Das IT-Sicherheitsgesetz in der Praxis

Nachhaltige Cyber-Defense in der Praxis

15.12.2015
Von Norman Wenk

Schrittweise ISMS-Einführung

Die folgenden Schritte führen zur strukturierten Einführung eines ISMS im Rahmen eines PDCA (Plan-Do-Check-Act)-Zyklus:

  1. Festlegung des Anwendungsbereichs (Scope),

  2. Inventarisieren der Werte (Assets),

  3. Analysieren und Behandeln von Risiken,

  4. Maßnahmen festlegen und umsetzen,

  5. Regelmäßiges Review und kontinuierliche Verbesserung.

Informationssicherheit als Prozess.
Informationssicherheit als Prozess.
Foto: NTT Com Security

Bei der Definition des Anwendungsbereichs (Scope) des ISMS geht es darum, den Rahmen für einen effektiven Schutz der relevanten Umgebungen und Systeme festzulegen. Es wird eine Dokumentation erstellt, in der unter anderem die Geschäftsziele und -bereiche des jeweiligen Unternehmens, dessen Organisationsstruktur, die Wirtschaftsgüter sowie die eingesetzten Technologien aufgeführt sind.

Im nächsten Schritt werden die im Scope enthaltenen Unternehmenswerte (Assets) erhoben und dokumentiert bzw. die bereits bestehende Asset-Liste ergänzt.

Risikoeinschätzung und Risikobehandlung.
Risikoeinschätzung und Risikobehandlung.
Foto: NTT

Basierend auf einem zuvor festgelegten systematischen Ansatz (u.a. ISO / IEC 27005 bzw. 31000), der an den Geschäftszielen des jeweiligen Unternehmens ausgerichtet ist, werden die Risiken anschließend analysiert und bewertet. Im Rahmen der Risikobehandlung werden Maßnahmen entsprechend der gewählten Risikobehandlungsstrategie identifiziert, priorisiert und umgesetzt. Ziel ist hierbei, die Risiken auf ein für das Unternehmen akzeptables Niveau zu senken (Akzeptanz des Restrisikos möglich).

Die Vorgehensweise zur Einführung der Maßnahmen richtet sich nach der Governance-Struktur der Informationssicherheit. Auf diese Art und Weise wird der organisatorische Kontext berücksichtigt und sichergestellt, dass sich diese Maßnahmen zur Einführung des geforderten Mindestniveaus an IT-Sicherheit an den Geschäftszielen und den unternehmerischen Rahmenbedingungen eines Unternehmens orientieren.

PDCA-Modell

Governance Struktur für Informationssicherheit.
Governance Struktur für Informationssicherheit.
Foto: NTT

Für eine erfolgreiche und nachhaltig zweckmäßige Einführung eines ISMS ist es zwingend erforderlich, das etablierte Framework und die Maßnahmen kontinuierlich auf Wirksamkeit zu prüfen und im Bedarfsfall anzupassen. Der Nutzen von Informationssicherheit und deren Verankerung innerhalb einer Organisation ergibt sich durch deren Einbindung als regelmäßigen Prozesses innerhalb der Organisationsstrukturen eines Unternehmens. Dies kann idealerweise im Rahmen eines "Plan-Do-Check-Act- Modells" (PDCA-Modell) für die Prozesse des ISMS erreicht werden.

Unabhängig der gesetzlichen Anforderungen ergeben sich durch die notwendigen Maßnahmen wie die Einführung eines ISMS zudem massive Chancenpotenziale, um die eigenen unternehmerischen Interessen und Ziele zu schützen:

  • Vermeidung potenzieller Schäden (finanzielle und Reputationsschäden) durch Etablierung eines Mindestniveaus an Informationssicherheit, strukturiert nach Vorgaben/Standards und priorisierten Richtlinien, die auf dem ISMS basieren.

  • aktives und nachhaltiges Management potenzieller Sicherheitsrisiken sowie eine Cyber-Defense-Strategie unter anderem durch Etablierung eines ISMS sowie eines SecuritySecurity Incident Management-Prozesses. Alles zu Security auf CIO.de

  • Nutzung der Audit-Ergebnisse zur kontinuierlichen Weiterentwicklung.

Unternehmen, die zwar nicht zu den Kritischen Infrastrukturen gehören, aber Betreiber von Online-Shops oder anderen kommerziellen Webdiensten sind, sind nach dem IT-Sicherheitsgesetz, hier speziell Änderung des TMG, außerdem dazu verpflichtet, Mindestanforderungen an die IT-Sicherheit nach dem Stand der Technik umzusetzen und nachzuweisen.

Fazit

Es ist davon auszugehen, dass das Gesetz für ein höheres Sicherheitsniveau in der Informationstechnologie sorgen wird. Derzeit sind einige Begriffsdefinitionen teilweise noch unscharf formuliert und der Anwendungsbereich durch fehlende Rechtsverordnungen unklar. Grundsätzlich beinhaltet die Umsetzungsanforderung Handlungsspielräume bezüglich der Fertigungstiefe und des notwendigen Reifegrades, wenn mit der Ausgestaltung das notwendige Mindestniveau erreicht und der erforderliche Standard angemessen erfüllt werden soll.

Zur Startseite