Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der Irrglaube ist jedoch immer noch groß, dass die Projekte bei Null starten. Dabei sind die relevanten Daten in den Organisationen vorhanden und müssen nur noch mit den entsprechenden Informationen angereichert werden.
Beim Erwähnen der Begriffe Informationssicherheit oder Informationssicherheits-Managementsystem (ISMS) schrecken viele Organisationen zurück. Man kann deutlich die Fragezeichen in den Gesichtern der Verantwortlichen erkennen. Was ist Informationssicherheit? Wozu soll ich ein ISMS in meiner Organisation einführen? Wo fange ich am besten an? Und wie soll ich das denn überhaupt alles noch bewältigen? Dabei ist der Irrglaube groß, dass die Projekte bei Null starten. Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Die Daten sind in den Organisationen vorhanden und müssen nur noch mit den entsprechenden Informationen angereichert werden. Ein Interview mit Jens Heidland, Lead Auditor ISO27001 & IT-Sicherheitskatalog (BNetzA) und Leiter Consulting bei CONTECHNET.
„Wer ein ISMS als Chance nutzt, erhält für seine Organisation einen Return on Invest.“ Jens Heidland, Leiter Consulting bei CONTECHNET und ISO 27001 & IT-Sicherheitskatalog Lead Auditor
Was ist ein Informationssicherheits-Managementsystem?
Jens Heidland: Ein Managementsystem in der Organisation ist letztlich nichts anderes als ein Führungssystem der Geschäftsleitung. Unter dieser Prämisse sollten wir annehmen können, dass jede Organisation bereits über ein Managementsystem verfügt. Hier liegen die Unterschiede nur in der Form, der Ausprägung und der Qualität. Fast jede Organisation besitzt eine gewisse Aufstellung von Verfahren, Regeln und Prozessen. Diese dient dazu, Maßnahmen zur Erreichung der Unternehmensziele zu planen, zu definieren, zu kontrollieren, aufrecht zu erhalten und kontinuierlich zu verbessern. Ein ISMS legt den Schwerpunkt auf Informationssicherheit und zielt dabei auf den Schutz der unternehmenseigenen Werte ab. Somit sollte ein ISMS eine Selbstverständlichkeit jedes unternehmerischen Handelns darstellen.
Informationssicherheit ist gleich IT-Sicherheit? Wo ist hier die Abgrenzung?
Jens Heidland: Wie bereits erwähnt, behandelt die Informationssicherheit den Schutz der unternehmenseigenen Werte. Die meisten kritischen und schützenswerten Informationen werden heute mittels IT verarbeitet, gespeichert und abgerufen. Um den Schutz der Informationen zu gewährleisten, sind viele technische Maßnahmen erforderlich. Hierbei sollte man also annehmen, dass IT-Sicherheit gleichzusetzen ist mit Informationssicherheit. Letzten Endes werden die Maßnahmen jedoch von Menschen angestoßen, durchgeführt und kontrolliert. Diese Personen müssen entsprechend qualifiziert sein, Kompetenzen erhalten und ihre Aufgaben lückenlos kennen und erfüllen. Hierbei sprechen wir dann von den sogenannten organisatorischen Maßnahmen als unabdingbare Rahmenbedingung für die technische Sicherheit. Zusammenfassend lässt sich also erkennen, dass IT-Sicherheit eine Teilmenge der Informationssicherheit darstellt.
Wo sollte das Thema im Unternehmen organisatorisch eingebunden sein? Ist die IT dafür die beste Organisationseinheit?
Jens Heidland: Sieht die Organisation das ISMS als ein Führungssystem, kann es sich diese Frage ganz schnell selbst beantworten. Optimal ist das Thema direkt an der Geschäftsführung anzubinden, da es ein unternehmensweites Aufgabengebiet ist und damit die „Durchschlagskraft“ höher ist. Häufig wird das Projekt in der IT angesiedelt, da das Thema oft mit der IT-Sicherheit verwechselt wird. Sicherlich ist das nicht die optimale Lösung. Jedoch kann man davon ausgehen, dass die IT-Abteilungen „ihre“ Organisationen sehr gut kennen und genau wissen, wer ihre Ansprechpartner zu den verschiedenen Themenbereichen sind. Ein weiteres Argument: Die IT´ler wissen sehr gut, wie man Projekte leitet und erfolgreich umsetzt. Langfristig würde ich jedoch immer die Platzierung in einer Stabsstelle empfehlen, allein um die notwendige Rollentrennung sicherzustellen sowie Interessenskonflikte zu vermeiden.
Gibt es einen Nutzen für die Organisation?
Jens Heidland: Ein ganz großes JA! Die Organisation erhöht den Schutz ihrer Unternehmenswerte. Prozesse werden transparent, da die Abhängigkeiten sichtbar gemacht werden und können damit optimiert und verschlankt werden. Investitionen können zielsicherer getätigt und auf diese Weise Kosten eingespart werden. Zuständigkeiten werden geklärt, damit ist schnelles Reagieren sowie Handeln bei Störungen oder im Notfall möglich. Die Menschen in der Organisation fangen wieder an, deutlich mehr miteinander zu sprechen und ziehen gemeinsam an einem Strang. Wenn auch teilweise nur schwer messbar, die Auswirkungen nach der Einführung eines ISMS sind deutlich zu spüren!
„Wir haben doch schon eine ISO 9001 Zertifizierung und einen Datenschützer! Reicht das nicht aus?“
Jens Heidland: Organisationen, die eine ISO 9001 Zertifizierung haben, haben viele Vorteile, da wesentliche Bestandteile des Managementsystems bereits vorhanden sind. So können z.B. das Risikomanagement, die Festlegung von Rollen und Verantwortlichkeiten, der kontinuierliche Verbesserungsprozess und die Managementbewertung mit leichten Anpassungen im ISMS verwendet werden. Weiterhin können bereits umgesetzte Maßnahmen aus dem Datenschutz die Einführung eines ISMS deutlich beschleunigen. Die ISO 27001 Norm fordert nämlich nicht, dass Organisationen eigene Regeln für das ISMS schaffen. Daher empfiehlt es sich am Anfang des Projektes zu schauen, welche Maßnahmen in der Organisation bereits vorhanden sind, die die Anforderungen der Norm schon heute erfüllen und welche noch fehlen.
Make or buy? Was ist wirtschaftlicher? Welche Unterstützungsmöglichkeiten habe ich?
Jens Heidland: Ein ISMS ist kein Produkt oder Dienstleistung, was ich einfach dazu kaufen kann. Es betrifft „meine“ Organisation: Also ist es mein Thema, es sind meine Prozesse, meine Mitarbeiter und meine Werte. Man könnte es mit einer Familie vergleichen. Werden Menschen zu Eltern, haben sie ein Leben lang ein Kind. Genauso verhält es sich mit einem ISMS. Ein ISMS ist ein lebender Prozess und muss von der Organisation gepflegt werden. Zur Einführung und dem Betrieb eines ISMS gibt es unterschiedliche Ansätze: Ich kann in meiner Organisation umfangreiche Word- und Excel-Dokumente erstellen, wo ich die Daten pflege. Zu Beginn wirkt das Erstellen der Dokumentation mit Word und Excel sehr pragmatisch und kostengünstig. Bereits nach wenigen Monaten jedoch wächst den Organisationen die Steuerung, Verwaltung und Überarbeitung der Dokumente über den Kopf. Eine andere sinnvolle Lösung muss her und die ursprüngliche Arbeit war vergebens. Ein alternativer Weg ist sich ein Beratungsunternehmen ins Haus zu holen. Der erste Gedanke erscheint plausibel. Man hat das Projekt „von der Backe“ und muss sich um nichts weiter kümmern. Damit macht man sich jedoch auch extrem von dem jeweiligen Berater abhängig. Wie geht man mit Änderungen um und was passiert, wenn der Berater die Organisation verlässt?
Der sichere Weg ist, sich einen professionellen Coach mit dem entsprechenden Werkzeug zu beschaffen. Der Coach kann das notwendige Know-how mittels der eingesetzten Softwarelösung im Implementierungsprozess vermitteln. Eine solche Softwarelösung, wie INDITOR von CONTECHNET, dient als Führungssystem in der Organisation. Alle Dokumente und Daten werden zentral an einer Stelle gepflegt. Damit sind die Informationen immer auf dem aktuellen Stand. Darauf basierend können die Risikobeurteilung sowie -behandlung vollintegrativ durchgeführt werden. Vorlagen dienen als Unterstützung bei der Erstellung von Dokumenten. Eines der wesentlichen Mehrwerte ist jedoch, dass eine solche Softwarelösung nach der Implementierungsphase die tägliche Arbeit erleichtert. Damit ist die Organisation in der Lage, ein ISMS nicht nur einzuführen, sondern den gesamten Managementprozess zu leben.
Vielen Dank für das Gespräch!