NNW Consulting

NNW Consulting

Startseite » Wissensdatenbank » Informationssicherheit

Informationssicherheit

Allgemeines und Etablierung 

Ein Informationssicherheitsniveau im Unternehmen aufzubauen, dauerhaft zu etablieren und kontinuierlich zu verbessern, erfordert verschiedene Schritte, die regelmäßig durchlaufen werden müssen. Die Ausführung der einzelnen Schritte folgt dabei einem kontinuierlichen Verbesserungsprozess (KVP). In einem Informationssicherheits-Managementsystem (ISMS) gibt es eine Reihe von Prozessschritten, die realisiert sein müssen, um ein ausreichendes Sicherheitsniveau erreichen und dauerhaft etablieren zu können. Die grundlegenden Prozessschritte werden typischerweise bei der Etablierung nacheinander abgearbeitet. Die Implementierung des Managementsystems, die konforme Umsetzung von praxistauglichen Maßnahmen, als auch die notwendige Sensibilisierung der Unternehmenskultur, erfordert eine entsprechende Expertise und langjährige Erfahrung. 

                                                                                           

 

Unsere Leistung

 

Unsere Leistungen  

Das erprobte Vorgehen zur Etablierung besteht aus mehreren Aktivitäten, die meist innerhalb eines Einführungsprojekts erstmalig umgesetzt werden. Hierbei geht NNW Consulting nach dem bewährten System (Plan-Do-Check-Act = PDCA Zyklus) vor. Wir begleiten Sie somit ganzheitlich von der strategischen Etablierung einer Informationssicherheitsorganisation, den übergreifenden Anforderungen, bis hin zur Durchführung von Audits, der Berichterstattung und Umsetzung von Verbesserungen. 

Im Rahmen unserer Datenschutzleistungen zur DSGVO oder als Ihr externer Datenschutzbeauftragter zeigen wir Ihnen auch mögliche Schnittstellen und Optimierungsansätze auf, um eine ganzheitliche und praxisnahe Umsetzung der jeweiligen Anforderungen zu ermöglichen und Quick-Wins zu realisieren. 

Informationssicherheit ISO 27001

Informationssicherheit ISO 27001

Die Unternehmenswelt ist mit immer schneller entwickelnden Technologie- und Digitalisierungsstandards konfrontiert. Was zum einen neue Möglichkeiten schafft, birgt auf der anderen Seite Risiken. In allen Unternehmensprozessen geht es dabei um den Schutz der Daten bzw. Informationen, egal ob Sie personenbezogen sind oder nicht – der Informationssicherheit. Der Fokus liegt nicht nur im angemessenen Schutz vor Verlust und unberechtigten Zugriff dieser Informationen (z.B. Kunden- und Mitarbeiterdaten, Patente, Unternehmensprotokolle), sondern auch in der Gewährleistung einer andauernden Verfügbarkeit und einem fehlerfreien bzw. verfälschungssicheren Funktionieren der Kernprozesse und der dort eingesetzten Systeme. 

 

Der Schutz von personenbezogenen Daten stellt einen Grundrechtsschutz dar. Es geht dabei um den

Innerhalb der Informationssicherheit gibt es viele verschiedene Begrifflichkeiten:

Die Informationssicherheit selbst stammt als Begrifflichkeit aus den IT-Grundschutzkatalogen des BSI oder aus der ISO 27001. Vor allem letztere gilt in der Unternehmenswelt als weit verbreitet. Die Normenreihe ISO/IEC 2700x beinhaltet international anerkannte Standards zum Informationssicherheits-Management (engl. Information Security Management). Dabei können Unternehmen aller Branchen ihr Informationssicherheits-Managementsystem (ISMS), also ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit, nach ISO/IEC 27001:2013 zertifizieren lassen. Insgesamt umfasst die Informationssicherheit alle relevanten Aspekte im Zusammenhang mit dem Schutz der Informationen. Vorrangig werden dabei die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität verfolgt und vor allem mittels technisch-organisatorischer Maßnahmen umgesetzt. 

·       Vertraulichkeit

Vertraulichkeit bedeutet, dass Daten je nach Sensitivität nur entsprechenden befugten Personen zugänglich zu machen sind. Dies gilt z.B. für die eingesetzten Systeme oder sensiblen Räumlichkeiten der IT. Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen umgesetzt werden, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann. Dazu zählen u.a. Zutritts-, Zugangs- und Berechtigungskonzepte.

·       Integrität

Integrität bedeutet, dass Daten / Systeme korrekt, unverändert bzw. verlässlich sind. Ein Angriff auf die Integrität wäre z.B. die Verfälschung der Daten, wenn der Empfänger ein anderen Inhalt einer Datei oder Nachricht erhält, als vom Sender erstellt. Dies kann z.B. dann passieren, wenn die Soft- oder Hardware fehlerhaft arbeitet und falsche Ergebnisse liefert (und damit unverlässlich ist) oder durch nicht geregelte Berechtigungen auch Personen Zugriff auf die Daten haben, die eigentlich keinen Zugriff benötigen oder gar unbefugt sind. Damit kann ein Angriff nicht nur absichtlich, sondern auch versehentlich durch Software- oder Bedienungsfehler erfolgen.

·       Verfügbarkeit

Verfügbarkeit bedeutet, dass Information und die eingesetzten IT-Systeme immer so zur Verfügung stehen und genutzt werden können, wie dies für die Erledigung der Geschäftsprozesse notwendig ist. Vor allem bei der Nutzung externer IT-Infrastruktur spielt die Sicherstellung der Verfügbarkeit eine zentrale Rolle und sollte durch geeignete vertragliche Maßnahmen, z.B. für den Umgang mit einem Serverausfall, geregelt werden.

Ähnlich wie die Informationssicherheit versteht sich der Begriff der Datensicherheit. Auch hier geht es um den Schutz aller Informationen, egal ob personenbezogen oder nicht. Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. 

Die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei wird unter der IT-Sicherheit nicht nur der Schutz der technischen Verarbeitung von Informationen durch geeignete Maßnahmen verstanden, sondern auch die Funktionssicherheit, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Auch wenn der Datenschutz einzig den Schutz personenbezogene Daten verfolgt, so überschneiden sich Datenschutz, Datensicherheit, IT-Sicherheit und Informationssicherheit bei der Umsetzung durch technisch-organisatorische Maßnahmen und wirken dabei gegenseitig positiv aufeinander ein.

Informationssicherheitsbeauftagter

Informationssicherheitsbeauftragter 

Grundsätzlich muss die Unternehmensführung sicherstellen, dass die Prozesse im Unternehmen die informationssicherheitsrelevanten Anforderungen einhalten, denn die Unternehmensführung trägt auch die Verantwortung für die Informationssicherheit. Die Unternehmensführung kann die Durchführung dieser Aufgaben jedoch delegieren. Typischer Weise wird dazu das Informationssicherheitsmanagement (ISM) als Instanz implementiert, wobei der Informationssicherheitsbeauftragter die führende Rolle einnimmt. 

Auch NNW begleitet Sie dauerhaft als Informationssicherheitsbeauftragter. Weitere Informationen erhalten Sie hier. 

Aufgabe der Unternehmensführung bzw. des ISM ist die Etablierung eines Informationssicherheitsmanagementsystems (ISMS). Innerhalb des Unternehmens sollten sowohl organisationsinterne als auch -externe Themen identifiziert werden, welche den Geschäftszweck des Unternehmens beeinflussen. Die Identifizierung bildet in der Folge eine wesentliche Grundlage für die Bestimmung der Sicherheitsziele der Organisation sowie der Identifikation von Risiken und Chancen im Umfeld des ISMS und der Bestimmung geeigneter Maßnahmen zu Behandlung von Risiken. Der Informationssicherheitsbeauftragte hat dabei eine zentrale Rolle.  

Zu seinen Aufgaben zählen insbesondere 

·       Verantwortlicher im Rahmen des Informationssicherheitsmanagements 

·       Beratung der Unternehmensführung und der Mitarbeiter bei informationssicherheitsrelevanten Themen 

·       Durchführung von Schulungen und Sensibilisierungsmaßnahmen 

·       Etablierung eines Auditmanagements inkl. Durchführung von Audits und entsprechender Dokumentation 

·       Berichtspflicht gegenüber der Unternehmensführung 

·       Erstellung und Pflege des Risikokatalogs- und Risikobehandlungsplans 

·       Koordination von Informationssicherheitsvorfällen 

·       Ansprechpartner für Aufsichtsbehörden und weiterer Externer 

·       Abstimmung und Zusammenarbeit mit dem Datenschutzbeauftragten 

 

Aufgrund seiner Funktion und Tätigkeiten ist bei der Ernennung des Informationssicherheitsbeauftragten darauf zu achten, dass keine Interessenkonflikte durch bspw. weitere Funktionsausübungen bei derselben Person auftreten. Dies entsteht insbesondere dann, wenn keine Trennung des operativen Geschäfts mit nachgelagerten Kontrollen stattfindet. Dazu zählen u.a. die Rolle des IT-Leiters oder die als Mitarbeiter der IT-Abteilung.  

Weiterhin ist bei Ernennung des Informationssicherheitsbeauftragten in Folge der Verantwortung für das Unternehmen i.V.m. einer hohen fachlichen Komplexität auf eine entsprechende Sachkunde zu achten. Vor allem bei kleinen und mittelständischen Unternehmen gibt es hier selten Personal mit entsprechender notwendiger Qualifikation. Daher wird oft der Weg zu einem externen Informationssicherheitsbeauftragten bzw. zu einer qualifizierten externen Beratung gesucht. 
Durch die Bestellung eines externen Informationssicherheitsbeauftragten vermeiden Sie nicht nur Interessenkonflikte. Darüber hinaus bietet die Auslagerung auch weitere Vorteile:  

·       Sämtliche Kosten für Aus- und Fortbildungsmaßnahmen für den internen Informationssicherheitsbeauftragten fallen weg 

·       Dauerhafte Gewährleistung einer Vertretung  

·       Keine weiteren Kosten für Aus- und Fortbildung der Vertretungsperson  

·       Mitarbeiter, die im Unternehmen ISB sind, machen dies oft nebenbei. Durch die Bestellung
        eines externen ISB liegt die Aufgabe in Händen von Experten 

Deshalb sprechen Sie uns an und lassen Sie sich ein auf Ihre Bedürfnisse zugeschnittenes Angebot erstellen.

Begriffe der Informationssicherheit im Kontext der Authentizität

Bei der Sicherstellung der Authentizität werden folgende 3 Vorgänge unterschieden:

  • Authentisierung
    Vorgang des Nachweisens der eigenen Identität oder weiteren Eigenschaft durch eine Person oder Entität. Die Authentisierung kann durch Passwörter, Chipkarten oder Biometrie erfolgen. Eine Authentisierung von Daten erfolgt häufig durch kryptographische Signaturen
     
  • Authentifizierung
    Prüfung und Nachweis der Identität oder weiteren Eigenschaften einer Person. Bei authentischen Informationen ist gewährleistet, dass Informationen von der angegebenen Quelle erstellt wurden. Die Authentizität beschreibt die Eigenschaft bzw. gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. 
     
  • Autorisierung
    Prüfung von Berechtigung einer Aktion oder Handlung. Bei der Autorisierung wird geprüft, ob eine Person oder Entität zur Durchführung einer Handlung berechtigt ist.