365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Ein ISMS ist ein hilfreicher Baustein für die IT-Sicherheit. Welche Rolle spielen Normen und Standards bei der Auswahl?
Schon der Begriff Information Security Management System (ISMS) klingt sperrig. Für einige Unternehmen ist es Pflicht, viele andere hätten gern eins und wieder andere schrecken davor zurück. Je nach Branche und Gesetz muss eine Organisation eventuell sogar ein zertifiziertes ISMS betreiben.
Je nach Branche und Betriebsgröße kann ein Unternehmen zum Betrieb eines Information Security Management System (ISMS) verpflichtet sein. Aber ein ISMS ist kein Softwareprodukt, wenngleich es von Software unterstützt werden kann. Vielmehr legt ein ISMS Regeln und Verfahren fest, mit denen ein Unternehmen die Informationssicherheit verbessern und steuern kann. Dazu werden mithilfe eines ISMS Regeln, Methoden und Abläufe definiert.
Eine wichtige Rolle spielen dabei Standards und Normen, etwa der BSI-Grundschutz oder die ISO/IEC-27000-Reihe. Der Begriff selbst wird in den Standards ISO/IEC 27001 und ISO/IEC 27002 erörtert. Schnell wird deutlich, dass ein ISMS komplex ist, viele Unternehmen fühlen sich damit überfordert. Schon die Wahl des passenden Systems stellt manche vor eine große Herausforderung. Wir haben Experten gefragt, wie man dabei vorgehen kann.
Bei der Einführung eines ISMS sind Motivation und Ziel zu berücksichtigen, empfiehlt Michael Weirich, Projektmanager IT-Sicherheit beim Verband der Internetwirtschaft, eco:
Für die Auswahl eines geeigneten Information Security Management Systems ist die Motivation zur Einführung entscheidend. Vorab muss die Unternehmensleitung klären, welches Ziel man mit dem ISMS erreichen möchte und welche Bereiche oder Geschäftsprozesse abgedeckt werden sollen. Der Anwendungsbereich ist in der Konzeptionsphase klar zu definieren. Berücksichtigt werden muss weiterhin ob das Unternehmen das ISMS aufgrund gesetzlicher Pflichten einführt oder ob Geschäftspartner Wert auf bestimmte Zertifizierungen legen.
Des Weiteren gelten für unterschiedliche Branchen unterschiedliche Normen bzw. Richtlinien, dies es zu beachten gilt und die die Auswahl eines geeigneten Information Security Management Systems beeinflussen. Sind die Ziele festgelegt, können Sie das Framework bestimmen, in dem Sie sich bewegen wollen – also beispielsweise CISIS12, die ISO2700x Reihe, BSI Grundschutz oder TISSAX und ihr ISMS anhand der von Ihnen definierten Kriterien auswählen.
Robert Couronné leitet die Themenplattform Cybersecurity bei der bayerischen Gesellschaft für Innovation und Wissenstransfer, Bayern Innovativ. Er empfiehlt kleineren Unternehmen weniger komplexe Systeme:
Wenn ein Unternehmen Cybersicherheit nachhaltig gestalten möchte, kommt es um ein ISMS kaum herum. Allerdings ist die Passgenauigkeit von ISMS-Systemen hinsichtlich der Anforderungen und verfügbaren CS-Ressourcen sorgfältig zu prüfen. Was das BSI als Grundschutz definiert, übersteigt die Möglichkeiten vieler Unternehmen bei Weitem. Es existieren weniger komplexe ISMS-Ansätze, die auch für KMU Sinn machen. So beispielsweise das ISIS12, entwickelt vom IT-Security Cluster in Regensburg.
Nach oben weiter ausdifferenzierbar und aufwendiger sind oft branchenspezifische Systeme. Mehr und mehr wird auch die Zertifizierung gefordert. Ein aufwendiges, aber nur halbherzig erstelltes und betriebenes ISMS kann für die reale Cybersicherheit schlechter sein als ein einfaches, bei dem alle voll dahinter stehen. Andererseits wird die Erfüllung von Cybersicherheitsnormen für immer mehr Unternehmen vorgeschrieben wie aktuell von der EU mit dem Cybersecurity Act. Hier muss das ISMS die Anforderungen selbstverständlich erfüllen.
Marc Fliehe, Leiter des Fachbereichs Digitalisierung und Bildung beim TÜV-Verband, weist auf die laufende Überarbeitung des wichtigen ISMS-Standards ISO/IEC 27001 hin:
Entscheidend für die Auswahl des passenden ISMS ist der Kontext, in dem sich das Unternehmen bewegt. Teilweise gibt es branchen- oder kundenspezifische Anforderungen, zum Beispiel TISAX für Automobilzulieferer, die bei der Überlegung mit betrachtet werden müssen. Ebenso können gegebenenfalls gesetzliche Anforderungen eine gewisse Richtung vorgeben, in die sich ein Unternehmen bewegen muss.
Es gibt glücklicherweise mehrere Standards am Markt, die beim Aufbau eines ISMS helfen und ein methodisches Vorgehen anbieten können. Einige Standards sind bereits sehr gut etabliert und werden üblicherweise regelmäßig an aktuelle Entwicklungen angepasst. Derzeit wird der international führende Standard für Informationssicherheits-Managementsysteme, die ISO/IEC 27001 überarbeitet. Die zuständigen Gremien haben auf aktuelle Entwicklungen und Rückmeldungen zur Handhabung der Norm reagiert. Die aktuelle Version steht unmittelbar vor Veröffentlichung.
Die eine passende Lösung für alle gibt es also nicht. Je nach Unternehmensgröße, Branche sowie Motivation und Ziel kommen verschiedene Ansätze zum Einsatz. Schließlich soll ein ISMS helfen, Gefahren für Daten und IT-Systeme besser zu erkennen, Verbesserungsmöglichkeiten zu identifizieren und geeignete Maßnahmen ergreifen zu können. Unterstützend können Tools für die softwaregestützte Durchführung von Risikomanagement-Prozessen oder der Verwaltung unternehmensinterner Sicherheitsrichtlinien herangezogen werden.
