Informationssicherheits-Managementsystem (ISMS) ISO 27001 im Überblick

Das Wichtigste in Kürze 

• Mit einem ISMS werden die Informationssicherheitsrisiken in einem Unternehmen kontrollierbar.
• Die ISO 27001 umfasst Richtlinien zur Implementierung eines ISMS, das Unternehmensinformationen schützt.
• In Industrien mit komplexen, reglementierten Lieferketten wie der Automobil- und Gesundheitsbranche ist ein ISMS normalerweise Grundvoraussetzung für die Marktbeteiligung.
• Informationssicherheit geht weit über IT-Sicherheit hinaus.
• Die Verantwortung für Aufbau und Umsetzung eines ISMS liegt immer beim Management (Top-Down-Ansatz).
• Wie die Implementierung genau aussieht und welchen Umfang das ISMS hat, hängt von der Risikobereitschaft der jeweiligen Organisation ab.
• Ein ISMS ermöglicht nicht nur einen geregelteren Umgang mit Informationssicherheitsrisiken, es unterstützt auch das Unternehmenswachstum.
• Engagement und Kompetenz sind zwei der wichtigsten Faktoren für die erfolgreiche Einrichtung eines ISMS.

Was ist ein Informationssicherheits-Managementsystem (ISMS)?

Für viele Unternehmen sind Wissen und Informationen die wertvollsten Assets – und leider oft angreifbar. Das liegt daran, dass wichtige Informationen heute selbst bei einem einfachen digitalen Datenaustausch Sicherheitsrisiken ausgesetzt sind. Gemäß der ISO 27001 ist ein Informationssicherheits-Managementsystem (ISMS) die bevorzugte Methode, um Risiken im Rahmen zu halten und Datenschutz zu gewährleisten. Es ermöglicht Ihnen, Gefahren und Chancen bezüglich wichtiger Informationen und damit verbundener Assets zu identifizieren – und entsprechende Maßnahmen zu ergreifen. 

So schützen Sie Ihr Unternehmen vor Sicherheitsverletzungen und minimieren die Auswirkungen jeglicher Störungen. Mithilfe eines Informationssicherheits-Managementsystems können Sie die Einhaltung mehrerer wichtiger Bestimmungen gewährleisten, darunter die DSGVO (Datenschutz-Grundverordnung) und die ISO 27001. Ein ISMS umfasst drei zentrale Bereiche:

1. Vertraulichkeit – Niemand außer den designierten Empfängern kann auf die Daten zugreifen oder sie in einer Art und Weise verwenden, die nicht ausdrücklich genehmigt wurde.

2. Integrität – Die Daten sind fehlerfrei, wurden nicht manipuliert und werden an einem sicheren Ort gespeichert.

3. Verfügbarkeit – Autorisierte Personen haben es leichter, auf die Informationen zuzugreifen und sie zu verwenden.

Was ist die ISO 27001 und wie hängt sie mit ISMS zusammen?

Die ISO 27001 ist eine internationale Norm im Bereich Informationssicherheit. Sie ist der Grund, dass ISMS überhaupt existiert, denn ihr zentrales Element ist die Entwicklung und Aufrechterhaltung eines ISMS.

In der Norm werden eine Reihe von Kontrollen zum Thema Informationssicherheit festgelegt, die Organisationen umsetzen sollten. Grundlage dafür sind eine Risikobewertung sowie die Anforderungen der beteiligten Parteien. Anders ausgedrückt: Für jedes Risiko, das angegangen werden muss, wird eine Kombination unterschiedlicher Kontrollmechanismen umgesetzt.

Warum wächst das Interesse an Informationssicherheits-Managementsystemen?

Von Organisationen wird heute erwartet, dass sie hohe Standards in Bezug auf Informationssicherheit einhalten. Daraus hat sich ein größeres Interesse an das ISMS entwickelt. Unternehmen mit komplexen Liefernetzwerken stehen unter dem größten Druck, darunter KMUs in der Autobranche. Dasselbe gilt für stark reglementierte Unternehmen wie Banken, die Finanztechnologie nutzen, und Versicherungen, die Versicherungstechnologie nutzen. Und im Gesundheitswesen gelten strenge Bestimmungen, was Informationssicherheit betrifft. Der regulative Charakter dieser Branchen erstreckt sich auch auf Unternehmens-Compliance.

Abgesehen von branchenspezifischen Beweggründen und Bedürfnissen geht der Trend aber auch allgemein zu mehr Informationssicherheit. Hier einige Gründe, warum Organisationen in Bezug auf Informationssicherheit auf dem Prüfstand stehen:

• Cyberkriminalität ist teuer– Cybersicherheit gewinnt an Bedeutung, weil die meisten Firmen sich keine Datenpannen leisten können. IBMs Bericht über die Kosten einer Datenschutzverletzung¹ zufolge liegen die geschätzten Kosten einer Datenpanne 2022 bei 4,24 Millionen $ – ein Betrag, der viele Unternehmen in den Ruin treiben würde. Und laut einer aktuellen Studie werden die von Cyberkriminalität verursachten Kosten bis 2025 von 6 Billionen auf 10,5 Billionen $ steigen². Das bedeutet, die Zukunft einer Organisation ist gefährdet, wenn sie nicht ausreichend in Informationssicherheit investiert.

• Alles ist automatisiert– Große Teile der Infrastruktur eines Unternehmens basieren heute auf Technologie, und Geschäftsabläufe werden zunehmend automatisiert. Und jedem automatisierten System liegt ein Code zugrunde, der von Hackern geknackt werden kann. Das heißt, je mehr Aufgaben digital durchgeführt werden, desto größer ist die Gefahr, dass Cyberkriminelle sich Zugang zu vertraulichen Informationen verschaffen.

• Sicherheitslücken sind überall– Neben Computern, Websites und Servern gibt es diverse andere Technologien, die anfällig für Hackerangriffe sind, von Alarmanlagen für Autos über IT-Systeme von Fluggesellschaften bis hin zu Stromnetzen und Überwachungssystemen.

Wer braucht ein ISMS und warum?

Generell ist ein ISMS für jedes Unternehmen sinnvoll – unabhängig von Branche und Größe. Der Hauptfokus liegt auf softwarelastigen, digitalisierten und SaaS-basierten Unternehmen. In der Gesundheitsbranche gelten strenge Mindeststandards, die in Bezug auf Informationssicherheit eingehalten werden müssen, um die Vertraulichkeit von Patientendaten zu gewährleisten.

In der Automobilbranche geht es eher ums Produkt selbst. Ein Auto ist so komplex und an seiner Herstellung sind so viele Menschen beteiligt, dass eine feste Abfolge von Genehmigungen durchlaufen werden muss, bevor es auf die Straße kann. Ausnahmslos jeder, der an der Lieferkette beteiligt ist, muss die Informationssicherheitsstandards der Branche erfüllen. 

Übrigens: Auch aufgrund der besonderen Komplexität innerhalb der Automobilindustrie, gibt es dort einen gesonderten Standard für Informationssicherheit. Anders als bei anderen Branchen, sind Informationssicherheitsrichtlinien hier nämlich in der sogenannten TISAX® Norm festgehalten. TISAX® ist im Gegensatz zur ISO 27001 für viele OEMs eine Mindestanforderung an Zulieferer und andere Beteiligte der Lieferkette. 

Sie streben den Aufbau eines ISMS oder eine ISO 27001-Zertifizierung oder eine Zertifizierung nach TISAX® an? Alles Wichtige finden Sie in unserem kostenlosen Leitfaden! Jetzt ganz einfach herunterladen!  

Wie funktioniert ein ISMS?

Informationssicherheits-Managementsysteme sind prozessorientiert, und für ihre Implementierung ist das Management einer Firma verantwortlich. Es wird also ein Top-Down-Ansatz verfolgt. Die Implementierung – nicht aber die Verantwortung – kann delegiert werden. Basierend auf dem Grund für die Implementierung (siehe Abb. 1, links) wählt das Management die Verfahren und Methoden aus, die angewendet oder entwickelt werden müssen, um Informationssicherheit bei Unternehmensaktivitäten zu gewährleisten. Umfang, Intensität und Fortschritt der Maßnahmen müssen regelmäßig vom Management überprüft werden.

Ziel eines ISMS ist nicht maximale Informationssicherheit. Es geht vielmehr darum, die Sicherheitsebene zu erreichen, die der Risikobereitschaft der Organisation entspricht. Ein Unternehmen muss seine Informationen, die damit verbundenen Risiken und die finanziellen Auswirkungen bei Eintritt eines Risikos kennen. Auf Grundlage dieses Wissens entscheidet das Management, wie weit die Risiken mithilfe eines ISMS reduziert werden sollen.

(Abb. 1)

Was ist für den Aufbau eines ISMS erforderlich?

Bevor Sie die Einrichtung Ihres ISMS in Angriff nehmen, gibt es ein paar Dinge zu beachten und Voraussetzungen zu erfüllen. Hier einige Beispiele:

• Ressourcen für die ISMS-Implementierung – Die Einrichtung eines ISMS nach ISO 27001 bzw. mit ISO 27001-Zertifizierung ist kein leichtes Unterfangen. Für die ordnungsgemäße Implementierung eines ISMS-Tools ist ein Manager oder Team mit der erforderlichen Zeit sowie Ressourcen und Fachwissen vonnöten. Und nach Abschluss der Einrichtung muss geprüft werden, ob das ISMS die gewünschte Wirkung erzielt.

• Managementsysteme und -tools für eine strukturierte Implementierung– Bei einer umfassenden ISMS-Implementierung kommen zahlreiche Ressourcen zum Einsatz. Neben Daten können die Unternehmenssoftware und -hardware, die physische Infrastruktur und sogar Mitarbeiter und Lieferanten eine Rolle spielen. Um den Überblick zu behalten, sind mehrere Maßnahmen erforderlich. Eine systematische Herangehensweise an Risikomanagement unterstützt den Erfolg Ihres Unternehmens.

• Klare, einfach umsetzbare Richtlinien und Einschränkungen– Im Falle einer Datenpanne erfahren Mitarbeiter, Lieferanten und andere wichtige Stakeholder über Ihr Informationssicherheits-Managementsystem, wie sie ihre Daten schützen können. Deswegen müssen die Informationssicherheitspraktiken und -prozesse in Form klarer, leicht verständlicher und einfach zu implementierender Richtlinien und Kontrollen ausgedrückt werden. Sie sorgen so dafür, dass sich die Vorteile Ihres ISMS herumsprechen und seine Integrität gewährleistet wird.

• Kommunikation und Mitarbeitermotivation– Ihr Informationssicherheits-Managementsystem sollte das Herzstück Ihrer Organisation sein. So sieht es die ISO 27001 vor. Mitarbeiter, die sich für Informationssicherheit interessieren, sollten über die Implementierung Ihres ISMS, seine Bedeutung und ihre Verantwortung in Bezug auf die Wartung des Systems informiert werden. Wenn ein ISMS nicht gepflegt wird, kann es seine Aufgabe nicht erfüllen. Die richtigen Tools und Prozesse sind daher entscheidend. Sie können sogar Schulungen zum Thema Informationssicherheit anbieten.

• Tools und Systeme für Supply-Chain-Management– Ihr Informationssicherheits-Managementsystem geht über Ihr Unternehmen hinaus. Lieferanten und andere Dritte haben möglicherweise Zugriff auf wichtige Unternehmensdaten oder sind für diese verantwortlich. ISO 27001-Compliance erfordert ISMS-Compliance. Indem Sie sich vor potenziellen Informationssicherheitsrisiken schützen, gewährleisten Sie die Integrität Ihrer Organisation.

• Zusammenarbeit mit externen Auditoren und Zertifizierung – Eine umfassende ISO 27001-Zertifizierung wird von einer unabhängigen Zertifizierungsstelle vergeben. Der Zertifizierungsprozess besteht aus zwei Teilen. Anschließend wird Ihre ISO 27001-Zertifizierung alle drei Jahre geprüft und aktualisiert. Um die Anforderungen zu erfüllen, sind regelmäßige interne Audits Ihres ISMS erforderlich.

• Betrieb und kontinuierliche Verbesserung des ISMS– Ein gutes Informationssicherheits-Managementsystem ist immer aktiv und schützt die vertraulichen Informationen eines Unternehmens. Mit dem Wachstum einer Organisation entwickelt sich auch die Informationssicherheitsstruktur weiter. Sie wächst und passt sich an neue Bedrohungen an. Und selbst wenn das System einen Fehler macht, kann es die dabei erfassten Informationen nutzen, um die Strategie zu verbessern – Risikobewertung und -behandlung sind nie abgeschlossen.

Wie können Sie sich bestens auf Ihr Informationssicherheitsaudit vorbereiten? Erfahren Sie in unserem kostenlosen Webinar die besten Tipps für eine erfolgreiche Vorbereitung!

Nachdem Sie nun die für die Einrichtung Ihres ISMS-Tools erforderlichen Ressourcen kennen, fahren wir mit den Implementierungsschritten fort.

Was sind die Schritte zum Aufbau eines ISMS?

Einrichtung und Betrieb eines ISMS folgen einem klassischen PDCA-Zyklus. PDCA steht für PLAN, DO, CHECK, ACT – Planen, Testen, Prüfen, Handeln (siehe auch Abb. 2).

Und das sind die Schritte im Detail:

1. ISMS-Richtlinie verfassen. Warum soll ein ISMS im Unternehmen implementiert werden? Was sind die Ziele? Wie läuft die Implementierung eines solchen Systems organisatorisch ab? Wer übernimmt die Rolle des Informationssicherheitsbeauftragten (ISB)? Welche Ressourcen stehen ihm/ihr zur Verfügung? Welche Maßnahmen müssen umgesetzt werden?

2. Assets identifizieren und klassifizieren. Welche Assets/Informationen sollen geschützt werden? Wie sensibel sind diese Assets? Hier ein Beispiel aus der Automobilbranche: Bilder eines Prototyp-Fahrzeugs, das noch nicht gebaut wurde, sind wesentlich schützenswerter als Bilder vom Straßentest eines Fahrzeugmodells, das kurz vor der Markteinführung steht.

3. Strukturen für ISMS-Implementierung und Risikomanagement festlegen. Welche Tools sollen verwendet werden? Welche finanziellen Ressourcen und Mitarbeiter stehen dem ISB zur Verfügung? Welche Strukturen sollten auf dieser Basis etabliert werden?

4. Kontrollmechanismen entwickeln. Wie können wir prüfen, ob das ISMS die Unternehmensassets effektiv schützt?

5. Das ISMS in den Arbeitsalltag integrieren. Welche Prozesse setzen wir im Arbeitsalltag um? Wie integrieren und dokumentieren wir sie?

6. Ergebnisse prüfen und KPIs ermitteln. Sie sollten sich regelmäßig fragen, welche Ergebnisse das ISMS erzielt und welche Leistungskennzahlen (key performance indicators, KPIs) daraus abgeleitet werden können.

7. Korrekturen vornehmen und präventive Maßnahmen ergreifen. In welchen Bereichen müssen wir uns laut den Ergebnissen verbessern? Wie können wir Risiken vorbeugen?

8. Management-Review. Sind Ziele und allgemeine Ausrichtung des ISMS noch angemessen, oder ist ein Kurswechsel vonseiten des Managements nötig? Dies sollte mindestens einmal pro Jahr geprüft werden. 

(Abb. 2)

Welche Faktoren sind entscheidend für eine erfolgreiche ISMS-Implementierung?

Für den erfolgreichen Aufbau eines ISMS muss das Management voll und ganz hinter dem Projekt stehen und über die erforderlichen Ressourcen verfügen. Folgende drei Voraussetzungen sollten erfüllt werden:

• Verpflichtung des Managements– Die Person, die das ISMS einrichtet, benötigt eine klare Anleitung des Managements. Unter anderem muss sichergestellt werden, dass die richtigen Ressourcen zur Verfügung stehen. Außerdem ist es wichtig, alle vom ISMS-Aufbau betroffenen Mitarbeiter zu schulen, Sensibilisierungsprogramme zu veranstalten und die ISMS-Kompetenz zu überwachen.

• Verpflichtung des Implementierers– ISMS-Implementierer sollten ihren Arbeitstag so planen, dass sie ausreichend Zeit auf ISMS-Prozesse verwenden und so eine erfolgreiche ISMS-Implementierung gewährleisten können.

• Kompetenz der Implementierers– Implementierer benötigen mindestens drei Kompetenzen, um den vollständigen Zyklus einer ISMS-Implementierung zu verstehen und umsetzen zu können: Sie müssen sich mit Implementierung und Veränderungsmanagement auskennen, die Standards kennen und eine Methode oder ein Framework für Aufbau, Erhalt, Überwachung und Optimierung von Informationssicherheit präsentieren können.

Warum sollten Unternehmen aus eigenem Interesse ein ISMS einführen? 

Dafür gibt es einige gute Gründe. Wer zum Beispiel in einem noch wenig regulierten Markt unterwegs ist, kann bei seinen Kunden mit hohen Standards in der Informationssicherheit punkten und seine Wettbewerbssituation verbessern. In jedem Fall steigert ein ISMS den Wert von Organisationen, denn erst ein ISMS verschafft einen genauen Überblick über die Prozesse und Informationswerte im eigenen Unternehmen. Bei der Suche nach möglichen Investoren zahlt sich ein ISMS daher unmittelbar aus: Fehlt es, ist eine Due-Diligence-Prüfung nur eingeschränkt möglich.  Hinzu kommen marktimmanente Gründe.

Beispiel Automotive: Wenn ich als Unternehmen in diesen stark regulierten Markt eintreten und als Zulieferer eine Rolle in der Lieferkette spielen möchte, muss ich die Branchenvorgaben erfüllen und ein ISMS vorweisen. Am Ende ist auch ein bereits geschehener Informationssicherheitsvorfall immer ein Grund zum Handeln und für die Einführung eines ISMS. Doch soweit sollte es am besten gar nicht erst kommen.

Was sind die Vorteile einer ISMS-Implementierung?

ISO 27001 spielt heute eine bedeutende Rolle beim Wachstum von Unternehmen. Ein ISMS nach ISO 27001 bietet folgende Vorteile:

1. Neue Geschäftsmöglichkeiten – Informationssicherheit hat für viele Organisationen oberste Priorität. Sie erwarten von Geschäftspartnern, Best Practices in diesem Bereich anzuwenden. Auch bei der Suche nach potenziellen Investoren zahlt sich ein ISMS aus, denn ohne ISMS sind Due-Diligence-Prüfungen nur in begrenztem Umfang möglich.
   

2. Einhaltung der DSGVO – Um der ISO 27001 zu entsprechen, müssen Organisationen ihre Geschäftsaktivitäten kontinuierlich prüfen und behalten so ihre Informationssicherheitsstruktur im Überblick. Auf ein ISMS-Audit folgt eine Gap-Analyse, mit der festgestellt wird, inwieweit die Anforderungen aktuell erfüllt werden.
   

3. Einhaltung gesetzlicher Bestimmungen – Ein ISMS mit ISO 27001-Zertifikat sorgt dafür, dass Ihre Organisation allen landesweit geltenden Bestimmungen entspricht, nicht nur der DSGVO.
   

4. Wettbewerbsvorteile – Jedes Unternehmen in einem noch zu wenig regulierten Markt kann mit hohen Informationssicherheitsstandards bei Kunden punkten und sich Mitbewerbern gegenüber einen Vorteil verschaffen. In jedem Fall wird der Wert der Organisation erhöht, denn nur ein ISMS liefert einen genauen Überblick über die Abläufe und Informationsassets Ihres Unternehmens.
   

5. Bessere Cyber-Resilienz – Unternehmen können sich gegen Cyberattacken wehren, den dadurch angerichteten Schaden begrenzen und geschäftliche Abläufe trotz des Angriffs fortsetzen.
   

6. Alle Informationen in einem System – Ein ISMS ist ein zentraler Ort für den Schutz und die Verwaltung aller Unternehmensdaten.
   

7. Anpassung an neue Sicherheitsbedrohungen – Ein ISMS hält mit externen und internen Veränderungen Schritt. So werden Gefahren durch neue Risiken gering gehalten.
   

8. Bessere Unternehmenskultur – Ein ISMS umfasst nicht nur die IT, sondern alle Unternehmensbereiche, sodass es für alle Mitarbeiter einfacher ist, Gefahren zu erkennen und entsprechende Sicherheitsmaßnahmen in ihren Arbeitsalltag zu integrieren.
   

9. Geringere Kosten für Informationssicherheit – ISMS-basierte Risikobewertungen und -analysen bedeuten Kostenersparnisse für Unternehmen, da sie nicht in unnötige Abwehrtechnologien investieren.
   
   

Drohen bei einem unzureichend umgesetzten ISMS eigentlich Bußgelder? 

Nein, jedenfalls nicht in derselben Breite wie bei Verstößen gegen die DSGVO. Diese gilt generell für alle Unternehmen und sieht Bußgelder explizit vor. Der Anwendungsbereich der DSGVO ist sehr breit, und sie schreibt zwingend einen Datenschutzbeauftragten (DSB) vor. Die analoge Rolle bei einem ISMS ist der Informationssicherheitsbeauftragte (ISB). Um sich nach ISO 27001 auditieren zu lassen, brauchen Unternehmen einen ISB. Wie beim DSB kann diese Rolle eine interne Fachkraft übernehmen oder eine externe Stelle. Aber: Es gibt weder eine legale Verpflichtung zur Einführung eines ISMS noch zur Einsetzung eines ISB.  

Ausnahmen gelten für Unternehmen und Organisationen, die unter das IT-Sicherheitsgesetz fallen. Dabei handelt es sich um Betreiber kritischer Infrastrukturen (KRITIS), zu diesen zählen zum Beispiel große Gas- und Elektrizitätsversorger, Telekommunikationsanbieter, Wasserwerke, Finanzinstitute und Großkliniken. Für diese ist laut IT-Sicherheitsgesetz ein ISMS inklusive ISB seit 2015 vorgeschrieben. In Summe betrifft dies deutschlandweit wenige Tausend Unternehmen. Bei Verstößen sind Bußgelder bis zu 100.000 Euro möglich. Diese dürften allerdings bald drastisch erhöht werden.  

Noch 2021 soll eine Novelle des IT-Sicherheitsgesetzes verabschiedet werden. Geplant sind eine deutliche Ausweitung des Geltungsbereichs auf deutlich mehr KRITIS-Unternehmen sowie Bußgelder bis 20 Millionen Euro. Für das Gros der Unternehmen bleibt aber alles beim Alten und die Erkenntnis: Wer keine angemessene Informationssicherheit hat und nachweisen kann, bekommt vielleicht Schwierigkeiten im Markt, jedoch nicht mit dem Gesetz.

Gibt es außer der ISO 27001 noch andere Normen, denen ein ISMS entsprechen muss?

Die ISO 27001 ist der Goldstandard für Informationssicherheits-Managementsysteme. Abhängig von Branche, Markt und nationaler Gesetzgebung können aber auch weitere Standards berücksichtigt werden, darunter Folgende:

• Cyber Essentials – ein vom britischen National Cyber Security Centre eingeführtes und von der Regierung des Vereinigten Königreichs unterstütztes Programm, das Organisationen dabei hilft, sich vor einigen der am häufigsten auftretenden Cyberattacken zu schützen.

• NIST-Standard– NIST (National Institute of Standards and Technology) 800-53 ist ein Standard für Informationssysteme in den USA. Allgemein gesagt bietet NIST eine Reihe empfohlener Sicherheitskontrollen für die Informationssysteme von US-Ministerien auf Bundesebene.

• SOC 1 und SOC 2 – Die internationalen Standards SOC 1 und SOC 2 (Service Organisation Control) können für die Finanzberichte eines Unternehmens relevant sein. Bei SOC 1-Berichten geht es vornehmlich um Kontrollmaßnahmen für die Finanzberichterstattung, bei SOC 2 liegt der Fokus auf betrieblichen und Compliance-bezogenen Kontrollmaßnahmen.

• CPPA – Der California Consumer Privacy Act (CCPA) schützt die Privatsphäre der Einwohner Kaliforniens. Daten zu Internetaktivitäten, Cookies, IP-Adressen und biometrische Daten werden vom CCPA reguliert, ebenso wie Daten, die in Haushalten über IdD-Geräte erfasst werden. Verbraucher haben gemäß CCPA das Recht zu wissen, welche ihrer personenbezogenen Daten zu welchem Zweck erfasst oder verkauft werden. Außerdem haben sie Zugriff auf vergangene Transaktionen bis zum 1. Januar 2019 (das Datum, an dem das Gesetz eingeführt wurde).

• HIPAA – Der Health Insurance Portability and Accountability Act (HIPAA) schützt Patientendaten und andere personenbezogene Informationen. Er betrifft Krankenversicherungen, Clearinghäuser und Anbieter elektronischer Transaktionen und schränkt die Nutzung und Offenlegung von Patientendaten ohne vorherige Zustimmung der betroffenen Person ein.

• LGPD – Das Lei Geral de Proteção de Dados Pessoais (LGPD) ist die brasilianische Antwort auf die europäische Datenschutz-Grundverordnung (DSGVO). Einfach ausgedrückt besagt das Gesetz, dass personenbezogene Daten brasilianischer Bürger nur aus legitimen, genau definierten Gründen genutzt werden dürfen.

   

IT-Sicherheit und Informationssicherheit: Was sind die Unterschiede?

Nicht alle Unternehmensinhaber kennen den Unterschied zwischen IT-Sicherheit und Informationssicherheit. Oft werden die beiden Begriffe synonym verwendet, das sind sie aber nicht.Bei IT-Sicherheit oder Cybersicherheit geht es darum, elektronische Daten vor Hacks und sonstiger Manipulation zu schützen. Abgedeckt werden unter anderem technische Geräte wie Desktop-Computer und Laptops sowie Server, Speichersysteme, Netzwerke und IdD-Mobilgeräte wie Smartphones und Tablets.Bei Informationssicherheit liegt der Fokus dagegen darauf, Informationen unabhängig von ihrem Standort zu schützen und zugänglich zu machen. Informationssicherheit greift daher wesentlich weiter als Cybersicherheit, da sie sowohl Daten und Informationen an physischen Standorten (z. B. Schreibtische oder Schränke) als auch IT-Systeme umfasst.Hier einige Beispiele, die die Unterschiede zwischen Informationssicherheit und Cybersicherheit weiter verdeutlichen:

• Wert von Daten – Der Wert der Daten ist sowohl bei Informationssicherheit als auch bei Cybersicherheit absolut zentral. Die Daten, die Ihnen und Ihrem Unternehmen am wichtigsten sind, sollten bestmöglich geschützt werden. Bei Cybersicherheit liegt der Fokus darauf, Unternehmensinformationen und IT-Systeme vor Hackern zu schützen. Informationssicherheit dagegen hat das Ziel, die Informationsassets eines Unternehmens vor jeder Art von Bedrohung zu schützen, ob digital oder anderweitig.

• Prioritätender Sicherheitsexperten – Aktive Bedrohungen wie Hackerangriffe und Viren sind der Hauptfokus von Experten im Bereich Cybersicherheit. Informationssicherheit deckt ein breiteres Spektrum ab und umfasst auch Richtlinien und Geschäftsabläufe, die es Unternehmen ermöglichen, ihre Informationsassets zu schützen.

• Wo liegt der Fokus– Cybersicherheit deckt von außen kommende Bedrohungen der digitalen Infrastruktur einer Organisation ab. Bei Informationssicherheit werden Richtlinien und Abläufe implementiert, die die Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher unterschiedlicher Informationsassets im Unternehmen gewährleisten.

• Bedrohungen– Cybersicherheit umfasst ausschließlich Cyberbedrohungen. Bei Informationssicherheit geht es dagegen um Bedrohungen aller Art, darunter auch menschliches Versagen. 

(Abb. 3)

Variiert ISMS-Software je nach Branche?

Die ISO 27001 unterscheidet nicht nach Branche oder Unternehmensgröße. Sie legt lediglich allgemeine Anforderungen fest und umfasst 14 sicherheitsrelevante Maßnahmenbereiche, die sogenannten ISO 27001 Controls. Dieselben Bereiche werden auch bei der Due-Diligence-Prüfung sorgfältig kontrolliert. Kurz gesagt: Die Rahmenbedingungen sind grundsätzlich immer dieselben, die Implementierung der Prozesse und Maßnahmen kann jedoch je nach Branche und Unternehmensgröße variieren.

Fazit

Ein ISMS sorgt für Transparenz und etabliert kontrollierbare Abläufe. Außerdem lassen sich wichtige Leistungskennzahlen daraus ableiten. Anders ausgedrückt: Mit einem ordnungsgemäß eingerichteten ISMS-Tool sind Sie bestens für potenzielle Sicherheitsprobleme gerüstet. Dieser Satz von Benjamin Franklin fasst die Vorteile eines ISMS – bzw. die Nachteile seines Nichtvorhandenseins – sehr treffend zusammen: „By failing to prepare, you are preparing to fail" (Indem man sich nicht vorbereitet, bereitet man sein Scheitern vor).

Haben Sie noch Fragen zum Thema? Wir beraten Sie gerne!

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.