Datensicherheit
Restrisiken minimieren

Immer öfter suchen Hacker und andere Ganoven nach digitalen Schwachstellen in Unternehmensnetzwerken. Vor allem Kundendaten sind begehrt und bringen Geld. Zertifizierungen zur Sicherheit des eigenen Datenmanagements gewinnen deshalb an Stellenwert.

 


 

Die Ursachen für den Verlust sensibler Daten können vielfältig sein: vorsätzlicher und teilweise organisierter Datendiebstahl durch Kreditkartenbetrüger oder Wirtschaftsspionage, fahrlässiger Umgang beim Transport sensibler Speichermedien oder unzureichende beziehungsweise fehlende Verfahren in Bezug auf die Informationssicherheit. Die Folgen sind für das betroffene Unternehmen, dessen Kunden oder Lieferanten meist beträchtlich: Sie reichen von internen und externen Verzögerungen in den Geschäftsabläufen über hohe finanzielle Schäden bis hin zu massivem Image- und Kundenverlust.

Dementsprechend wächst das Bewusstsein bei den Verantwortlichen in Unternehmen für Maßnahmen, die solche Vorfälle verhindern oder den Schaden im Fall des Falles begrenzen. Datensicherung ist zwar kein neues Thema. Back-up-Lösungen und Firewalls sind in beinahe jedem Unternehmen Standard. Doch im Falle eines Datenverlusts, ob selbstverschuldet oder durch einen Angriff, hilft der Verweis auf die vorhandenen Sicherheitsmechanismen niemandem. Wenn Daten verloren sind, bleibt nur noch die Suche nach den Ursachen beziehungsweise den Lücken im System.

Daraus ergeben sich die beiden Fragen, welches System den besten Schutz bietet und wie sich Unternehmen gegenüber ihren Projektpartnern als sicher ausweisen können. Zunächst sollte das Sicherheitsmanagement zentral organisiert werden. Dazu empfiehlt sich die Einrichtung eines Informationssicherheits-Managementsystems (ISMS). Dabei handelt es sich um eine Aufstellung von Verfahren und Regeln zur dauerhaften Definition, Steuerung und Kontrolle der eingesetzten Sicherheitsmaßnahmen.

Darüber hinaus macht es Sinn, das eigene ISMS nach ISO zu zertifizieren. Damit ist nicht nur gewährleistet, dass im eigenen Unternehmen alle notwendigen Maßnahmen zur Datensicherung getroffen sind. Die Zertifizierung nach Norm regelt ebenso die regelmäßige Wartung und Updates des ISMS. Nicht zuletzt aufgrund der jüngsten Datenskandale werden von Dienstleistern und Lieferanten immer häufiger Zertifizierungen und Nachweise zur IT-Sicherheit gemäß der ISO 27001 gefordert. Und auch der Gesetzgeber fordert für einige Branchen gezielte Maßnahmen zur Datensicherheit.

Im Grunde basieren diese Zertifizierung und das zugrunde liegende Sicherheitssystem auf dem Deming-Zyklus, nämlich Plan, Do, Check, Act – wobei die einzelnen Phasen bereits die Grundlage eines Projektplans für den Aufbau des ISMS liefern. Die einzelnen Phasen gliedern sich wie folgt:

  • Plan: Festlegung des Geltungsbereiches, Identifizierung der Unternehmenswerte, Risikoidentifizierung, -bewertung und -behandlung, Festlegung der organisatorischen und technischen Maßnahmen
  • Do: Feinplanung und Implementierung der Maßnahmen, Definition von Kriterien zur Messung der Wirksamkeit des ISMS
  • Check: Überwachung und Überprüfung des ISMS durch interne Audits sowie eine Neubewertung der Risikolage
  • Act: Initiierung von Korrektur- und Vorbeugungsmaßnahmen

Dieser Zyklus beschreibt den Ablauf der Einführung von Verfahren, Mechanismen und Soft- beziehungsweise Hardware-Lösungen zur Sicherstellung der Datensicherheit im eigenen Unternehmen. Die Zertifizierung berücksichtigt auch den Austausch von Daten mit anderen Unternehmen.

Zentrales Element eines ISMS ist das Risikomanagement. Dabei werden die Risiken in Bezug auf Datensicherheit einer Organisation identifiziert und deren Signifikanz bewertet. Sind die Risiken und deren Auswirkungen bekannt, kann im nächsten Schritt die Risikobewältigung systematisch geplant werden. Dabei können Risiken durch geeignete Maßnahmen reduziert oder beispielsweise an Versicherungen übertragen werden.

 

Der ISO Standard 27001 lässt Unternehmen beim Einsatz eines ISMS großen Spielraum. Es wird vorgeschrieben, was bewirkt werden muss, aber nicht, wie die entsprechenden Maßnahmen angewendet werden müssen. Folglich können ISMS schlank und den Bedürfnissen einer Organisation angepasst aufgebaut werden. Die Möglichkeiten sind enorm. Der Markt bietet die unterschiedlichsten Hardware- und Software-Lösungen. Darüber hinaus gibt es unzählige Speziallösungen, die nur je nach Einsatzgebiet Sinn machen – oder eben nicht.

 

Solange Menschen in Unternehmensprozesse involviert sind, wird es keine absolute Sicherheit geben können. Um das Restrisiko so weit wie möglich einzugrenzen, sind systematische Strukturen im Bereich der Informationssicherheit unabdingbar. Ein gewissenhaft und nachhaltig geplantes ISMS deckt den signifikanten Teil der gesetzlichen Vorgaben ab und die Zertifizierung bietet die Möglichkeiten von kosteneffizientem Versicherungsschutz für den Fall der Fälle.

 


Thomas Gambichler

Manager Marketing /PR

Dimension Data Germany, Oberursel

thomas.gambichler@eu.didata.com

 

IHK WirtschaftsForum
Juli 2011