Cybinar Sicher mit System

Sicher mit System: Brauche ich ein Management f├╝r Informationssicherheit?

Viele Firmen, insbesondere kleine und mittelst├Ąndische Unternehmen (KMU), stellen sich in Zeiten zunehmender IT-Angriffe vermehrt die Frage, inwieweit sie sich effektiv und wirtschaftlich gegen Risiken sch├╝tzen k├Ânnen.

Hierbei stellen sie sich meist Fragen wie:

  • Wie stellt sich mein Unternehmen sicher auf?
  • Brauche ich ein Managementsystem f├╝r Informationssicherheit (ISMS)?
  • Welches Sicherheitsniveau sollte ich anstreben?
  • Wie kann ich starten?

Jedoch zeigt sich in der Praxis immer wieder, dass Unternehmen erst sp├Ąt handeln - wie nachfolgendes Fallbeispiel illustriert:

Das mittelst├Ąndische Unternehmen Trade Universe, Betreiber einer E-Commerce Handelsplattform f├╝r Unternehmenskunden, wird kurz vor Ende des Gesch├Ąftsjahrs Opfer eines Ransomware-Angriffs, bei welchem wichtige Kundendaten abgegriffen und verschl├╝sselt werden. Bei der Meldung des Sicherheitsvorfalls an den Kunden wird der bei Trade Universe eingesetzte Informationssicherheitsbeauftragte (ISB) von seinem Kunden aus der Automobilbranche daraufhin aufgefordert, den Vorfall genau zu analysieren, den konkreten Schaden zu ermitteln und die bereits eingeforderte Zertifizierung nach Trusted Information Security Assessment Exchange (TISAX) umgehend anzusto├čen. Da ein Abfluss von Daten nicht ausgeschlossen werden konnte, erfolgt au├čerdem eine Meldung gem├Ą├č Datenschutzgrundverordnung (DSGVO) an den zust├Ąndigen Landesdatenschutzbeauftragten. Dieser fordert die Trade Universe dazu auf, ihre dokumentierten technischen und organisatorischen Ma├čnahmen (TOMs) vorzulegen. Um sich gegen solche Risiken zuk├╝nftig besser abzusichern, beschlie├čt die Gesch├Ąftsf├╝hrung von Trade Universe nun eine Cyber-Versicherung abzuschlie├čen. Bei Gespr├Ąchen mit den Versicherungsvertretern zeigt sich, dass das Unternehmen f├╝r den Abschluss einer solchen Police ein Informationssicherheits-Managementsystem (ISMS) nach VdS 10000 einzuf├╝hren hat. Das Management der Trade Universe stellt sich nun die Frage wie sie all diesen Anforderungen gerecht werden und einen ├Ąhnlichen Vorfall in Zukunft vermeiden k├Ânnen.
Folgen eines Ransomware-Vorfalls
Abbildung 1 Ransomware-Vorfall beim Beispielunternehmen Trade Universe

Wie stellt sich ein Unternehmen sicher auf?

Im Grundsatz geht es initial darum mittels Bedrohungsanalyse/Threat Modeling folgende Punkte zu erfassen:

  • Welche Schutzobjekte/Assets gibt es?
  • Wogegen sind diese Schutzobjekte zu sch├╝tzen  – welcher Schutzbedarf ergibt sich hieraus?
  • Welche Sicherheitsma├čnahmen ergeben sich aus dem ermittelten Schutzbedarf f├╝r die erfassten Schutzobjekte?

Erfassung der Schutzobjekte/Assets

Ziel ist es im ersten Schritt s├Ąmtliche schutzbed├╝rftigen Informationen, die innerhalb der betriebenen Gesch├Ąftsprozesse verarbeitet werden, zu erfassen und deren Schutzbedarf ├╝ber die Schutzziele (Vertraulichkeit, Integrit├Ąt und Verf├╝gbarkeit) zu ermitteln.

Au├čerdem gilt es in diesem Zuge dazugeh├Ârige IT-Anwendungen, die IT-Systeme auf denen sie betrieben werden, deren Standorte sowie die Netzwerke ├╝ber die Informationen ├╝bertragen werden, zentral zu erfassen. So sollte ein vollumf├Ąnglicher ├ťberblick ├╝ber den zu sch├╝tzenden Informationsverbund geschaffen werden.

Ermittlung der Bedrohungen und Risiken

Nach der Ermittlung s├Ąmtlicher Schutzobjekte geht es im n├Ąchsten Schritt darum f├╝r jedes dieser Objekt konkret existierende Bedrohungen zu ermitteln, resultierende Risiken zu erfassen und diese abschlie├čend jeweils zu bewerten. Grundlage f├╝r diese Risikobewertung ist die Einordnung eines jeden Risikos nach potentiell entstehendem Schaden verkn├╝pft mit einer Eintrittswahrscheinlichkeit. Hieraus ergibt sich eine Risikoeinstufung, die es erm├Âglicht schlussendlich die jeweilige Risikostrategie – Mitigation, Akzeptanz, Transfer oder Vermeidung – f├╝r jedes einzelne Risiko festzulegen.

Festlegung von Sicherheitsma├čnahmen mittels eines Ma├čnahmenplans

Gibt es einen Gesamt├╝berblick ├╝ber die ermittelten Risiken und auf Seiten des Managements einen Beschluss ├╝ber den Umgang mit einzelnen Risiken auf Basis einer Risikostrategie, so l├Ąsst sich im Fortgang ein Ma├čnahmenplan aufstellen, beschlie├čen und sukzessive umsetzen. Dieser Ma├čnahmenplan umfasst s├Ąmtliche technische sowie organisatorische Ma├čnahmen, um das ermittelte Gesamtrisiko risiko- und ressourcenorientiert zu minimieren.

F├╝r die Trade Universe bedeutet das, dass der ISB nach dem Sicherheitsvorfall im Rahmen einer Bedrohungsanalyse noch einmal s├Ąmtliche Schutzobjekte ├╝berpr├╝ft, um gegebenenfalls Anpassungen vorzunehmen. Hierbei l├Ąsst sich der ISB bei der Analyse durch einen externen Sicherheitsdienstleister unterst├╝tzen, um zus├Ątzlich eine unabh├Ąngige und neutrale Einsch├Ątzung der Bedrohungen und Risiken zu erhalten.

Wer braucht ein Managementsystem?

M├Âchte man Sicherheitsvorf├Ąlle wie die im Fallbeispiel exemplarisch dargestellte dauerhaft vermeiden, so muss die vorgestellte Risikoanalyse und Ma├čnahmenplanung nicht nur einmalig sondern immer wieder durchgef├╝hrt werden. Dies geschieht idealerweise eingebettet in einer zielgerichteten unternehmensweiten Strategie. Hierbei gilt angefangen von der Gesch├Ąftsf├╝hrung, ├╝ber das mittlere Management bis hin zu den informationsverarbeitenden Besch├Ąftigten Informationssicherheit in der ganzen Organisation zu etablieren.

Das Instrument f├╝r die effiziente, langfristige Etablierung solch einer Sicherheitskultur ist die Einf├╝hrung eines ISMS. Der ├╝bergreifende Charakter, den ein Managementsystem bietet, erm├Âglicht es klar und deutlich die Verantwortung jedes Einzelnen in einem geb├╝ndelten Sicherheitsprozess zu definieren und jeder Person ihre Verantwortung bewusst zu machen, um so die angestrebten Sicherheitsziele erreichen zu k├Ânnen.

Grundlage f├╝r die Entscheidung f├╝r oder gegen ein ISMS sind vier Themenfelder:

  • Welche Regularien sind einzuhalten?
  • Welche Ziele verfolgt das Unternehmen?
  • Wie ist die Bedrohungslage?
  • Welche Anforderung und Vorgaben stellen Kunden und Partner?

Geltende Gesetze und Regularien

Bei den einzuhaltenden Regularien und Gesetzen, die Auswirkung auf die Informationssicherheit haben, sind f├╝r fast alle deutsche Unternehmen zun├Ąchst unter anderem die Einhaltung der Datenschutzgrundverordnung (DSGVO), das Betriebsverfassungsgesetz (BVerG), das Gesetz zum Schutz von Gesch├Ąftsgeheimnissen (GeschGehG), sowie das Grundgesetz Artikel 2 und 10, die ÔÇ×Grunds├Ątze zur ordnungsm├Ą├čigen Buchf├╝hrung" mit dem GoBD und GDPdU, das Handelsgesetzbuch mit ┬ž 37a in Verbindung mit ┬ž 257 HGB beziehungsweise ┬ž┬ž 145-147 AO, ┬ž┬ž 238-239, 257-261 und das Sozialgesetzbuch I ┬ž 35, X ┬ž┬ž 67-78 mit anzuf├╝hren. Diese Liste ist jedoch nur ein Auszug der wichtigsten gesetzlichen Auflagen und ist keineswegs vollst├Ąndig. Eine Auflistung der bindenden Gesetzesauflagen f├╝r ein Unternehmen zeigt je nach unternehmerischem Umfeld, ob spezifische regulatorische Anforderungen seitens der Informationssicherheit bestehen. Beispielgebend hierf├╝r ist die zus├Ątzliche Befolgung des BSI-Gesetzes gem├Ą├č BSI-Kritisverordnung f├╝r bestimmte Branchen und Unternehmen.

Unternehmensziele

Unternehmensziele, die sich mittelfristig oder langfristig auf die Informationssicherheit auswirken k├Ânnen sind beispielsweise eine geplante Verlagerung von Gesch├Ąftsprozessen in die Cloud, ein geplantes anorganisches Wachstum oder die Verlagerung von Gesch├Ąftseinheiten ins Ausland.

Spezifische Bedrohungslage

Besondere Bedrohungslagen f├╝r ein Unternehmen ergeben sich insbesondere aus dem Gesch├Ąftsmodell wie eine starke Vernetzung, T├Ątigkeiten im E-Commerce oder Abh├Ąngigkeiten zu einem oder mehreren dedizierten Lieferanten.

Anforderungen von Kunden und Gesch├Ąftspartnern

Kundenseitig sowie in Beziehungen mit Gesch├Ąftspartnern entstehen meist zus├Ątzliche Anforderungen und Vorgaben, die Auswirkungen auf die Informationssicherheit haben. Dies k├Ânnten zum Beispiel branchenbedingte Vorgaben sein, wie beispielsweise eine geforderte TISAX-Zertifizierung oder die Einhaltung zus├Ątzlicher Anforderungen aus der von der BaFin herausgegebenen BAIT und VAIT oder die PCI-DSS-Vorgaben beim Umgang mit Kreditkarten.

Zusammenfassend lassen sich aus diesen Themenfeldern folgende Schl├╝sse ableiten: Je umfangreicher die Auflagen und Unternehmensziele sind und umso gr├Â├čer die Bedrohungslage und Abh├Ąngigkeiten von einem Lieferanten oder Kunden, desto einfacher und klarer sollte die Managemententscheidung f├╝r die Etablierung eines ISMS sein.

Unabh├Ąngig davon wie hoch das derzeit herrschende beziehungsweise angestrebte Sicherheitsniveau eines Unternehmens ist, sollte es f├╝r jedes mittelst├Ąndische Unternehmen ab einer Gr├Â├če von etwa 50 Besch├Ąftigten zumindest mittelfristig das Ziel sein ein einfaches ISMS fr├╝hzeitig und in kleinen Schritten einzuf├╝hren. Hierbei bedarf es aus fachlicher Sicht nicht immer einer formalen Zertifizierung einer unabh├Ąngigen Zertifizierungsstelle. Vielmehr geht es darum Informationssicherheit fr├╝hzeitig, strukturiert und systematisch innerhalb eines Unternehmens einzubeziehen. Auf diese Weise k├Ânnen Sch├Ąden durch Sicherheitsvorf├Ąlle und gr├Â├čere, sp├Ątere Kraftanstrengungen wie ├╝berhastete, teure Zertifizierungsvorhaben vermieden werden.

Mit Bezug auf das Fallbeispiel Trade Universe bedeuten die ├ťberlegungen, dass nach dem beschriebenen kritischen Sicherheitsvorfall mit Offenlegung sensibler Kundendaten, die Einf├╝hrung eines zertifizierten ISMS dringend geboten ist. Nur mit kontinuierlicher, regelm├Ą├čiger Kontrolle und Steuerung von Sicherheitszielen auf Gesch├Ąftsf├╝hrungsebene lassen sich Ursachen f├╝r solche Sicherheitsvorf├Ąlle sinnhaft ermitteln und langfristig mittels geeigneter und durchdachter Sicherheitsma├čnahmen abstellen. Des Weiteren kann eine Cyber-Versicherung-Police mittels Einf├╝hrung eines zertifizierten ISMS leichter abgeschlossen werden. Zudem wird der aktuell vorhandenen starken Kundenabh├Ąngigkeit und Bindung an die Automobilbranche Rechnung getragen. Weiterhin bietet diese Entscheidung gegebenenfalls sogar die M├Âglichkeit neue Kunden und Gesch├Ąftschancen aus diesem Umfeld wahrzunehmen.

Welches Sicherheitsniveau sollte angestrebt werden?

Hat man sich f├╝r die Einf├╝hrung eines ISMS entschieden, so stellt sich zun├Ąchst die Frage, nach welchem Framework man vorgeht. Grunds├Ątzlich gibt es f├╝r ein Unternehmen verschiedene Frameworks und Ans├Ątze, um Informationssicherheit zu etablieren. Eine genauere Betrachtung des Kerngesch├Ąfts eines jeden Unternehmens sowie der zuvor aufgef├╝hrten vier Themenfelder – Gesetze und Regularien, Unternehmensziele, spezifische Bedrohungslage und Anforderungen von Kunden und Partnerumfeld – zeigt schnell, wie hoch die Anforderungen an die Informationssicherheit sind.

Betreut oder beliefert ein Unternehmen beispielsweise Kunden aus der Automobilbranche, so wird entweder eine Zertifizierung nach ISO 27001 oder immer h├Ąufiger die branchenspezifische TISAX-Zertifizierung in den abgeschlossenen Vertr├Ągen eingefordert.

Ist ein Unternehmen im Finanzbereich t├Ątig, so unterliegt es innerhalb Deutschlands meist unter anderem dem Regelwerk des Payment Card Industry Data Security Standard (PCI DSS), oder den bankenaufsichtlichen Anforderungen an die IT (BAIT) beziehungsweise den versicherungsaufsichtlichen Anforderungen an die IT (VAIT) der Bundesanstalt f├╝r Finanzdienstleistungsaufsicht (BaFin). Diese Anforderungen sind angelehnt an nationale oder internationale Standards, wie den IT-Grundschutz des Bundesamts f├╝r Sicherheit in der Informationstechnik (BSI), sowie an die Standardfamilie ISO/IEC 270XX.

├ťberblick zu ISMS-Frameworks
Abbildung 2 ├ťberblick zu ISMS-Frameworks

Gibt es aus dem Kerngesch├Ąft heraus bislang noch keine verbindlichen Anforderungen an die Informationssicherheit, so bietet sich ├╝ber das Rahmenwerk VdS 10000 ein fachlich fundierter Einstieg in die Informationssicherheit an. Bei diesen f├╝r KMU durch die VdS Schadenverh├╝tung GmbH herausgegebenen Richtlinien, handelt es sich um eine solides Ger├╝st an Ma├čnahmen, die helfen das Zusammenwirken von Menschen, IT-Ger├Ąten und Kommunikationsmedien ├╝ber nahezu den gesamten Zyklus aller Aktivit├Ąten in einem Unternehmen organisatorisch, prozessual, physisch und technisch zu betrachten. Hierbei ist es wichtig die organisatorische Planung vor der oft eher unkoordinierten technischen Umsetzung durchzuf├╝hren. Auf Basis dieser Sicherheitsma├čnahmen kann sp├Ąter flexibel im Falle sich ver├Ąndernder Marktbedingungen und Festlegung neuer Gesch├Ąftsziele beispielsweise eine Zertifizierung nach ISO/IEC 27001 oder nach Branchenstandards wie TISAX bei geringerem Mehraufwand angesto├čen werden.
Einen ├ťberblick ├╝ber die skizzierten, unterschiedlichen Herangehensweisen zeigt nachfolgende Abbildung:

Vergleich der unterschiedlicher ISMS-Standards
Abbildung 3 Vergleich der unterschiedlichen Herangehensweisen an ein ISMS

F├╝r das Unternehmen Trade Universe aus dem Fallbeispiel ist aus den aufgef├╝hrten Gr├╝nden eine ISO/IEC 27001-Zertifizierung empfehlenswert. Der entstehende Aufwand, sich nach ISO/IEC 27001 zu zertifizieren, rechtfertigt es, sich hierbei bereits auch an den Vorgaben der TISAX zu orientieren. Somit hat das Management weiterhin die Option sich sp├Ąter zus├Ątzlich nach dem Branchenstandard zu zertifizieren und kann des Weiteren eingesetzte Ressourcen effizienter nutzen sowie Zukunftschancen f├╝r andere M├Ąrkte und Branchen wahren.

Wie kann man starten?

In F├Ąllen, in denen es zu Beginn noch kein spezifisches Budget f├╝r Informationssicherheit im Unternehmen gibt, empfiehlt es sich, sich schrittweise der Thematik zu n├Ąhern. Idealerweise wird hierzu als Erstes – sofern noch nicht vorhanden – eine Person mit fachlichem Hintergrund und F├╝hrungserfahrung von der Gesch├Ąftsf├╝hrung als ISB berufen. Dieser erh├Ąlt von der Gesch├Ąftsf├╝hrung den Auftrag Ziele und Bedarf an Informationssicherheit f├╝r das Unternehmen und seine Gesch├Ąftsbereiche zu analysieren, um strategische Ziele sowie konkrete Ma├čnahmen abzuleiten und zu budgettieren.

Gibt es f├╝r eine solche Aufgabe keinen geeigneten Mitarbeiter im Unternehmen, so kann auch ein externer Berater als externer ISB hinzugezogen werden. Ziel ist es initial risikobasiert, mit Fokus auf kritische Schutzobjekte, wie zuvor bereits erl├Ąutert, folgende offenen Fragen zu kl├Ąren:

  • Welche gesetzlichen Anforderungen und Gesch├Ąftsziele sind bindend?
  • Welche vertraglichen Anforderungen an die Informationssicherheit stellen Kunden, Lieferanten sowie Gesch├Ąftspartner an das jeweilige Unternehmen?
  • Welche kritischen IT-Ressourcen gibt es im Unternehmen?
  • Gibt es bereits ein unternehmensweites Risikomanagement, das Informationssicherheit adressiert?
  • Welche Richtlinien und Nutzungsregelungen existieren bereits?
  • Wie hoch ist die Sensibilisierung insbesondere innerhalb der wettbewerbsentscheidenden Gesch├Ąftsbereiche?
Schritte zur Einf├╝hrung eines ISMS
Abbildung 4 Schritte zur Einf├╝hrung eines ISMS

Wurden diese und weitere Fragen sorgf├Ąltig beantwortet, so sollte es im Fortgang des initiierten Sicherheitsprozesses als n├Ąchstes darum gehen, auf Managementebene festzulegen welche Gesch├Ąftsziele zum Schutz von Informationen und Know-how f├╝r das Unternehmen zuk├╝nftig verfolgt werden sollen. Werden beispielsweise bereits Projektvorhaben wie Digitalisierung von Gesch├Ąftsprozessen oder Effizienzsteigerungen bei der IT diskutiert, so bieten sich hierbei gute Einstiegspunkte f├╝r die Diskussion einer IT-Strategie, die Informationssicherheit ber├╝cksichtigt.

Sind im weiteren Verlauf klare Sicherheitsziele seitens des Managements festgelegt worden, so l├Ąsst sich, wie zu Beginn dieses Artikels beschrieben, f├╝r die Organisation eine sinnige Sicherheitsstrategie durch den ISB erarbeiten. Interne Ma├čnahmen und konkrete Anforderungen k├Ânnen abgeleitet und ein schlankes Regelwerk aufgesetzt werden. Auf dieser Ebene lassen sich ad├Ąquate und effiziente Prozesse definieren und beschreiben sowie Verantwortlichkeiten bestimmen. Hierunter fallen auch Themen wie die Business Impact Analyse (BIA) beziehungsweise daran ankn├╝pfend das Business Continuity Management (BCM).

Sind diese organisatorischen Arbeiten alle vollzogen beziehungsweise weit fortgeschritten, so ist es zu diesem Zeitpunkt sinnvoll sich auf die IT-Sicherheit und technische Themen zu fokussieren. Hierbei sollte zun├Ąchst die IT-Infrastruktur im Hinblick auf den Schutzbedarf analysiert und gegebenenfalls angepasst werden. Bei der Planung neuer IT-Landschaften beziehungsweise Erweiterung, insbesondere durch den Einsatz von Cloudl├Âsungen, sollte der ISB beziehungsweise durch diesen eingesetzte Experten wie ein IT-Sicherheitsarchitekt fr├╝hzeitig einbezogen werden. Auch die Initiierung und Planung physischer Schutzma├čnahmen wie Zutrittskontrollsysteme, Video├╝berwachung oder Einbruchs- sowie Sabotageschutz sind nun je nach Schutzbedarfsfeststellung anzugehen. Nicht zuletzt sollte die Sensibilisierung der Besch├Ąftigten durch eine Awareness-Kampagne adressiert und verbessert werden.

Bei der Trade Universe hat der bereits benannte ISB wie eingangs skizziert zun├Ąchst damit begonnen eine Bedrohungsanalyse durchzuf├╝hren. Hierbei konnten bereits offene Fragen der Cyber-Versicherung mit ber├╝cksichtigt werden. Mit den Ergebnissen und Erkenntnissen aus dieser Analyse erarbeitete der ISB zusammen mit externen Sicherheitsberatern die konkreten Sicherheitsziele und den Ma├čnahmenplan. Nach gut einem Jahr konnte er die erfolgreiche Zertifizierung nach ISO/IEC 27001 feiern.