auf der Strecke.

Fazit

Nur der Betrieb eines ISMS kann die richtige Antwort auf die sich immer weiter zuspitzende Gefahrenlage sein. Der Ressourcenaufwand zur Umsetzung steht in keinem Verhältnis zur Aufarbeitung eines massiven Vorfalls, der heute viel wahrscheinlicher ist, als in den zurückliegenden Jahren.

Es geht nicht mehr darum, ob Sie mit einem Angriff rechnen müssen, es geht darum wann dieser eintritt und wie gut Sie darauf vorbereitet sind.

alle News

Newsletter Anmeldung

Mit dem INES IT Newsletter erhalten Sie jeden Monat die neuesten Infos.
INES IT  Informationssicherheit 




Kontakt und mehr