Der internationale Sicherheitsstandard – die ISO 27001
ISO 27001 und ISMS in Unternehmen
Unternehmen und Organisationen, welche den Sicherheitsstandard ISO 27001 für sich beanspruchen, befassen sich eingehend mit der Thematik der Informationssicherheit. Die ISO 27001 steht für Richtlinien, Maßnahmen und Verfahren, welche bestehende Risiken und Verstöße innerhalb der IT minimieren sollen. In den meisten Unternehmen sind die Gefahren in der Informationstechnologie zwar bekannt, aber erst durch die Umsetzung der ISO 27001 können Störungen durch physische Gefahren, Mitarbeiterverschulden, Prozesse, Systeme und Cyberkriminalität effektiver abgewendet werden.
Wie definiert sich die ISO 27001?
Im normalen Arbeitsumfeld wird man in den meisten Fällen nur die Bezeichnung ISO 27001 vorfinden, aber die vollständige Bezeichnung wird als ISO/IEC 27001: 2013 Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme- Anforderungen definiert. Die ISO 27001 ist ein Bestandteil der ISO/IEC 27000er Normenreihe, die sich mit der Thematik der Informationssicherheit beschäftigt. Die ISO 27001 befasst sich innerhalb dieser Reihe mit den physischen, technischen und rechtlichen Risikomaßnahmen, die die Sicherheit von Daten und Informationen betreffen.
Warum wird die ISO 27001 für Unternehmen und Organisationen immer wichtiger?
Durch den Schutz von wertvollen Inhalten der Informationstechnologie vermindern Unternehmen das Risiko eines Imageverlustes, Bußgeldern und Störungen innerhalb des Tagesgeschäftes. Gleichzeitig kann auch das Information Security Management System (ISMS) nach ISO 27001 zertifiziert werden. Das ISMS bezeichnet interne Vorgänge, Regeln und Verfahren, die eine Informationssicherheit und stetige Verbesserung gewährleisten und eine Steuerung und Kontrolle zulassen. Für einige Branchen ist die Zertifizierung nach ISO 27001 ein wichtiger Bestandteil der Arbeitstätigkeit, da einige Aufträge und besonders Ausschreibungen die Zertifizierung voraussetzen. Durch die Zertifizierung wird ein gewisser Standard der Informationssicherheit nachgewiesen und dessen Einhaltung als Zielsetzung definiert.
Was kann man sich unter einem Information Security Management System (ISMS) vorstellen?
Durch die ISO 27001 erlangen Unternehmen und Organisationen keinen festgelegten Standard, welchen man nur umsetzen muss. Die ISO 27001 ist abstrakt gehalten und kann daher auf Unternehmen jeder Branche und jeder Größenordnung angewendet werden. Aus diesem Grund lässt sich keine allgemeingültige Vorgehensweise ableiten. Die Zielsetzung der ISO 27001 ist nicht, dass eine vollständige Risikoverminderung erreicht wird, sondern dass sich Unternehmen ihrer vorhandenen Risiken bewusst werden, diese bewerten können und somit bestehende oder aufkommende Gefahren minimieren. Das ISMS und dessen Wirksamkeit kann durch Kennzahlen überprüft werden. Die Kennzahlen sind individuell festzulegen, damit einzelne Bereiche bewertet und verbessert werden können.
Definiert man die Schutzziele der Informationssicherheit, so schlüsseln diese sich nach dem sogenannten CIA-Prinzip (Confidentiality, Integrity, Availability = Vertraulichkeit, Integrität, Verfügbarkeit) auf.
Der Punkt Vertraulichkeit soll sicherstellen, dass nur autorisierte Personen Zugang zu schützenswerten Informationen bekommen. Die Integrität gewährleistet die Authentizität und die Zuverlässigkeit aller Assets und die Verfügbarkeit stellt sicher, dass Informationen bei Bedarf sofort verfügbar gemacht werden können.
Wer sollte sich mit einem ISMS beschäftigen und dieses gegebenenfalls einführen?
Fast jedes Unternehmen ist verpflichtet oder hat den Anspruch Daten und Informationen sicher zu schützen. Durch die Anpassungsfähigkeit der ISO 27001 können somit auch bei kleineren Unternehmungen interne Ansprüche und Sicherheitsrichtlinien definiert werden.
Die Grundlage für jedes funktionierende ISMS ist, dass die Unternehmung einen genauen Überblick über die vorhandenen Informationen besitzt und diese hinsichtlich eines Risikos bewerten kann. Dies sollte für jedes Unternehmen eine hohe Priorität besitzen, da ein Informationsleck einen finanziellen Schaden und einen Imageverlust verursachen kann. Letzteres ist in den meisten Fällen gleichzeitig mit einem finanziellen Schaden verbunden.
Die Führungsetage jedes Unternehmens sollte grundsätzlich bewerten, welche Risiken durch ein eingeführtes ISMS minimiert werden könnten, um gleichzeitig finanzielle Schäden abzuwenden. Die Bewertung des Managements sollte immer davon abhängen, ob die Unternehmung softwarelastig arbeitet und wie weit die Digitalisierung von Arbeitsabläufen fortgeschritten ist. Besonders Unternehmungen, die einen hohen Regulierungsbedarf vorweisen können (z.B. Ärzte, Apotheken, Pflegedienste…), sollten die Mindestansprüche der Informationssicherheit zwingend einhalten.
Kann ein ISMS nach ISO 27001 den innerbetrieblichen Datenschutz unterstützen?
Datenschutz und Informationssicherheit müssen aus zwei Blickwinkeln betrachtet werden. Der Datenschutz ist grundsätzlich auf den Schutz des Menschen und dessen Daten und Informationen ausgerichtet. Die Informationssicherheit hingegen soll eine Schutzfunktion vor Unternehmensrisiken darstellen.
Gleichermaßen finden sich aber auch Schnittpunkte zwischen den Bereichen Datenschutz und Informationssicherheit. Als Beispiel sind hier die technischen und organisatorischen Maßnahmen (TOM) zu nennen, deren Umsetzung nach der DSGVO vorschrieben werden. Datenpannen und Cyberangriffe können dazu führen, dass personenbezogene Daten in die Hände von Unbefugten fallen. Bei diesem Beispiel sind der Datenschutz und der Bereich der Informationssicherheit betroffen. Aus diesem Blickwinkel ist es sinnvoll, die Positionen und die Besetzung des Datenschutzbeauftragten und die des Informationssicherheitsbeauftragten genau zu planen und eine Zusammenarbeit zu fördern.
Welche Vorteile erhalten Unternehmen durch ein ISMS?
Ein ISMS stellt ein Unternehmen natürlich vor eine organisatorische Herausforderung, aber gleichermaßen können die neuen Standards auch Effekte bewirken, welche einem Unternehmen entscheidende Vorteile verschaffen können.
Kosteneinsparung
Wird in einem Unternehmen ein ISMS eingesetzt, so minimiert man eventuelle Risiken, welche kostenintensive Auswirkungen beinhalten könnten. Somit wird durch ein ISMS eine proaktive Kostenersparnis erreicht. Gleichzeitig können Investitionen eingespart werden, welche ohne ein ISMS in nicht überdachte Sicherheitstechnologien geflossen wären.
interne Sicherheit
Ein gelebtes ISMS birgt den Vorteil, dass es sich kurzfristig an eventuelle Risiken anpassen kann. Durch diese Anpassungsfähigkeit erhöht sich firmenintern die Widerstandsfähigkeit gegen Angriffe von Dritten und sichert Datenschutzbestimmungen ab.
gelebte Informationssicherheitsstandards
Wird ein ISMS von der Belegschaft akzeptiert und angewendet, so wird innerbetriebliche Transparenz geschaffen. Mitarbeiter können Risiken besser einschätzen und werden diesbezüglich auch den Blick auf Sicherheitsstandards schärfen. Die Akzeptanz der Belegschaft ist durch die Führungsetage zu steuern, welche besonders die persönliche Verantwortung jedes Mitarbeiters einfordern sollte. Selbstverständlich muss die Führungsriege hier mit gutem Vorbild vorangehen, um der Belegschaft eine neue, positive und sichere Unternehmenskultur vorzuleben.
ISO 27001 – müssen alle Vorschriften eingehalten werden?
Wird durch eine akkreditierte Zertifizierungsstelle die ISO 27001 ausgesprochen, so erhält das Unternehmen einen Nachweis, der Kunden, Partnern und Investoren signalisiert, dass die Informationssicherheit innerbetrieblich einen hohen Stellenwert erfährt. Ist der Einrichtungsprozess eines ISMS durchlaufen, so sind trotzdem die Vorschriften nicht zwangsläufig einzuhalten. Gleichzeitig können sich innerbetriebliche Vorschriften und Anweisungen auch anpassen. Erlangt man eine Zertifizierung nach ISO 27001, so kann jedes Unternehmen in der Innen– und Außendarstellung ein Streben nach Informationssicherheit vorweisen.
Was wird durch die ISO 27001 in Unternehmen geregelt?
Die ISO 27001 beinhaltet keine festgelegten Details oder Normen. Aus diesem Grund gibt es keine genauen Richtlinien, die ein Unternehmen erfüllen muss, um die Anforderungen der Zertifizierung zu erfüllen. Durch die ISO 27001 werden nur Rahmenbedingungen geschaffen, damit ein Unternehmen über angemessene Sicherheitsstandards entscheiden kann. Die Rahmenbedingungen werden nicht genau definiert, da sich Branchen und Art von Unternehmen zu sehr innerhalb des Tagesgeschäftes unterscheiden und individuelle Sicherheitsstandards gesetzt werden müssen. Die ISO 27001 enthält 114 Maßnahmen, welche die Erkennung und Behandlung von Risiken ermöglichen. Aus diesen Maßnahmen kann eine Risikobewertung entwickelt werden, aus der man innerbetriebliche Schutzmaßnahmen ableiten kann.
Welche Vorteile beinhaltet eine Zertifizierung nach ISO 27001?
Ist eine Zertifizierung nach ISO 27001 geplant, so birgt dies den Vorteil, dass im ersten Schritt ein funktionierendes ISMS eingeführt werden muss, welches im Vorfeld Risiken minimiert. Gleichzeitig stellt die Zertifizierung nach ISO 27001 eine innerbetriebliche Zertifizierung dar, welche in der Außenwirkung für eine hohe Reputation sorgt.
Aus diesem Grund wird die Zertifizierung gerne auf Unternehmenswebseiten aufgeführt, da diese Geschäftspartnern eine gewisse Sicherheit gibt und aufzeigt, dass das Unternehmen oder die Organisation den Informationssicherheitsstandards einen hohen Stellenwert einräumt. Ausschreibungen können in manchen Fällen nur mit einer Zertifizierung gewonnen werden und auch Businesspartner achten immer mehr auf eine gelebte Informationssicherheit, welche durch die Zertifizierung bestätigt wird. Das Image und der Marktwert wird durch eine Zertifizierung gesteigert und somit können auch weitere Geschäftskontakte geknüpft werden. Besonders der Vertrauensaufbau bei einem Kunden ist ein entscheidender Wettbewerbsvorteil, der auch finanziell zu Buche schlägt. ISO 27001 schafft eine Vertrauensbasis gegenüber Kunden und Partnern, aber ein Unternehmen sollte nicht vergessen, dass auch die Innenwirkung und somit das Vertrauen der Belegschaft signifikant gesteigert wird.
Weitere Artikel
KI-Compliance: Ein Leitfaden für Start-ups
Das EU KI-Gesetz verpflichtet Start-ups, KI-Systeme zu dokumentieren, Risiken einzuschätzen und Mitarbeiter:innen zu schulen. Unser Leitfaden erklärt die wichtigsten Schritte – von der Bestandsaufnahme der KI-Systeme bis zur Risikoanalyse. Anhand des Beispiels von CrediScore-AI zeigen wir, wie ein Fintech-Start-up Compliance erfolgreich umsetzt: von der Klassifizierung der Systeme nach Risiko bis zur gezielten Schulung der Teams.
Mehr erfahrenPeople & Culture trifft Datenschutz: So funktioniert’s in der Praxis
Bei heyData schützen wir die persönlichen Daten von Bewerber:innen und Mitarbeiter:innen durch zentrale Datenverwaltung, Rechte- und Rollenmanagement und automatisierte Prozesse. Wir nutzen Tools wie Personio und 1Password, um sicherzustellen, dass wir DSGVO-konform bleiben. Unsere Richtlinien umfassen regelmäßige Datenüberprüfungen, automatisierte Löschfristen und strenge Zugangskontrollen. Datenschutz ist ein fortlaufender Prozess, der durch kontinuierliche Schulungen und bewährte Methoden unterstützt wird, um höchste Sicherheitsstandards zu gewährleisten.
Mehr erfahrenSo vermeidest du teure Datenlecks: Datensicherheit für KMU
Datenlecks verursachen Unternehmen jedes Jahr Millionen Schäden. Kleine und mittlere Organisationen sind besonders gefährdet. Denn sie nutzen häufig veraltete Sicherheitsstrategien: Software-Updates erfolgen nicht regelmäßig, Backupstrategien und Verschlüsselungen werden nur lückenhaft eingesetzt. Es fehlt an einem umfassenden Sicherheitskonzept, das Mitarbeitenden eine klare Orientierung gibt, wie sie mit Daten umgehen sollen und welche Maßnahmen sie im Schadensfall sofort ergreifen müssen. Es gibt nicht die Technologie, um Datenlecks bestmöglich zu verhindern und einen Schaden im Ernstfall zu minimieren. Vielmehr müssen technische Sicherheitsmaßnahmen, standardisierte Prozesse und datenkompetente Mitarbeitende zusammenwirken
Mehr erfahren