Infor­ma­ti­ons­si­cher­heit und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te

Oft ist von soge­nann­ten Infor­ma­ti­ons­si­cher­heits­kon­zep­ten die Rede, mit denen Orga­ni­sa­tio­nen sich absi­chern sol­len. Akti­ve Infor­ma­ti­ons­si­cher­heit und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te sol­len Orga­ni­sa­tio­nen vor zahl­rei­chen Bedro­hun­gen für Infor­ma­tio­nen bis hin zum Total­aus­fall der Orga­ni­sa­tio­nen schüt­zen bzw. die Fol­gen mini­mie­ren. Doch um was geht es bei der Infor­ma­ti­ons­si­cher­heit über­haupt? Und was macht die­ser Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te?

Infor­ma­ti­ons­si­cher­heit und die 3 Grund­wer­te

Ver­ein­facht gesagt sind Infor­ma­tio­nen alle Anga­ben, die Sie zur Erfül­lung der Auf­ga­ben und zum Errei­chen des (Geschäfts-) Ziels Ihrer Orga­ni­sa­ti­on benö­ti­gen. Im Rah­men der Infor­ma­ti­ons­si­cher­heit wer­den nun Maß­nah­men für Ihre (tech­ni­schen und nicht-tech­ni­schen) Sys­te­me in Ihrer Orga­ni­sa­ti­on ent­wickelt und imple­men­tiert, um die drei Grund­wer­te der Infor­ma­ti­ons­si­cher­heit sicher­zu­stel­len:

Ver­trau­lich­keitInte­gri­tätVer­füg­bar­keit
Kei­ne unbe­rech­tig­te Kennt­nis­nah­me (bis hin zum Miß­brauch) der Infor­ma­tio­nen, weder durch Mit­ar­bei­ter noch durch Exter­ne
Die Infor­ma­tio­nen sind kor­rekt, voll­stän­dig und unver­fälscht. Ände­run­gen sind nach­voll­zieh­bar und rück­gän­gig zu machen.
Die Infor­ma­tio­nen ste­hen zur rich­ti­gen Zeit am rich­ti­gen Ort zur Ver­fü­gung (nicht beschränkt auf IT-Ver­füg­bar­keit).

Gene­rell dient die Infor­ma­ti­ons­si­cher­heit dem Schutz vor Gefah­ren und Bedro­hun­gen, der Ver­mei­dung von wirt­schaft­li­chen Schä­den und der Risi­ko­mi­ni­mie­rung. Im Fokus ste­hen dabei der Schutz vor Zer­stö­rung, Ent­hül­lung, Miß­brauch und Modi­fi­ka­ti­on. Nicht ver­ges­sen, das Schutz­ziel Wie­der­her­stell­bar­keit, wenn es mit dem Schutz vor Zer­stö­rung nicht so recht geklappt hat (kann ja mal vor­kom­men :-) ).

Wich­tig ist dabei: Infor­ma­ti­ons­si­cher­heit ist mehr als nur IT-Sicher­heit! Wird ger­ne gleich­ge­setzt, ist aber nicht kor­rekt.

Das geht allei­ne schon aus dem Umstand her­vor, dass Infor­ma­tio­nen sowohl digi­tal als auch ana­log aber auch als Wis­sen in den Köp­fen Ihrer Mit­ar­bei­ter vor­lie­gen. Schutz­zie­le:

Schutz vor Zer­stö­rung – Ziel 100%
Schutz vor unbe­rech­tig­ter Modi­fi­ka­ti­on – Ziel 100%
Schutz vor Ent­hül­lung – Ziel 100%
Schutz vor Miß­brauch (intern und extern) – Ziel 100%
Sicher­stel­lung der Wie­der­her­stell­bar­keit (ana­log und digi­tal) – Ziel 100%

Durch die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men (den Begriff ken­nen wir bereits seit Jahr­zehn­ten aus dem Daten­schutz) soll­te eine Orga­ni­sa­ti­on bestrebt sein, die Schutz­zie­le der Infor­ma­ti­ons­si­cher­heit zu errei­chen. Dabei spie­len sowohl ver­bind­li­che Richt­li­ni­en für Mit­ar­bei­ter, aber natür­li­ch auch ein mög­lich­st siche­rer Betrieb der (IT-) Infra­struk­tur eine Rol­le. Dabei gilt es, sich einer Viel­zahl von Risi­ken und deren Ursa­chen zu stel­len. Unkennt­nis oder fahr­läs­si­ge Hand­lun­gen von Mit­ar­bei­tern stel­len eben­so eine Bedro­hung dar wie Hand­lun­gen mit Vor­satz (egal von von innen oder durch Exter­ne wie Hacker). Sys­tem­feh­ler, tech­ni­sches Ver­sa­gen und am Ende des Tages auch Natur­ka­ta­stro­phen gilt es bei der Ent­wick­lung eines geeig­ne­ten Sicher­heits­kon­zepts zu berück­sich­ti­gen. Doch ohne Ver­ant­wort­li­chen geht es nicht. Infor­ma­ti­ons­si­cher­heit und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te sind mit­ein­an­der ver­knüpft.

ISMS – Manage­ment­sys­te­me für Infor­ma­ti­ons­si­cher­heit

Die Kür in der Infor­ma­ti­ons­si­cher­heit ist die Ein­füh­rung und der Betrieb eines Infor­ma­ti­on Secu­ri­ty Manage­ment Systems (kurz ISMS), deut­sch Manage­ment-Sys­tem für Infor­ma­ti­ons­si­cher­heit. Die klas­si­schen Ver­tre­ter hier­zu sind die ISO 27001, der BSI IT-Grund­schutz und — seit eini­gen Jah­ren als Able­ger aus dem IT-Grund­schutz am Start — ISIS12. Doch auch für klei­ne­re Ein­rich­tun­gen ste­hen mitt­ler­wei­le eta­blier­te Ver­fah­rens­wei­sen am Start: “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne mit Sitz in Mün­chen oder VdS 10000 (ehe­mals 3473)

Miß­ver­ständ­nis­se beim Begriff Infor­ma­ti­ons­si­cher­heits­kon­zept

Doch mit der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts ist es nicht getan. Es geht hier ja nicht dar­um, meh­re­re Regal­me­ter Papier als “Kon­zept” zu erzeu­gen und dann Jah­re spä­ter dar­auf ver­wei­sen zu kön­nen – “Wir haben vor x Jah­ren ein Kon­zept erstellt, schau­en Sie!” Infor­ma­ti­ons­si­cher­heit ist ein kon­ti­nu­ier­li­cher Pro­zess, der zahl­rei­che Aspek­te zu Beginn, aber auch im wei­te­ren Ver­lauf ein­füh­ren und sicher­stel­len soll, unter ande­rem.:

  • Vor­ge­hens­wei­sen zur Iden­ti­fi­ka­ti­on von (neu­en und bestehen­den) Risi­ken,
  • Vor­ge­hens­wei­sen zur Pla­nung von neu­en Maß­nah­men zur Besei­ti­gung oder Mini­mie­rung die­ser Risi­ken,
  • Vor­ge­hens­wei­sen zur kon­ti­nu­ier­li­chen Beschäf­ti­gung mit dem The­ma in der Orga­ni­sa­ti­on („Sicher­heits­kul­tur“),
  • Regeln, Richt­li­ni­en und Anwei­sun­gen für die Orga­ni­sa­ti­on und die Mit­ar­bei­ter zur Umset­zung und zum Betrieb des Kon­zepts,
  • Maß­nah­men zur kon­ti­nu­ier­li­chen Schu­lung und Sen­si­bi­li­sie­rung für Infor­ma­ti­ons­si­cher­heit.

Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts – Der Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te

Für den Betrieb eines sol­chen Kon­zepts ist es dem­nach uner­läss­lich eine ver­ant­wort­li­che Per­so­nen mit aus­rei­chend Aus­bil­dung, Zeit und Mit­teln zum Betrieb des Sicher­heits­kon­zepts ernst­haft ein­zu­füh­ren, den sog. Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (oder die Sicher­heits­be­auf­trag­te). Nur damit kön­nen Sie gewähr­leis­ten, dass

  • Ihre bis­he­ri­gen Inves­ti­tio­nen zur Ein­füh­rung des Kon­zepts nicht nach weni­gen Mona­ten oder Jah­ren bereits ver­nich­tet sind auf­grund man­geln­der Aktua­li­sie­rung (im Zwei­fel fan­gen Sie mit dem Pro­zess wie­der ganz weit vor­ne an) und
  • Ihre Orga­ni­sa­ti­on auch für neue Risi­ken stets gerüs­tet ist.

Infor­ma­ti­ons­si­cher­heit mit a.s.k. Daten­schutz

Wir unter­stüt­zen kom­mu­na­le Ein­rich­tun­gen und Unter­neh­men sowohl bei der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts gemäß den Vor­ga­ben

  • der Arbeits­hil­fe zur Erstel­lung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts nach Arti­kel 11 Bay­E­GovG (ent­wi­ckelt von a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne und die Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de),
  • des ISMS Stan­dards ISIS12 oder
  • gemäß den Vor­ga­ben des BSI IT-Grund­schutz 100‑x / 200‑x (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik).

Selbst­ver­ständ­lich küm­mert sich das Team von a.s.k. Daten­schutz auch um die kon­ti­nu­ier­li­che Betreu­ung und Aktua­li­sie­rung Ihres Infor­ma­ti­ons­si­cher­heits­kon­zepts als exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter.

Übri­gens: Baye­ri­sche Kom­mu­nen sind durch Arti­kel 11 Bay­E­govG  zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts ver­pflich­tet. Dies muss bis zum 01.01.2020 ein­ge­führt sein und danach in Betrieb gehal­ten wer­den. Wir unter­stüt­zen dabei mit unse­ren zer­ti­fi­zier­ten und spe­zi­ell für den Kom­mu­nal­be­reich aus­ge­bil­de­ten Bera­tern.
Unver­bind­li­ches Ange­bot anfor­dern