Angesichts immer weiter steigender Gefahren und täglicher Angriffe auf die IT-Sicherheit von Unternehmen fühlen sich viele Betriebe und Organsiationen quasi ohnmächtig inmitten der Fülle an Informationen und potentiellen Bedrohungen. Längst ist klar, dass IT-Sicherheit viel mehr bedeutet als nur Anti-Viren-Software und Firewall! Denn die Abwehr von Gefahren ist bei weitem nicht mehr ausreichend; vielmehr heißt es für Unternehmen sich bestmöglich auf das vorzubereiten, was zu tun ist, wenn "es brennt". Doch was konkret kann ich nun tun, um mich und mein Unternehmen wirkungsvoll zu schützen und mich auf den Ernstfall vorzubereiten? Auch wir haben uns - basierend auf unserer Expertise im Bereich IT-Sicherheit - diese entscheidende Frage gestellt und uns schließlich für die Etablierung bzw. den Ausbau eines Informations-Sicherheits-Management-Systems (ISMS) mit anschließender Zertfizierung entschieden. Und dies nicht nur, damit wir selbst gut auf den "worst case" vorbereitet sind, sondern auch, damit wir unsere Kunden bestmöglich beraten und unterstützen können. Denn Wasser predigen und Wein trinken geht gar nicht!
Doch was ist ein ISMS überhaupt?
Ein Informations-Sicherheits-Management-Systems (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden. Eine Aufgabe innerhalb des ISMS ist die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen.
Der erste Schritt bei der Implementierung eines ISMS ist die Risikoanalyse. Zunächst bestimmen Unternehmen dafür ihren aktuellen Stand der Informationssicherheit und potenzielle IT-Risiken. Sie analysieren außerdem, welche Daten und Informationen für das Unternehmen wertvoll beziehungsweise schützenswert sind. Diese Recherche stellt die Basis zur Ausarbeitung von Gegenmaßnahmen dar, die es ermöglichen, Bedrohungsszenarien zu minimieren und darauf zu reagieren. Der nächste Schritt ist das Erstellen eines Soll-Konzeptes. Dieses beschränkt sich nicht auf die IT-Abteilung, sondern geht darüber hinaus, denn Informationssicherheit schließt nicht nur digitale oder virtuelle Sicherheitsaspekte ein, sondern auch physische. Eine anschließende Gap-Analyse zeigt die Differenz zwischen Soll und Ist auf. Häufig folgt der Implementierung eines ISMS die Einführung eines Risikomanagements. Für Mittelständler macht das ebenso wie ein Notfallmanagement und Sensibilisierungsmaßnahmen für die Mitarbeiter durchaus Sinn.
Welche ISMS-Lösungen sind auch für kleine und mittelständische Unternehmen praktikabel?
Während es seit längerem strukturierte Empfehlungen und ISMS für große Unternehmen gab, etwa die ISO 27000, so fehlten praktikable Lösungen zunächst für kleinere und mittelständischen Unternehmen. Doch mit der Entwicklung einer "abgespreckten" Richtlinie durch die VdS Schadenverhütung GmbH änderte sich dies. Die Richtlinien VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informations-Sicherheits-Management-Systems (ISMS)sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für kleinere und mittlere Unternehmen (KMU) und Organisationen ausgelegt. Die Zielsetzung ist die Gewährleistung eines angemessenen Schutzniveaus der Unternehmen und Organisationen, wobei die organisatorischen und finanziellen Belastungen sich in einem realistischen und akzeptablen Rahmen bewegen sollten.
Die VdS 10000 besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Maßnahmen („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“). Um den Analyseaufwand so gering wie möglich zu halten, unterscheiden die VdS 10000 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen, wobei die Kriterien, die zur Einstufung einer IT-Ressource als "kritisch" führen, sehr hoch sind. Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss. Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln. Für kritische IT-Ressourcen fordern die VdS 10000 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung. Aufgrund ihres Aufbaus kann die VdS 10000 in der Regel problemlos mit bereits bestehenden Managementsystemen (wie z. B. einem Datenschutz-Management-System oder einem Qualitätsmanagementsystem) verzahnt werden, um Synergieeffekte zu ermöglichen.
Wie lief die ISMS-Implementierung und Zertifizierung bei Sylphen?
Nach zahlreichen Online-Abstimmungsterminen, akribischer Dokumentation und den tatsächlichen Zertifizierungsterminen - sowohl vor Ort in unserem Büro und in unserem Rechenzentrum in Frankfurt als auch Remote - haben wir vor Kurzem den Lohn für unser Engagament in Form des Informationssicherheitsmanagement-Zertfikats gemäß VdS 10000 erhalten. Darauf sind wir mächtig stolz! Denn mit dieser Zertifizierung bescheinigt uns die unabhängige VdS-Zertifizierungsstelle ein hohes Sicherheitsniveau unserer Informationsverarbeitung. Und dies ist in Zeiten stetig wachsender Cyber-Kriminalität wichtiger denn je, denn die damit einhergehenden IT-Ausfälle zählen zu den größten geschäftlichen Risiken überhaupt, da sie häufig eine Unterbrechung des laufenden Geschäftsbetriebs nach sich ziehen. Und schließlich ist es natürlich auch unser Anliegen als IT-Systemhaus mit gutem Beispiel voran zu gehen und unseren Kunden und Geschäftspartnern zu zeigen, dass wir ein vertrauenswürdiger Partner sind, bei dem wichtige Daten in guten Händen sind.
Doch die erfolgreich abgeschlossende Zertifizierung ist dennoch kein Grund, uns auf dem Erreichten auszuruhen, denn IT-Sicherheit ist nicht statisch, da sich Bedrohungen permanent verändern. Daher darf die Informationssicherheit im Unternehmen nie vernachlässigt werden, sondern sollte auf einem kontinuierlichen Verbesserungsprozess (KVP) basieren.
Interessieren auch Sie sich für die Einführung eines Informations-Sicherheits-Management-Systems (ISMS) oder planen Sie gerade die Durchführung einer Zertifizierung? Dann beraten wir Sie hierzu gerne! Rufen Sie uns einfach an unter Tel.: +49 641-94468-0 oder senden Sie uns eine Anfrage. Übrigens gibt es inzwischen mit der VdS 10005 auch für Klein- und Kleinstunternehmen mit weniger als 20 Mitarbeiter*innen sowie Handwerksbetriebe eine passende Zertifizierungsmöglichkeit.