Busi­ness con­cept © AKS — Fotolia.com

Informationssicherheit

Vereinfacht gesagt sind Informationen alle Angaben, die Sie zur Erfüllung der Aufgaben und zum Erreichen des (Geschäfts-) Ziels Ihrer Organisation benötigen.Im Rahmen der Informationssicherheit wer­den nun Maßnahmen für Ihre (tech­ni­schen und nicht-technischen) Systeme in Ihrer Organisation ent­wickelt und imple­men­tiert, um die drei Schutzziele

  • Vertraulichkeit (keine unberechtigte Kenntnisnahme, bis hin zum Mißbrauch)
  • Verfügbarkeit (die Informationen stehen stets zur richtigen Zeit am richtigen Ort zur Verfügung) und
  • Integrität (die Daten sind korrekt, vollständig und unverfälscht; Änderungen sind nachvollziehbar)

sicher­zu­stel­len. Generell dient die Informationssicherheit dem Schutz vor Gefahren und Bedrohungen, der Vermeidung von wirt­schaft­li­chen Schäden und der Risikominimierung. Im Fokus stehen dabei der Schutz vor Zerstörung, Enthüllung, Mißbrauch und Modifikation. Nicht vergessen, das Schutzziel Wiederherstellbarkeit, wenn es mit dem Schutz vor Zerstörung nicht so recht geklappt hat (kann ja mal vorkommen 🙂 ). Wichtig ist dabei, Informationssicherheit ist mehr als nur IT-Sicherheit! Das geht alleine schon aus dem Umstand hervor, dass Informationen sowohl digital als auch analog vorliegen.

Durch die Auswahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maßnahmen (den Begriff kennen wir bereits seit Jahrzehnten aus dem Datenschutz) soll­te eine Organisation bestrebt sein, die Schutzziele der Informationssicherheit zu errei­chen. Dabei spie­len sowohl ver­bind­li­che Richtlinien für Mitarbeiter, aber natür­li­ch auch ein mög­lich­st siche­rer Betrieb der IT-Infrastruktur eine Rolle. Dabei gilt es, sich einer Vielzahl von Risiken und deren Ursachen zu stel­len. Unkenntnis oder fahr­läs­si­ge Handlungen von Mitarbeitern stel­len eben­so eine Bedrohung dar wie Handlungen mit Vorsatz (egal von von innen oder durch Externe wie Hacker). Systemfehler, tech­ni­sches Versagen und am Ende des Tages auch Naturkatastrophen gilt es bei der Entwicklung eines geeig­ne­ten Sicherheitskonzepts zu berück­sich­ti­gen.

Die Kür in der Informationssicherheit ist die Einführung und der Betrieb eines Infor­ma­ti­on Secu­ri­ty Manage­ment Systems (kurz ISMS, deut­sch Management-System für Informationssicherheit). Die klas­si­schen Vertreter hier­zu sind die ISO 27001, der BSI IT-Grundschutz und — neu am Start — ISIS12.

Doch mit der Einführung eines Informationssicherheitskonzepts ist es nicht getan. Es geht hier ja nicht darum, mehrere Regalmeter Papier als „Konzept“ zu erzeugen und dann Jahre später darauf verweisen zu können – „Wir haben vor x Jahren ein Konzept erstellt, schauen Sie!“ Informationssicherheit ist ein kontinuierlicher Prozess, der zahlreiche Aspekte zu Beginn, aber auch im weiteren Verlauf einführen und sicherstellen soll, u.a.:

  • Vorgehensweisen zur Identifikation von (neu­en und bestehen­den) Risiken,
  • Vorgehensweisen zur Planung von neu­en Maßnahmen zur Beseitigung oder Minimierung die­ser Risiken,
  • Vorgehensweisen zur kon­ti­nu­ier­li­chen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
  • Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
  • Maßnahmen zur kon­ti­nu­ier­li­chen Schulung und Sensibilisierung für Informationssicherheit.

Für den Betrieb eines solchen Konzepts ist es demnach unerlässlich eine verantwortliche Personen mit aus­rei­chend Ausbildung, Zeit und Mitteln zum Betrieb des Sicherheitskonzepts ernsthaft einzuführen, den sog. Informationssicherheitsbeauftragten (oder die Sicherheitsbeauftragte). Nur damit können Sie gewährleisten, dass

  • Ihre bisherigen Investitionen zur Einführung des Konzepts nicht nach wenigen Monaten oder Jahren bereits vernichtet sind aufgrund mangelnder Aktualisierung (im Zweifel fangen Sie mit dem Prozess wieder ganz weit vorne an) und
  • Ihre Organisation auch für neue Risiken stets gerüstet ist.

a.s.k. Datenschutz unterstützt kommunale Einrichtungen und Unternehmen sowohl bei der Einführung eines Informationssicherheitskonzepts gemäß den Vorgaben

  • der Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts nach Artikel 8 BayEGovG (entwickelt von a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune und die bayerischen kommunalen Spitzenverbände),
  • des ISMS Standards ISIS12 oder
  • gemäß den Vorgaben des BSI IT-Grundschutz (Bundesamt für Sicherheit in der Informationstechnik).

Selbstverständlich kümmert sich das Team von a.s.k. Datenschutz auch um die kontinuierliche Betreuung und Aktualisierung als externer Informationssicherheitsbeauftragter (zur Zeit exklusiv für bayerische Kommunen, andere Einrichtungen auf Anfrage).

Übrigens: Bayerische Kommunen sind durch Artikel 8 BayEgovG vom 22.12.2015 zur Einführung und zum Betrieb eines Informationssicherheitskonzepts verpflichtet. Nach Artikel 10 BayEGovG muss dies bis zum 01.01.2018 erfolgt sein. Wir unterstützen dabei mit unseren zertifizierten und speziell für den Kommunalbereich ausgebildeten Beratern.