Allgemeines und Etablierung
Ein Informationssicherheitsniveau im Unternehmen aufzubauen, dauerhaft zu etablieren und kontinuierlich zu verbessern, erfordert verschiedene Schritte, die regelmäßig durchlaufen werden müssen. Die Ausführung der einzelnen Schritte folgt dabei einem kontinuierlichen Verbesserungsprozess (KVP). In einem Informationssicherheits-Managementsystem (ISMS) gibt es eine Reihe von Prozessschritten, die realisiert sein müssen, um ein ausreichendes Sicherheitsniveau erreichen und dauerhaft etablieren zu können. Die grundlegenden Prozessschritte werden typischerweise bei der Etablierung nacheinander abgearbeitet. Die Implementierung des Managementsystems, die konforme Umsetzung von praxistauglichen Maßnahmen, als auch die notwendige Sensibilisierung der Unternehmenskultur, erfordert eine entsprechende Expertise und langjährige Erfahrung.
Das erprobte Vorgehen zur Etablierung besteht aus mehreren Aktivitäten, die meist innerhalb eines Einführungsprojekts erstmalig umgesetzt werden. Hierbei geht NNW Consulting nach dem bewährten System (Plan-Do-Check-Act = PDCA Zyklus) vor. Wir begleiten Sie somit ganzheitlich von der strategischen Etablierung einer Informationssicherheitsorganisation, den übergreifenden Anforderungen, bis hin zur Durchführung von Audits, der Berichterstattung und Umsetzung von Verbesserungen.
Im Rahmen unserer Datenschutzleistungen zur DSGVO oder als Ihr externer Datenschutzbeauftragter zeigen wir Ihnen auch mögliche Schnittstellen und Optimierungsansätze auf, um eine ganzheitliche und praxisnahe Umsetzung der jeweiligen Anforderungen zu ermöglichen und Quick-Wins zu realisieren.
Die Unternehmenswelt ist mit immer schneller entwickelnden Technologie- und Digitalisierungsstandards konfrontiert. Was zum einen neue Möglichkeiten schafft, birgt auf der anderen Seite Risiken. In allen Unternehmensprozessen geht es dabei um den Schutz der Daten bzw. Informationen, egal ob Sie personenbezogen sind oder nicht – der Informationssicherheit. Der Fokus liegt nicht nur im angemessenen Schutz vor Verlust und unberechtigten Zugriff dieser Informationen (z.B. Kunden- und Mitarbeiterdaten, Patente, Unternehmensprotokolle), sondern auch in der Gewährleistung einer andauernden Verfügbarkeit und einem fehlerfreien bzw. verfälschungssicheren Funktionieren der Kernprozesse und der dort eingesetzten Systeme.
Der Schutz von personenbezogenen Daten stellt einen Grundrechtsschutz dar.
Innerhalb der Informationssicherheit gibt es viele verschiedene Begrifflichkeiten:
Die Informationssicherheit selbst stammt als Begrifflichkeit aus den IT-Grundschutzkatalogen des BSI oder aus der ISO 27001. Vor allem letztere gilt in der Unternehmenswelt als weit verbreitet. Die Normenreihe ISO/IEC 2700x beinhaltet international anerkannte Standards zum Informationssicherheits-Management (engl. Information Security Management). Dabei können Unternehmen aller Branchen ihr Informationssicherheits-Managementsystem (ISMS), also ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit, nach ISO/IEC 27001:2013 zertifizieren lassen. Insgesamt umfasst die Informationssicherheit alle relevanten Aspekte im Zusammenhang mit dem Schutz der Informationen. Vorrangig werden dabei die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität verfolgt und vor allem mittels technisch-organisatorischer Maßnahmen umgesetzt.
· Vertraulichkeit
Vertraulichkeit bedeutet, dass Daten, je nach Sensitivität, nur befugten Personen zugänglich zu machen sind. Dies gilt z.B. für die eingesetzten Systeme oder sensiblen Räumlichkeiten der IT. Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen umgesetzt werden, damit ein unbefugter Zugriff sowohl auf gespeicherte als auch auf übermittelte Daten verhindert werden kann. Dazu zählen u.a. Zutritts-, Zugangs- und Berechtigungskonzepte.
· Integrität
Integrität bedeutet, dass Daten / Systeme korrekt, unverändert bzw. verlässlich sind. Ein Angriff auf die Integrität wäre z.B. die Verfälschung der Daten, wenn der Empfänger einen anderen Inhalt einer Datei oder Nachricht erhält, als vom Sender erstellt. Dies kann z.B. dann passieren, wenn die Soft- oder Hardware fehlerhaft arbeitet und falsche Ergebnisse liefert (und damit unverlässlich ist) oder durch nicht geregelte Berechtigungen auch Personen Zugriff auf die Daten haben, die eigentlich keinen Zugriff benötigen oder gar unbefugt sind. Damit kann ein Angriff nicht nur absichtlich, sondern auch versehentlich durch Software- oder Bedienungsfehler erfolgen.
· Verfügbarkeit
Verfügbarkeit bedeutet, dass Information und die eingesetzten IT-Systeme immer so zur Verfügung stehen und genutzt werden können, wie dies für die Erledigung der Geschäftsprozesse notwendig ist. Vor allem bei der Nutzung externer IT-Infrastruktur spielt die Sicherstellung der Verfügbarkeit eine zentrale Rolle und sollte durch geeignete vertragliche Maßnahmen, z.B. für den Umgang mit einem Serverausfall, geregelt werden.
Ähnlich wie die Informationssicherheit versteht sich der Begriff der Datensicherheit. Auch hier geht es um den Schutz aller Informationen, egal ob personenbezogen oder nicht. Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen.
Die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei wird unter der IT-Sicherheit nicht nur der Schutz der technischen Verarbeitung von Informationen durch geeignete Maßnahmen verstanden, sondern auch die Funktionssicherheit, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.
Auch wenn der Datenschutz einzig den Schutz personenbezogener Daten verfolgt, so überschneiden sich Datenschutz, Datensicherheit, IT-Sicherheit und Informationssicherheit bei der Umsetzung durch technisch-organisatorische Maßnahmen und wirken dabei gegenseitig positiv aufeinander ein.
Informationssicherheitsbeauftragter
Grundsätzlich muss die Unternehmensführung sicherstellen, dass die Prozesse im Unternehmen die informationssicherheitsrelevanten Anforderungen einhalten, denn die Unternehmensführung trägt auch die Verantwortung für die Informationssicherheit. Die Unternehmensführung kann die Durchführung dieser Aufgaben jedoch delegieren. Typischerweise wird dazu das Informationssicherheitsmanagement (ISM) als Instanz implementiert, wobei der Informationssicherheitsbeauftragte die führende Rolle einnimmt.
Auch NNW begleitet Sie dauerhaft als Informationssicherheitsbeauftragter. Weitere Informationen erhalten Sie hier.
Aufgabe der Unternehmensführung bzw. des ISM ist die Etablierung eines Informationssicherheitsmanagementsystems (ISMS). Innerhalb des Unternehmens sollten sowohl organisationsinterne als auch -externe Themen identifiziert werden, welche den Geschäftszweck des Unternehmens beeinflussen. Die Identifizierung bildet in der Folge eine wesentliche Grundlage für die Bestimmung der Sicherheitsziele der Organisation sowie der Identifikation von Risiken und Chancen im Umfeld des ISMS und der Bestimmung geeigneter Maßnahmen zur Behandlung von Risiken. Der Informationssicherheitsbeauftragte hat dabei eine zentrale Rolle.
Zu seinen Aufgaben zählen insbesondere
· Verantwortlicher im Rahmen des Informationssicherheitsmanagements
· Beratung der Unternehmensführung und der Mitarbeiter bei informationssicherheitsrelevanten Themen
· Durchführung von Schulungen und Sensibilisierungsmaßnahmen
· Etablierung eines Auditmanagements inkl. Durchführung von Audits und entsprechender Dokumentation
· Berichtspflicht gegenüber der Unternehmensführung
· Erstellung und Pflege des Risikokatalogs- und Risikobehandlungsplans
· Koordination von Informationssicherheitsvorfällen
· Ansprechpartner für Aufsichtsbehörden und weiterer Externer
· Abstimmung und Zusammenarbeit mit dem Datenschutzbeauftragten
Aufgrund seiner Funktion und Tätigkeiten ist bei der Ernennung des Informationssicherheitsbeauftragten darauf zu achten, dass keine Interessenkonflikte durch bspw. weitere Funktionsausübungen bei derselben Person auftreten. Dies entsteht insbesondere dann, wenn keine Trennung des operativen Geschäfts mit nachgelagerten Kontrollen stattfindet. Dazu zählen u.a. die Rolle des IT-Leiters oder die als Mitarbeiter der IT-Abteilung.
Weiterhin ist bei Ernennung des Informationssicherheitsbeauftragten in Folge der Verantwortung für das Unternehmen i.V.m. einer hohen fachlichen Komplexität auf eine entsprechende Sachkunde zu achten. Vor allem bei kleinen und mittelständischen Unternehmen gibt es hier selten Personal mit entsprechender notwendiger Qualifikation. Daher wird oft der Weg zu einem externen Informationssicherheitsbeauftragten bzw. zu einer qualifizierten externen Beratung gesucht.
Durch die Bestellung eines externen Informationssicherheitsbeauftragten vermeiden Sie nicht nur Interessenkonflikte. Darüber hinaus bietet die Auslagerung auch weitere Vorteile:
· Sämtliche Kosten für Aus- und Fortbildungsmaßnahmen für den internen Informationssicherheitsbeauftragten fallen weg
· Dauerhafte Gewährleistung einer Vertretung
· Keine weiteren Kosten für Aus- und Fortbildung der Vertretungsperson
· Mitarbeiter, die im Unternehmen ISB sind, machen dies oft nebenbei. Durch die Bestellung
eines externen ISB liegt die Aufgabe in Händen von Experten
Deshalb sprechen Sie uns an und lassen Sie sich ein auf Ihre Bedürfnisse zugeschnittenes Angebot erstellen.
Bei der Sicherstellung der Authentizität werden folgende 3 Vorgänge unterschieden:
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Methode zur Verbesserung der Sicherheit bei Online-Zugängen. Sie stellt sicher, dass nur berechtigte Benutzer Zugang zu einem Konto erhalten, indem sie zwei unabhängige Faktoren zur Überprüfung der Identität verwendet.
Die erste Stufe der Authentifizierung ist die Eingabe eines Benutzernamens und Passworts, die üblicherweise bereits Teil des Anmeldevorgangs sind. Die zweite Stufe ist die Überprüfung eines zusätzlichen Faktors, wie eines One-Time-Passworts (OTP) oder eines biometrischen Merkmals.
One-Time-Passwörter werden oft über eine SMS oder eine Authentifizierungs-App auf einem mobilen Gerät generiert und müssen innerhalb eines bestimmten Zeitraums eingegeben werden. Biometrische Merkmale können Gesichtserkennung, Fingerabdruck oder Iris-Scan sein.
Die Verwendung von 2FA erhöht die Sicherheit, indem sichergestellt wird, dass auch bei einem gehackten Passwort kein unautorisierter Zugang zum Konto erfolgen kann. Ein Angreifer müsste sowohl das Passwort als auch den zusätzlichen Faktor kennen oder stehlen, um erfolgreich einzudringen.
Es ist wichtig zu beachten, dass 2FA nicht für alle Online-Konten verfügbar und auch nicht für alle Benutzer geeignet ist. Es hängt von den individuellen Bedürfnissen und dem Risikoprofil ab, ob eine Verwendung von 2FA sinnvoll ist. Trotzdem ist es eine praktikable Option für Unternehmen und Organisationen, die eine höhere Sicherheit benötigen, und für private Benutzer, die besonderen Wert auf den Schutz ihrer Online-Konten legen.
Kryptographie ist die Wissenschaft und Technik, Informationen zu verschlüsseln, um sie vor unauthorisiertem Zugriff zu schützen. Die Kryptographie kann in zwei Hauptbereiche unterteilt werden: Symmetrische Kryptographie und asymmetrische Kryptographie.
In der symmetrischen Kryptographie werden dieselben Schlüssel verwendet, um sowohl die Daten zu verschlüsseln als auch zu entschlüsseln. Dies ist ein schneller und effizienter Ansatz, aber er hat den Nachteil, dass derselbe Schlüssel an beiden Enden bekannt sein muss, was ein Sicherheitsrisiko darstellt.
In der asymmetrischen Kryptographie werden zwei unterschiedliche Schlüssel verwendet, ein öffentlicher und ein privater. Die Daten werden mit dem öffentlichen Schlüssel verschlüsselt, der frei zugänglich ist, und können nur mit dem privaten Schlüssel, der geheim gehalten wird, entschlüsselt werden. Dieser Ansatz bietet ein höheres Maß an Sicherheit, ist aber auch langsamer und komplexer als die symmetrische Kryptographie.
Die Kryptographie spielt eine entscheidende Rolle in Bereichen wie der Datensicherheit, der elektronischen Überweisungen, dem Schutz von geistigem Eigentum und dem militärischen Bereich. Es ist ein wichtiger Teil des modernen Datenschutzes und hilft, Informationen vor unbefugtem Zugriff und Missbrauch zu schützen.