E-Book, Deutsch, 264 Seiten
Schmidt / Gabriel Selfmade ISMS
1. Auflage 2022
ISBN: 978-3-347-58655-0
Verlag: tredition
Format: EPUB
Kopierschutz: 6 - ePub Watermark
IT-Security in 7 Schritten
E-Book, Deutsch, 264 Seiten
ISBN: 978-3-347-58655-0
Verlag: tredition
Format: EPUB
Kopierschutz: 6 - ePub Watermark
IT-Sicherheit in kleinen und mittelständischen Unternehmen voranbringen IT- und Informations-Sicherheit ist ein komplexes Thema und die Umsetzung nimmt oft viel Zeit und viele Ressourcen in Anspruch. Bisherige Angebote zur Umsetzung oder Beratung zu Informationssicherheit in Unternehmen sind oft schwer verständlich oder sehr teuer und daher nicht für kleine und mittelständische Unternehmen (KMU) erschwinglich. Als Resultat sind viele Unternehmen nur unzureichend gegen aktuelle Hackerangriffe geschützt, wissen nicht wie Sie die Cybersicherheit erhöhen oder Compliance zu z.B. Datenschutzvorgaben wie zur EU-DSGVO herstellen können. Basierend auf ihrer langjährigen Erfahrung in der IT- und Informations-Sicherheit haben die Autoren dieses Buches ein spezielles Framework für KMUs entwickelt, mit dem Sie selbst mit wenig Aufwand viel in der Cybersicherheit erreichen können - Einsteigerfreundlich erklärt. Lernen Sie mit dem 'Selfmade ISMS' die grundlegenden Best Practices der IT-Sicherheit kennen und erhalten Sie Tipps, wie Sie diese auch selbst direkt umsetzen können. Sie als Geschäftsführer kennen die Risiken Ihres Unternehmens doch am besten oder Sie als IT-Administrator wissen auch genau wo die Probleme in dem von Ihnen verwalteten Netzwerk liegen. Kommen Sie zielgerichtet zu abgesicherten Unternehmensprozessen und lernen Sie die Gefahren und Herausforderungen der Cybersicherheit im Unternehmensalltag zu bewältigen. Sei es die Bedrohung durch einen Kryptotrojaner, die Frage, wie Sie vertrauliche Daten am besten mit Geschäftspartnern austauschen oder wie Sie Ihre Geschäftsdaten am besten vor technisch bedingtem Datenverlust schützen. Mit unseren Quick-Wins kommen Sie in 7 Schritten zur Cybersicherheit in Ihrem Unternehmen und erreichen schnelle Ergebnisse und Verbesserung des Sicherheitsniveaus. Sie können eigenhändig Schwerpunkte setzen und so Schritt-für-Schritt zu Ihrem individuell abgesicherten KMU kommen. Hierbei wird auch auf gängige Zertifizierungen wie ISO® 27001, TISAX® oder BSI-Grundschutz einge-gangen, wie sie in Deutschland und Europa verbreitet und anerkannt sind und Ihnen einen Wettbewerbsvorteil bringen können. Das komplexe Thema IT- und Informations-Sicherheit wird hier von Grund auf ausführlich erläutert und bietet den idealen Einstieg in die Welt der Informationssicherheit.
Autoren/Hrsg.
Weitere Infos & Material
4. Das ISMS Framework für KMUs Insgesamt umfasst das hier für KMUs entwickelte Framework 14 Bereiche (Domänen) und 76 Kontrollziele. Zusätzlich gibt es 3 weiterführende Punkte in Kapitel 6 mit weiteren 15 Kontrollzielen. Die Domänen sind auf den folgenden Seiten in jeweils einem eigenen Kapitel aufgearbeitet. Es werden jeweils die nötigen Umsetzungsschritte zur Erreichung der Anforderungen mit Tipps und zusammenfassenden Maßnahmeninhalten beschrieben. Im Anhang dieses Buches finden Sie zudem eine Checkliste, auf der Sie alle Kontrollziele abhaken können. Es ist möglich, dass ein Kontrollziel aufgrund der individuellen Gegebenheiten eines Unternehmens nicht umgesetzt werden kann, da die Zielobjekte wie z.B. Softwareentwicklung nicht vorhanden sind, weil im Unternehmen z. B. keine Softwareentwicklung stattfindet. Die betreffenden Kontrollziele können dann in der Checkliste als „nicht anwendbar“ eingestuft werden, sodass hier keine weiteren Aktionen nötig sind. Dies ist auch in einer Zertifizierung möglich. 4.1. ISMS - Informations-Sicherheits-Management-System Als erster Schritt in eine geregelte, unternehmensweite Informationssicherheit sollte eine übergreifende Leitlinie, in der die Absichten und der Geltungsbereich des ISMS definiert sind, verfasst werden. Die Leitlinie hilft die Ziele des ISMS immer vor Augen zu behalten und alle zukünftigen Schritte daran auszurichten. Die gesamte Leitlinie sollte so konzipiert sein, dass sie langfristig kaum geändert werden muss. Die spezifischen Informationen, wie die genau übergeordneten Ziele der Informationssicherheit umgesetzt werden, sollten in untergeordneten, themenspezifischen Richtlinien erfolgen. Abbildung 1: Darstellung ISMS-Dokumentenhierarchie in einem Unternehmen Was genau soll mit dem Vorhaben erreicht werden? Welche Komponenten sollen abgesichert werden? Level 1 - Geltungsbereich und Ziele Diese Fragen werden wohl oft vor Beginn großer Projekte gestellt. Bezogen auf das ISMS lässt sich die Frage so beantworten, dass man zunächst überlegen sollte, warum man dieses Thema angehen möchte und wie man vorhat, ein gesetztes Ziel zu erreichen wie z.B. - das Absichern von Firmendaten gegen Datenverlust oder Cyberangriffe - Serverausfälle minimieren - den Schutz von personenbezogenen Daten oder der reibungslosen, technischen zur Verfügungstellung von Kundendienstleistungen um nur einige mögliche Beispiele zu nennen. Die definierten Ziele sollten in allen Belangen des Unternehmens und auch in zukünftigen Projekten vor deren Umsetzung immer berücksichtigt werden. Wichtig ist nur, dass diese Ziele auch SMART17 definiert sind (spezifisch, messbar, erreichbar (attainable), realistisch und auf einen bestimmten Zeitraum bezogen (time phased). Für das Beispiel der Serverausfälle können Sie deren Häufigkeit also in einem bestimmten Zeitraum (z.B. ein Jahr) messen. Somit hätten Sie auch Ihren ersten KPI (Key Performance Indicator) definiert. Wenn die Serverausfälle nächstes Jahr also weniger werden, so können Sie die Wirksamkeit der ergriffenen Maßnahmen und damit auch das Erreichen Ihrer Ziele messen. KPIs sind also ein wichtiger Baustein, auch um den Bedarf an eventuellen weiteren Maßnahmen zur Erreichung eines Ziels zu identifizieren. Beispiel – Key Performance Indicator Im Zuge von Kontrollmetriken spricht man oft auch von einem Key Performance Indicator – KPI. Er gibt an, wie viele Systeme oder Prozesse sich bei bestimmten Kontrollen aus dem ISMS in einem Betrachtungszeitraum (z.B. 1 Jahr) an die Vorgaben gehalten haben. Beispielweise kann eine Sicherheitsmaßnahme aus dem ISMS lauten, auf Bürocomputern eine Anti-Viren Software einzusetzen. Ein KPI könnte darstellen, bei wieviel Prozent der Systeme bei einer jährlichen Prüfung dies dennoch nicht der Fall war. Die Maßnahmen zur Umsetzung des Virenschutzes können bei einem hohen Wert (Abweichung) dann überarbeitet werden, um einen besseren Umsetzungsgrad zu erreichen. Im Prinzip sind bei der Zieldefinition der Kreativität kaum Grenzen gesetzt. Wichtig ist nur, dass Sie die Ziele der Informationssicherheit definieren und in einer Leitlinie niederschreiben. Zu einem späteren Zeitpunkt können Sie so immer prüfen, ob die geplanten oder umgesetzten Maßnahmen auch wirklich auf die Erfüllung der Ziele einzahlen. Auch können Sie festlegen, dass die Informationssicherheit (zunächst) nur für einen Teil des Unternehmens umgesetzt werden soll. So können Sie den Geltungsbereich bspw. auf eine für Kunden bereitgestellte Lösung (z.B. Webanwendung und deren Datenverarbeitung) oder nur auf den Haupt-Firmenstandort beziehen. Eventuell problematische Bereiche, bei denen Sie wissen, dass dort in Zukunft noch einige Änderungen anstehen und eine mögliche Umsetzung von Sicherheitsmaßnahmen zur Erreichung der gesetzten Ziele nur mit viel Aufwand möglich wäre, können Sie so vorerst umgehen. Beispiel – Geltungsbereich ISMS Ein ISMS mit dem Ziel des Schutzes einer für Kunden bereitgestellten Webanwendung könnte als Geltungsbereich z.B. nur den Firmenstandort und die Server und Bürocomputer beinhalten, mit denen auch wirklich die Datenverarbeitung dieser Lösung stattfindet. Tipp – Keine Angriffsvektoren offenlassen Zur Erreichung einer flächendeckenden Informationssicherheit sollten Sie aber möglichst immer ein ISMS aufbauen, welches alle Teile des Unternehmens umfasst. Im Ernstfall kann eine kleine Lücke in einem Teil der Informationssicherheit einen Angriffsvektor bieten, der von Kriminellen ausgenutzt werden kann. Bezug zu Standards Auch sollten Sie überlegen, Ihr ISMS von vorn herein an einem anerkannten Standard auszurichten, beziehungsweise einen solchen zu berücksichtigen. Gerade wenn Sie eine Zertifizierung des ISMS anstreben, um damit eine positive Außendarstellung und einen Wettbewerbsvorteil zu erlangen, sollten Sie dies in Betracht ziehen, da anerkannte Prüfer dann das in den Standards geforderte Sicherheitsniveau in Form eines Audits bestätigen können. In Deutschland allgemein anerkannte Standards sind z.B. ISO 27001 oder der IT-Grundschutz des BSI. Eine kleine Übersicht über auch branchenspezifische Standards, die in Deutschland geläufig sind, finden Sie in Kapitel 3. Wie eingangs bereits erwähnt, bringen diese Standards wiederum so genannte Schutzziele mit, die in den Standards betrachtet werden: - Verfügbarkeit – Prozesse, Systeme und Daten sollten für die angemessene Aufgabenerfüllung zur Verfügung stehen. - Integrität – Auf die Richtigkeit und Unveränderlichkeit der Daten muss vertraut werden können. - Vertraulichkeit – Daten sollten nur denjenigen Personen zur Verfügung stehen, für die sie bestimmt sind. Die Schutzziele können Sie zusätzlich beliebig um eigene Ziele erweitern, auch wenn Sie sich explizit auf diese Standards bei der Erstellung Ihres ISMS beziehen. Level 2 - Verantwortlichkeiten und Dokumentation Um dem ISMS einen hohen Stellenwert zu vermitteln, muss die Geschäftsführung die Verantwortung für das ISMS übernehmen und dies ebenfalls in der Leitlinie festhalten. Die Geschäftsführung ist zudem aus Sicht des Gesetzgebers für die Informationssicherheit haftbar. Operativ kann die Umsetzung der Sicherheitsmaßnahmen und auch deren Definition zur Erreichung der gesetzten Ziele jedoch auch anderen Mitarbeitenden zugeordnet werden. In Deutschland wird oft die Rolle des Informationssicherheits-Beauftragten (ISB) verwendet, während im internationalen Kontext häufig der Chief Information Security Officer (CISO) ernannt wird. Er trägt somit die Verantwortung für die Umsetzung und Einhaltung der Informationssicherheit und sollte in Form einer Stabsstelle direkt der Geschäftsführung untergeordnet sein. In größeren Unternehmen sind neben dem ISB auch weitere Rollen in die Umsetzung der Informationssicherheit involviert. So kann auch ein Datenschutzbeauftragter ernannt werden (siehe Kapitel 4.13) oder es gibt verschiedene Abteilungsleiter, die in jeweils ihrer Abteilung die Einhaltung der geltenden Regelungen der Informationssicherheit überprüfen. In kleineren Unternehmen ist zudem die externe Vergabe der Beauftragtenpositionen verbreitet. So kann ein externer ISB als Dienstleister beauftragt werden. Sicherheitsstandards fordern hier auch oft eine Funktionstrennung (Seperation of Duties) zwischen kontrollierenden und administrativen Funktionen. Das heißt, dass die kontrollierende Rolle, die eine Sicherheitsmaßnahme wie z.B. die Installation von Anti-Viren Software definiert bzw. kontrolliert, nicht die Person ist, die diese Installation auch wirklich vornimmt. In diesem...
