E-Book, Deutsch, 285 Seiten
Hanschke Informationssicherheit und Datenschutz – einfach & effektiv
2. aktualisierte Auflage 2025
ISBN: 978-3-446-47969-2
Verlag: Hanser, Carl
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Integriertes Managementinstrumentarium systematisch aufbauen und verankern
E-Book, Deutsch, 285 Seiten
ISBN: 978-3-446-47969-2
Verlag: Hanser, Carl
Format: EPUB
Kopierschutz: 6 - ePub Watermark
- Anforderungen im Kontext von Informationssicherheit und Datenschutz verstehen
- Systematischer Schritt-für-Schritt-Leitfaden für den Aufbau Ihres Instrumentariums
- Best-Practices für Schutzbedarfsfeststellung, Risikomanagement und Notfallmanagement
- Neu in der 2. Auflage: Neuer Stand aller Normen und Verbesserungen des integrierten Informationssicherheits- und Datenschutzinstrumentariums
Die Bedrohungslage und somit die Herausforderungen für Informationssicherheit und Datenschutz nehmen immer weiter zu. Ein handhabbares wirksames und gleichzeitig entlastendes Instrumentarium ist deshalb für jedes Unternehmen unerlässlich. In diesem Buch werden Ihnen die Normen, gesetzlichen Anforderungen und Umsetzungsempfehlungen für Datenschutz und Informationssicherheit aufgezeigt und Sie erhalten Leitfäden und Hilfestellungen zum Aufbau Ihres Managementsystems.
Die ISO 27001 gibt als internationale Norm für Informationssicherheit den Rahmen für das Managementsystem vor. Durch direkt nutzbare lean Best- Practices können Sie einfacher Ihre handhabbare Regulatorik ableiten, die sowohl ISO-27001-konform sind als auch den modernisierten IT-Grundschutz abdecken. Wichtig sind insbesondere die Integration mit dem Datenschutz (EU-DSGVO) sowie die Nutzbarkeit auch für andere Anforderungen und Umsetzungsempfehlungen, wie TISAX oder FAIT.
AUS DEM INHALT //
- Anforderungen an Informationssicherheit und Datenschutz (u.a. ISO 27001, IT-Grundschutz und EU-DSGVO)
- Integriertes Managementsystem für Informationssicherheit und Datenschutz
- Schritt-für-Schritt-Leitfaden für den Aufbau des Managementsystems
- Best-Practices wie Schutzbedarfsfeststellung, Risikomanagement, Notfallmanagement, ISMS-Reporting und Sicherheits- und Datenschutzorganisation
- Integration von Enterprise Architecture Management, IT-Servicemanagement und Informationssicherheit
- Vorbereiten für eine ISO-27001-Zertifizierung
- Modernisierten IT-Grundschutz nutzen
- Enterprise Architecture Management und IT-Servicemanagement als Asset-Lieferant nutzen
Inge Hanschke hat in über 35 Berufsjahren als IT-Managerin bei Anwenderunternehmen, in einem ERP-Produkthaus und bei verschiedenen IT-Dienstleistern die IT strategisch und an den Geschäftsanforderungen ausgerichtet und das IT-Management professionalisiert. Die langjährigen Erfahrungen münden in die Methode zum Lean IT-Management (siehe www. Hanschke-Consulting.com).
Autoren/Hrsg.
Weitere Infos & Material
| 1 | Herausforderungen in Informationssicherheit und Datenschutz |
Quelle: Unbekannt
Die Informations- und Kommunikationstechnik hat alle Lebensbereiche durchdrungen. Die Geschäftsprozesse von Unternehmen kommen kaum mehr ohne IT-Unterstützung aus. Die horizontale und vertikale Vernetzung von Partnern bis zu Maschinen nimmt immer weiter zu. Nur so kann schnell auf Kundenanfragen und sich ändernde Kundenbedürfnisse reagiert werden. Die hohe Durchdringung mit Informations- und Kommunikationstechnik erhöht jedoch gleichzeitig die Abhängigkeit und die Anfälligkeit für die kontinuierlich zunehmenden Sicherheitsbedrohungen, zum Beispiel im Kontext von Cyber-Security.
Sicherheits- und Datenpannen, wie Massen-E-Mails mit Viren, Veröffentlichung von vertraulichen Daten oder manipulierte, missbräuchlich verwendete, mutwillig zerstörte oder kompromittierte Daten, können für die Unternehmen zu ernsthaften rechtlichen oder wirtschaftlichen Konsequenzen führen. Insbesondere aber auch die Nichtverfügbarkeit von Systemen hat erhebliche wirtschaftliche Auswirkungen. Ein Beispiel hierzu ist die Unterbrechung einer Lieferkette in einer Just-in-time-Fertigung (JIT-Fertigung) aufgrund eines Systemabsturzes, der zu einem Produktionsstillstand führt, da wesentliche Rohstoffe oder Teile nicht angefordert werden und somit fehlen.
Externe Vorgaben wie Gesetze, Regulatoren und Normen sowie Anforderungen interessierter Parteien (z. B. BDSG, UWG, TMG, Regulierungsbehörden) und Verträge erfordern ein angemessenes Sicherheitsniveau und die Einhaltung von Formalien. Vorstände und Geschäftsführer haften persönlich für viele Versäumnisse und mangelnde Risikovorsorge. Ein Beispiel sind die hohen Bußgelder bei Datenpannen im Kontext der EU-DSGVO (europäische Datenschutzgrundverordnung) oder aber der NIS-2-Richtlinie. Imageschäden und Folgekosten erhöhen die Schadensauswirkungen noch erheblich. Die Gewährleistung der Persönlichkeitsrechte Betroffener und die Sicherstellung der Rechenschaftspflicht sind daher Grundanforderungen an ein Datenschutz-Managementsystem.
Informationssicherheit und Datenschutz sind unerlässlich, um sowohl personenbezogene Daten als auch Geschäfts- und Unternehmensgeheimnisse zu schützen und einen zuverlässigen Geschäftsbetrieb und die kontinuierliche Weiterentwicklung des Geschäftsmodells zu gewährleisten. Es geht letztendlich darum, mit Informationssicherheitsmanagement und Datenschutz den Erfolg des Unternehmens abzusichern (siehe Bild 1.1). Gerade im Zeitalter der digitalen Transformation sind „sichere“ Daten- und Integrationsplattformen mit vielen Automatismen als integraler Bestandteil des Managementsystems unerlässlich. Nur so kann der Mehrwert aus Daten gehoben und Big Data, Business-Analytics rechtssicher und berechtigt genutzt werden.
Bild 1.1 Nutzenorientiertes Management von Datenschutz und Informationssicherheit
Die Informationssicherheit und der Datenschutz eines Unternehmens müssen einen Handlungsrahmen und Hilfestellungen liefern, um den kontinuierlichen Geschäftsbetrieb und auch die Geschäftsmodellweiterentwicklung hinreichend sicher zu ermöglichen.
Die Herausforderungen in Informationssicherheit und Datenschutz nehmen immer weiter zu und sind eng auch mit der Umsetzung weiterer Compliance-Anforderungen verbunden. Nach einer Einordnung von Informationssicherheit und Datenschutz schauen wir uns die Anforderungen etwas näher an.
In diesem Kapitel finden Sie die Antworten auf folgende Fragen
Warum sind Informationssicherheit und Datenschutz wichtig?
Was ist Informationssicherheit?
Was ist Datenschutz?
Welche Anforderungen leiten sich aus Gesetzen und Normen ab?
| 1.1 | Einordnung von Informationssicherheit und Datenschutz |
Wie bereits ausgeführt, sind Informationssicherheitsmanagement und Datenschutz essenziell, um den Erfolg des Unternehmens abzusichern. Was versteht man aber unter Informationssicherheit und Datenschutz?
Die Informationssicherheit zielt auf den angemessenen Schutz von Informationen und IT-Systemen in Bezug auf alle festgelegten Schutzziele, wie Vertraulichkeit, Integrität und Verfügbarkeit, ab. Ein unbefugter Zugriff oder die Manipulation von Daten soll verhindert und soweit möglich vorgebeugt werden, um daraus resultierende wirtschaftliche Schäden zu verhindern. Bei den Daten ist es unerheblich, ob diese einen Personenbezug haben oder nicht. Informationen können sowohl auf Papier als auch in IT-Systemen vorliegen.
IT-Sicherheit adressiert als Teilbereich der Informationssicherheit den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung inklusive Funktionssicherheit, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme. Hier müssen auch Systeme einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie Steuerungs- (ICS) oder IoT-Systeme. Die IT-Sicherheit ist also Bestandteil der Informationssicherheit. Das Aktionsfeld der klassischen IT-Sicherheit wird bei der Cyber-Sicherheit auf den gesamten Cyber-Raum ausgeweitet.
Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden, um das Recht des Einzelnen auf informationelle Selbstbestimmung zu stärken.
Es stellt sich hierbei nicht die Frage, ob man Informationssicherheit und Datenschutz adressiert, sondern nur wann und in welchem Umfang. Die Kernfrage lautet: „Wann ist man hinreichend sicher?“
Mögliche Antwort: verpflichtende und empfohlene Dokumente aus Informationssicherheit und Datenschutz (u. a. ISO 2700X, BSI IT-Grundschutz, NIS-2-Richtlinie und EU-DSGVO)
Hierauf gibt es eine einfache Antwort: „Systeme sind hinreichend sicher, wenn der Aufwand eines Angreifers dessen Nutzen erheblich übersteigt.“
Widerstandsfähige Systeme überstehen absichtliche Angriffe ohne inakzeptablen Schaden für das Unternehmen. Für viele Systeme mit normalem Schutzbedarf reicht eine Absicherung nach dem „Stand der Technik“ aus (siehe Abschnitt 1.2.4).
Hinweis
Der Begriff „Stand der Technik“ im Kontext des IT-Grundschutzes beschreibt Maßnahmen, Technologien und Verfahren, die aktuell als geeignet und effektiv angesehen werden, um Sicherheitsziele zu erreichen (siehe [BSI23-1]).
Wie viel Schutz ist notwendig, um einen kontinuierlichen Geschäftsbetrieb sicherzustellen, die sichere Geschäftsmodellweiterentwicklung zu ermöglichen und Imageschäden und Reputationsverlust zu vermeiden?
So dürfen z. B. Hackerangriffe nicht zum Ausfall von Kernsystemen führen.
Schutz ist kein Selbstzweck. Es ist so viel Schutz notwendig, um einen kontinuierlichen Geschäftsbetrieb, keinen Reputationsverlust, die Kundenbindung und allgemein die Voraussetzungen für das Erreichen der Unternehmensziele zu gewährleisten.
Hinreichend ist hierbei das Schlüsselwort. Denn eine hundertprozentige Sicherheit ist auch mit noch so hohem Aufwand nicht zu erreichen. Eine extrem hohe Absicherung ist unverhältnismäßig teuer oder geschäftsverhindernd. Ein Beispiel sind nicht vernetzte Systeme. Diese sind natürlich einfacher abzusichern. Jedoch erfordern die meisten Geschäftsabläufe gerade im Zeitalter der Digitalisierung vernetzte Systeme. Ein Kappen der Vernetzung verhindert oder erschwert den Geschäftsbetrieb so stark, dass wahrscheinlich auf Dauer nicht wirtschaftlich gearbeitet werden kann. Der konkrete Schutzbedarf hängt stark vom unternehmensindividuell eingeschätzten Schutzbedarf der jeweiligen Unternehmenswerte, wie z. B. die Kritikalität von Informationen oder Systemen, ab.
Ein hinreichender Informationsschutz ist für die meisten Werte mit normalem Schutzbedarf schon mit einer Standardabsicherung (siehe Abschnitt 1.2.4) der IT mit verhältnismäßig geringen Mitteln zu erreichen. In Bild 1.2 finden Sie eine Prinzip-Darstellung für die Festlegung des optimalen Sicherheitsniveaus. In der Abbildung werden die Maßnahmenkosten und das Sicherheitsbedürfnis gemessen über das Schadensausmaß in Abhängigkeit vom Restrisiko dargestellt....
