Busi­ness con­cept © AKS — Fotolia.com

Informationssicherheit

Ver­ein­facht gesagt sind Infor­ma­tio­nen alle Anga­ben, die Sie zur Erfül­lung der Auf­ga­ben und zum Errei­chen des (Geschäfts-) Ziels Ihrer Orga­ni­sa­ti­on benötigen.Im Rah­men der Infor­ma­ti­ons­si­cher­heit wer­den nun Maß­nah­men für Ihre (tech­ni­schen und nicht-tech­ni­schen) Sys­te­me in Ihrer Orga­ni­sa­ti­on ent­wickelt und imple­men­tiert, um die drei Schutz­zie­le

  • Ver­trau­lich­keit (kei­ne unbe­rech­tig­te Kennt­nis­nah­me, bis hin zum Miß­brauch)
  • Ver­füg­bar­keit (die Infor­ma­tio­nen ste­hen stets zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung) und
  • Inte­gri­tät (die Daten sind kor­rekt, voll­stän­dig und unver­fälscht; Ände­run­gen sind nach­voll­zieh­bar)

sicher­zu­stel­len. Gene­rell dient die Infor­ma­ti­ons­si­cher­heit dem Schutz vor Gefah­ren und Bedro­hun­gen, der Ver­mei­dung von wirt­schaft­li­chen Schä­den und der Risi­ko­mi­ni­mie­rung. Im Fokus ste­hen dabei der Schutz vor Zer­stö­rung, Ent­hül­lung, Miß­brauch und Modi­fi­ka­ti­on. Nicht ver­ges­sen, das Schutz­ziel Wie­der­her­stell­bar­keit, wenn es mit dem Schutz vor Zer­stö­rung nicht so recht geklappt hat (kann ja mal vor­kom­men 🙂 ). Wich­tig ist dabei, Infor­ma­ti­ons­si­cher­heit ist mehr als nur IT-Sicher­heit! Das geht allei­ne schon aus dem Umstand her­vor, dass Infor­ma­tio­nen sowohl digi­tal als auch ana­log vor­lie­gen.

Durch die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men (den Begriff ken­nen wir bereits seit Jahr­zehn­ten aus dem Daten­schutz) soll­te eine Orga­ni­sa­ti­on bestrebt sein, die Schutz­zie­le der Infor­ma­ti­ons­si­cher­heit zu errei­chen. Dabei spie­len sowohl ver­bind­li­che Richt­li­ni­en für Mit­ar­bei­ter, aber natür­li­ch auch ein mög­lich­st siche­rer Betrieb der IT-Infra­struk­tur eine Rol­le. Dabei gilt es, sich einer Viel­zahl von Risi­ken und deren Ursa­chen zu stel­len. Unkennt­nis oder fahr­läs­si­ge Hand­lun­gen von Mit­ar­bei­tern stel­len eben­so eine Bedro­hung dar wie Hand­lun­gen mit Vor­satz (egal von von innen oder durch Exter­ne wie Hacker). Sys­tem­feh­ler, tech­ni­sches Ver­sa­gen und am Ende des Tages auch Natur­ka­ta­stro­phen gilt es bei der Ent­wick­lung eines geeig­ne­ten Sicher­heits­kon­zepts zu berück­sich­ti­gen.

Die Kür in der Infor­ma­ti­ons­si­cher­heit ist die Ein­füh­rung und der Betrieb eines Infor­ma­ti­on Secu­ri­ty Manage­ment Systems (kurz ISMS, deut­sch Manage­ment-Sys­tem für Infor­ma­ti­ons­si­cher­heit). Die klas­si­schen Ver­tre­ter hier­zu sind die ISO 27001, der BSI IT-Grund­schutz und — neu am Start — ISIS12.

Doch mit der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts ist es nicht getan. Es geht hier ja nicht dar­um, meh­re­re Regal­me­ter Papier als “Kon­zept” zu erzeu­gen und dann Jah­re spä­ter dar­auf ver­wei­sen zu kön­nen — “Wir haben vor x Jah­ren ein Kon­zept erstellt, schau­en Sie!” Infor­ma­ti­ons­si­cher­heit ist ein kon­ti­nu­ier­li­cher Pro­zess, der zahl­rei­che Aspek­te zu Beginn, aber auch im wei­te­ren Ver­lauf ein­füh­ren und sicher­stel­len soll, u.a.:

  • Vor­ge­hens­wei­sen zur Iden­ti­fi­ka­ti­on von (neu­en und bestehen­den) Risi­ken,
  • Vor­ge­hens­wei­sen zur Pla­nung von neu­en Maß­nah­men zur Besei­ti­gung oder Mini­mie­rung die­ser Risi­ken,
  • Vor­ge­hens­wei­sen zur kon­ti­nu­ier­li­chen Beschäf­ti­gung mit dem The­ma in der Orga­ni­sa­ti­on („Sicher­heits­kul­tur“),
  • Regeln, Richt­li­ni­en und Anwei­sun­gen für die Orga­ni­sa­ti­on und die Mit­ar­bei­ter zur Umset­zung und zum Betrieb des Kon­zepts,
  • Maß­nah­men zur kon­ti­nu­ier­li­chen Schu­lung und Sen­si­bi­li­sie­rung für Infor­ma­ti­ons­si­cher­heit.

Für den Betrieb eines sol­chen Kon­zepts ist es dem­nach uner­läss­lich eine ver­ant­wort­li­che Per­so­nen mit aus­rei­chend Aus­bil­dung, Zeit und Mit­teln zum Betrieb des Sicher­heits­kon­zepts ernst­haft ein­zu­füh­ren, den sog. Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (oder die Sicher­heits­be­auf­trag­te). Nur damit kön­nen Sie gewähr­leis­ten, dass

  • Ihre bis­he­ri­gen Inves­ti­tio­nen zur Ein­füh­rung des Kon­zepts nicht nach weni­gen Mona­ten oder Jah­ren bereits ver­nich­tet sind auf­grund man­geln­der Aktua­li­sie­rung (im Zwei­fel fan­gen Sie mit dem Pro­zess wie­der ganz weit vor­ne an) und
  • Ihre Orga­ni­sa­ti­on auch für neue Risi­ken stets gerüs­tet ist.

a.s.k. Daten­schutz unter­stützt kom­mu­na­le Ein­rich­tun­gen und Unter­neh­men sowohl bei der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts gemäß den Vor­ga­ben

  • der Arbeits­hil­fe zur Erstel­lung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Arti­kel 8 Bay­E­GovG (ent­wi­ckelt von a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne und die baye­ri­schen kom­mu­na­len Spit­zen­ver­bän­de),
  • des ISMS Stan­dards ISIS12 oder
  • gemäß den Vor­ga­ben des BSI IT-Grund­schutz (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik).

Selbst­ver­ständ­lich küm­mert sich das Team von a.s.k. Daten­schutz auch um die kon­ti­nu­ier­li­che Betreu­ung und Aktua­li­sie­rung als exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter (zur Zeit exklu­siv für baye­ri­sche Kom­mu­nen, ande­re Ein­rich­tun­gen auf Anfra­ge).

Übri­gens: Baye­ri­sche Kom­mu­nen sind durch Arti­kel 8 Bay­E­govG vom 22.12.2015 zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts ver­pflich­tet. Nach Arti­kel 10 Bay­E­GovG muss dies bis zum 01.01.2018 erfolgt sein. Wir unter­stüt­zen dabei mit unse­ren zer­ti­fi­zier­ten und spe­zi­ell für den Kom­mu­nal­be­reich aus­ge­bil­de­ten Bera­tern.