ISMS auf Basis von VdS 3473 – Eine Einführung

Informationssicherheit ist längst keine Frage der Notwendigkeit mehr. Vielmehr stellt sich die Frage, wie mit einem vertretbaren Aufwand ein gesundes Maß von Informationssicherheit geschaffen werden kann. Denn Informationssicherheit ist kein Selbstzweck sondern unverzichtbar für Unternehmen, die im Wettbewerb bestehen wollen. Dies gilt auch für kleine und mittlere Unternehmen (KMU). Denn auch hier ist die Informationstechnologie (IT) längst in den meisten Geschäftsprozessen integriert und daher nicht mehr wegzudenken.

(Artikel als PDF)

Doch was ist nun das „gesunde Maß“ und was ist ein „vertretbarer Aufwand“? Diese Frage kann nicht pauschal beantwortet werden sondern ist für jedes Unternehmen verschieden. Unter anderem ist es abhängig davon, wie sehr die Geschäftsprozesse von IT abhängig sind, wie groß und komplex das Unternehmen ist oder auf welchem Markt und in welchem Wettbewerb sich das Unternehmen behaupten muss. Sind diese Fragen einmal beantwortet, begegnen die IT-Verantwortlichen der wohl schwierigsten Herausforderung: Wie setze ich Informationssicherheit in meinem Unternehmen um?

Das wichtigste vorab: Ein Patentrezept gibt es nicht. Zwar existieren seit geraumer Zeit Standards und Rahmenwerke, diese können jedoch nicht eins zu eins auf alle Unternehmen angewendet werden. Die prominentesten Vertreter dieser Standards sind der deutsche IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die internationale Norm ISO 27001. Beide sind etabliert und haben eine Sache gemeinsam: Sie sind für den Großteil der kleinen und mittleren Unternehmen nicht umsetzbar. Dies ist in erster Linie der Komplexität und dem Aufwand geschuldet, der für ihre Umsetzung anfällt. Im Jahr 2015 wurde von der VdS Schadenverhütung mit den VdS-Richtlinien 3473 – Cyber-Security für kleine und mittlere Unternehmen ein neuer Mitspieler in diesem Bereich vorgestellt, der versucht, genau diese Kritikpunkte zu vermeiden.

Informationssicherheitsmanagement

Um Informationssicherheit wirksam und nachhaltig umzusetzen, bedarf es einer strukturierten Herangehensweise – einem Managementsystem. Im Kontext der Informationssicherheit spricht man hier von einem Informationssicherheitsmanagementsystem, kurz ISMS. Ein Fundamentaler Aspekt eines jeden Managementsystems ist der „PDCA-Zyklus“ oder auch „Demingkreis“. PDCA steht hierbei für Plan, Do, Check, Act und beschreibt die notwendigen, sich immer wiederholenden Schritte, um das Managementsystem zu betreiben und stetig zu verbessern. VdS 3473 beschreibt ein solches ISMS, mit allen notwendigen Voraussetzungen, Maßnahmen und Tätigkeiten.

Organisation der Informationssicherheit

Grundvoraussetzung für die strukturierte Schaffung von Informationssicherheit in einem Unternehmen ist die Organisation der selbigen. Es müssen klare Verantwortlichkeiten definiert und die notwendigen Ressourcen (Geld, Personal, Wissen, …) bereitgestellt werden. Und genau an diesem Punkt offenbart sich bereits die größte Herausforderung: Dies kann nur durch das Topmanagement, also der „oberste Leitungsebene“, der Geschäftsführung bzw. dem Vorstand erfolgen. Denn die Gesamtverantwortlichkeit für Informationssicherheit liegt beim Topmanagement und kann auch nicht delegiert werden. Sollte das Verständnis an dieser Stelle nicht vorhanden sein, ist das Vorhaben Informationssicherheit zum Scheitern verurteilt. Es bedarf also einer klaren Bekennung und Verpflichtung des Topmanagements zur Informationssicherheit, erst dann können die nächsten Schritte folgen.

Rollen und Verantwortlichkeiten

Die zentrale Rolle im ISMS ist die des Informationssicherheitsbeauftragten (ISB). Er initiiert, plant, überwacht und steuert sämtliche Tätigkeiten in diesem Bereich und unterstützt das Topmanagement in zentralen Fragen der Informationssicherheit. Gleichsam ist der Ansprechpartner für alle Mitarbeiter und ist für deren Sensibilisierung verantwortlich. Ihm zur Seite gestellt ist das Informationssicherheitsteam (IST). Dieses Gremium, das neben einem Vertreter des Topmanagements, dem ISB und dem IT-Verantwortlichen auch aus weiteren Vertretern des Personals und – sofern vorhanden – dem Datenschutzbeauftragten besteht, unterstützt den ISB bei seinen Aufgaben und ist für die Erstellung der Richtlinien zur Informationssicherheit (IS-Richtlinien) verantwortlich. Durch diese Zusammensetzung wird erreicht, dass möglichst viele Interessen im Unternehmen ausreichend Beachtung finden und umgekehrt das Thema Informationssicherheit in alle Bereiche des Unternehmens getragen wird. Informationssicherheit steht und fällt mit der Akzeptanz bei der Belegschaft, daher ist dieser Punkte von großer Bedeutung.

Besonders in kleinen Unternehmen werden diese Rollen oft von wenigen oder sogar ein und derselben Person besetzt. Solange dies nicht zu Interessenskonflikten führt, ist daran auch nichts auszusetzen. Schwierig wird es, sobald eine Funktionstrennung nicht umgesetzt werden kann und widersprüchliche Verantwortungen auf einer Person vereint sind. Wenn es die oberste Aufgabe des Fertigungsleiters ist, möglichst günstig und in kürzester Zeit Produkte herzustellen, wird naturgemäß Informationssicherheit weniger im Fokus stehen oder im schlimmsten Fall eher hinderlich sein. Solche Konflikte sollten, wenn irgend möglich, verhindert werden.

Bei der Auswahl des Personals zur Besetzung der entsprechenden Rollen im ISMS ist die Eignung ein wichtiger Aspekt. Notwendiges Fachwissen und Vertrauenswürdigkeit aber auch der Stand bzw. das Ansehen der jeweiligen Person im Unternehmen sollten ausreichend Beachtung finden. Sind die Verantwortlichkeiten zugewiesen obliegt es dem Topmanagement, die Personen für die Erfüllung ihrer Aufgaben im ISMS von anderen Tätigkeiten im erforderlichen Maß freizustellen.

Richtlinien zur Informationssicherheit

Nachdem die organisatorischen Voraussetzungen geschaffen wurden, gilt es diese schriftlich zu fixieren. Das zentrale Dokument ist hierbei die Leitlinie zur Informationssicherheit (IS-Leitlinie). In ihr bekennt und verpflichtet sich das Topmanagement zur Informationssicherheit und es werden die zu erreichenden Ziele mit den jeweiligen Verantwortlichkeiten definiert. Auch werden Konsequenzen bei der Nichtbeachtung festgelegt – ein ungeliebter aber notwendiger Punkt.

Zur Unterstützung und Konkretisierung der IS-Leitlinie ist es erforderlich, weitere Vorgaben zu verabschieden und in einzelnen Dokumenten zu sammeln. Was in diesen Richtlinien zur Informationssicherheit (IS-Richtlinien) behandelt wird, kann je nach Unternehmen variieren, es sollten jedoch mindestens folgende IS-Richtlinie erstellt werden.

Regelungen für Nutzer

Die Nutzer der Unternehmens-IT müssen wissen, was sie dürfen und was nicht. Generell muss die missbräuchliche oder gesetzeswidrige Nutzung verboten werden, dies betrifft insbesondere das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten. Die Nutzung der Unternehmens-IT zu privaten Zwecken impliziert eine Reihe rechtlicher Konsequenzen, die insbesondere Arbeits- und Datenschutzrechtliche Punkte betreffen. Das Für und Wider einer Privatnutzung sollte daher ausgiebig mit den Bedarfsträgern (z.B. auch mit dem Betriebsrat) diskutiert und anschließend schriftlich fixiert werden. Grundlegende Verhaltensregeln, wie das Verbot nicht freigegebener Hard- oder Software oder das Verbot der Weitergabe von Zugangsdaten sowie der Hinweis auf die Kontrollmöglichkeiten dieser Vorgaben müssen verständlich und unmissverständlich geregelt sein. Wichtig ist, dass auch Möglichkeiten für Ausnahmen existieren sollten, da geschäftliche Anforderungen diese immer wieder erfordern können.

Diese Regelungen sollten nicht nur für Mitarbeiter gelten sondern auch insbesondere für Lieferanten und Dienstleister oder andere Externe Gültigkeit besitzen. Die Praxis zeigt, dass diese oft ein Risiko für die eigene Informationssicherheit darstellen, da durch sie z.B. Schadprogramme eingeschleppt oder Hintertüren installiert werden.

Weitere IS-Richtlinien

Je nach Unternehmen sollten weitere IS-Richtlinien erarbeitet werden. Darunter Regelungen für mobile IT-Systeme, mobile Datenträger und zur Datensicherung sowie Richtlinien, wie Sicherheitsvorfälle oder andere Störungen behandelt werden.

Personal

Personal ist ein zentraler Faktor für Informationssicherheit. Es muss daher geregt werden, welche Tätigkeiten und insbesondere welche sicherheitsrelevanten Tätigkeiten bei der Anstellung, einem möglichen Wechsel und der Beendigung einer Anstellung erfolgen müssen. Die Vermittlung von Wissen in Bezug auf Informationssicherheit ist wesentlich: So sollte geregelt werden, dass das Personal über die Sicherheitsvorgaben des Unternehmens informiert wird und die IS-Leitlinie und die IS-Richtlinien kennt und versteht. Bei dem Wechsel einer Anstellung, z.B. in eine andere Abteilung, muss sichergestellt werden, dass nicht mehr benötigte Zugriffsrechte entzogen werden, bei der Beendigung der Anstellung müssen Zugänge gesperrt oder gelöscht werden.

Schutzziele

Bei Informationssicherheit spricht man von drei maßgeblichen Schutzzielen, die es zu erreichen gilt: Es muss sichergestellt werden, dass die Informationen nicht verfälscht werden (Integrität), dass Informationen dann zur Verfügung stehen, wenn sie benötigt werden (Verfügbarkeit) und dass Informationen nur von Berechtigten eingesehen bzw. verarbeitet werden können (Vertraulichkeit). Zu diesem Zweck müssen technische und organisatorische Maßnahmen definiert, nach einem genauen Plan implementiert und regelmäßig auf ihre Wirksamkeit kontrolliert werden.

Identifizieren kritischer IT-Ressourcen

Die Auswahl der geeigneten Sicherheitsmaßnahmen spielt dabei eine zentrale Rolle. Werden Maßnahmen zu groß oder zu umfangreich dimensioniert, ist dies für das Unternehmen nicht wirtschaftlich. Wird zu wenig getan, steigt die Wahrscheinlichkeit, dass dem Unternehmen ein Schaden entsteht. Aus diesem Grund ist ein risikobasiertes Vorgehen bei der Auswahl von Sicherheitsmaßnahmen der Königsweg.

Zu diesem Zweck muss zunächst ermittelt werden, welche Geschäftsprozesse für das Unternehmen unerlässlich sind. Diese Aufstellung ist von besonderer Bedeutung, da durch sie aus „Business-Sicht“ festgelegt wird, wie lange der entsprechende Geschäftsprozess ausfallen darf, bis es zu einem katastrophalen Schaden kommt. Dies wird auch als „Maximal tolerierbare Ausfallzeit“, kurz MTA, bezeichnet. Katastrophale Schäden sind z.B., wenn Menschen verletzt werden oder ums Leben kommen, wenn zentrale Werte des Unternehmens zerstört werden, Gesetze gebrochen werden oder die Schadenshöhe den Fortbestand des Unternehmens gefährdet.

Im nächsten Schritt wird die Kritikalität der Informationen des Unternehmens bestimmt. „Kritisch“ kann für jedes Unternehmen unterschiedlich definiert werden. In jedem Fall sollten Informationen als kritisch gelten, wenn eine Verletzung der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit wiederum zu katastrophalen Schäden für das Unternehmen führt. Gemeinhin werden diese Informationen als die „Kronjuwelen“ des Unternehmens bezeichnet.

Sind kritische Geschäftsprozesse und kritische Informationen identifiziert, wird ermittelt, welche IT-Systeme diese Informationen verarbeiten, über welche Netzwerke die Informationen übertragen werden oder auf welchen mobilen Datenträgern diese Informationen gespeichert werden. Alle diese Komponenten sowie die unterstützende IT-Infrastruktur sind letztendlich als kritisch einzustufen.

Risikobasierte Sicherheitsmaßnahmen

Diese Unterscheidung in kritische und nicht-kritische Informationen und IT-Systeme erlaubt nun eine effiziente Absicherung, denn je nach ihrer Kritikalität müssen mehr oder weniger Sicherheitsvorkehrungen (technische und organisatorische Maßnahmen) ergriffen werden. Dabei sollten mindestens folgende Themen betrachtet werden:

  • IT-Systeme (z.B. Server, Clients, Drucker, Mobiltelefone, Smartphones, Telefonanlagen, Laptops, Tablets, aktive Netzwerkkomponenten)
  • Netzwerke und Verbindungen
  • Mobile Datenträger (z.B. USB-Sticks, externe Festplatten)
  • Physische Umgebung (z.B. Klimatisierung, Feuerschutz, Verkabelung)
  • IT-Outsourcing und Cloud Computing
  • Zugänge und Zugriffsrechte
  • Datensicherung und Archivierung
  • Störungen und Ausfälle
  • Sicherheitsvorfälle

Für kritische IT-Systeme oder besonders exponierten Komponenten, wie z.B. Firewalls, empfiehlt sich zusätzlich eine Risikoanalyse durchzuführen. Bei diesem strukturierten Vorgehen wird ermittelt, welche Gefährdungen auf die kritischen IT-Komponenten einwirken können und welche Auswirkung dies haben kann. Umso höher die Eintrittswahrscheinlichkeit ist, dass ein Schaden entsteht und umso größer der zu erwartende Schaden ist, desto höher bzw. größer ist das Risiko. Große Risiken sollten in jedem Fall behandelt werden, z.B. durch weitere Sicherheitsmaßnahmen abgeschwächt oder durch Versicherungen kompensiert werden.

Kreislauf

Informationssicherheitsmanagement ist ein sich ständig wiederholender Prozess. Die hier beschriebenen Schritte werden daher nicht nur einmalig durchgeführt sondern regelmäßig auf Wirksamkeit geprüft. Nur so kann man zeitnah auf sich verändernde Gegebenheiten, ob geschäftliche, technisch oder gesetzlich, reagieren. Das Ziel ist, Informationssicherheit ständig zu verbessern und so die Risiken für das Unternehmen nachhaltig auf ein akzeptables Maß zu reduzieren.

Resümee

IT ist ein entscheidender Faktor für den Erfolg oder das Überleben fast jeden Unternehmens. IT- bzw. Informationssicherheit sollte daher strukturiert mit der Unterstützung des Topmanagements umgesetzt werden. Die VdS-Richtlinien 3473 stellen ein umfassendes Rahmenwerk für Informationssicherheit in kleinen und mittleren Unternehmen dar und können kostenfrei auf der Homepage der VdS Schadenverhütung heruntergeladen werden. Die darin beschriebenen Anforderungen an ein ISMS sind absolute Minimalanforderungen und daher für kleine und mittlere Unternehmen mit überschaubarem Aufwand umsetzbar. Zudem stehen diese Richtlinien nicht im Widerspruch zu ISO 27001 oder IT-Grundschutz, so dass bei Bedarf, z.B. wegen gesetzlichen oder regulatorischen Vorgaben, jederzeit „aufgerüstet“ werden kann.