Die neue EU-Datenschutz-Grundverordnung (DS-GVO oder auch EU-DS-GVO oder EU-DSGVO) bringt einige Neuerungen und vor allem Anforderungen an die Unternehmen mit sich.

Diese erstrecken sich vor allem auf die Informationspflichten, die Zulässigkeitsregelungen, die  Aufgaben und die Struktur der Aufsichtsbehörden, die Erhöhung der möglichen Bußgelder (bis zu 4% des Jahresumsatzes), die  Meldepflichten, die Dokumentationspflichten, die Einführung der Datenschutz-Folgenabschätzung (Privacy Impact Assessment) und die Verlagerung der uns bekannten Technischen und Organisatorischen Maßnahmen (gem. § 9 BDSG) hin zur Sicherheit der Verarbeitung (Art. 32 DSGVO), das eine Risikoanalyse verlangt. Über allem schwebt der Begriff ISMS.

Was ist ein ISMS?

Ein Information Security Management System (kurz ISMS, oder auf deutsch Informationssicherheitsmanagementsystem) ist im Grundsatz nicht anderes als eine eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, um die Informationssicherheit (nicht nur IT-Sicherheit!)  zu definieren, zu steuern,  aufrechtzuerhalten und fortlaufend zu verbessern. Man spricht hier von einem sogenannten PDCA-Zyklus (Plan-Do-Check-Act), also einem klassischen Qualitätsmananagmentansatz. Deshalb findet sich eine mögliche Ausprägung in der internationalen Norm

ISO/IEC 27001

Die ISO/IEC 27001 spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation.

Konkret geht es um Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen angepasst werden sollen. Aktuell gilt die im März 2015 veröffentlichte deutschsprachige DIN ISO/IEC 27001:2015.

Die ISO/IEC 27001 enthält einen Anhang, der die sogenannten Maßnahmen (engl. „Controls“) abbildet. Diese sind in der ISO/IEC 27002 weiter spezifiziert, die zum Teil sehr konkrete Handlungsanweisungen enthalten. Die Norm ist technikneutral; so sind diese Handlungsanweisungen auf einer konzeptionellen Ebene beschrieben und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen herunter gebrochen werden.

Gibt es Alternativen zur ISO/IEC 27001?

BSI-Grundschutz

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinen IT-Grundschutz-Katalogen ebenfalls eine Basis für die Informationssicherheit. Diese Kataloge sind sehr umfangreich und eher für Behörden ähnliche Organisationsstrukturen gedacht, als für KMUs. Zudem geht der Grundschutz deutlich weiter, als die ISO/IEC 27001. Ein Vergleich findet sich auf der Webseite des BSI. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist möglich.

Oft stellen Informationssicherheitsmanagementsysteme nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des  aus verschiedenen Gründen einige Hürden für Unternehmen von KMUs, insbesondere wenn diese nicht aus der IT-Branche kommen. Somit Erfahrungsgemäß bestehen die Schwierigkeiten unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen vorzuhalten. Weiterhin stellt die in den Standards geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor eine echte Herausforderung. Hier wurde eine weitere Alternative geschaffen.

ISIS12

Das sogenannte „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ entwickelte in Anlehnung an den IT-Grundschutz und ISO 27001ein Modell zur Einführung eines ISMS in 12 konkreten Schritten. Der Wesentliche Unterschied besteht darin, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

Die 12 Schritte sind dabei wie folgt definiert:

  1. Leitlinie erstellen
  2. Mitarbeiter sensibilisieren
  3. Informationssicherheitsteam aufbauen
  4. IT-Dokumentationsstruktur festlegen
  5. IT-Servicemanagement-Prozess einführen
  6. Kritische Applikationen identifizieren
  7. IT-Struktur analysieren
  8. Sicherheitsmaßnahmen modellieren
  9. Ist-Soll vergleichen
  10. Umsetzung planen
  11. Umsetzen
  12. Revision

Die Schritte werden zeitabhängig iterativ durchlaufen, so dass wir auch hier von eimem PDCA-Zyklus sprechen.

Ein ISMS nach ISIS12 ist eine gute Grundlage für die spätere Einführung eines ISMS nach ISO/IEC 27001. Jedoch ist es nur begrenzt einsetzbar und nicht geeignet für Anbieter „kritischer Infrastrukturen“ gem. dem IT-Sicherheitsgesetz..

Eine weitere Alternative speziell für KMU wurde unter der Leitung der VdS Schadenverhütung GmbH entwickelt, mit dem der Informationssicherheitsstatus eines Unternehmens auditiert und zertifiziert werden kann.

VdS 3473

Es handelet sich dabei um eine VdS-Richtlinien für zertifizierte Cyber-Sicherheit (VdS 3473), die erstmals auf der CeBIT 2015 vorgestellt wurde.
Das VdS-Zertifikat richtet sich speziell an die kleinen und mittleren Unternehmen. Es kann nach Angaben des VdS Versicherern zur Risikoeinschätzung beim Angebot für Deckungen von Cyberschäden dienen.

Den Text der VdS 3473 finden Sie im 3473-Wiki.

In welche Richtung Sie auch gehen möchten, wir begleiten Sie und unterstützen Sie bei der Entwicklung und der Einführung eines ISMS.

Unsere PDCA-Unterstützung für Ihr ISMS

Unsere PDCA-Unterstützung für Ihr ISMS