GUT in Berlin

GUT Unternehmens- und Umweltberatung GmbH

Heidelberger Str. 64a
12435 Berlin

Tel:  +49 (0)30 53339-0
Fax: +49 (0)30 53339-299
Email: info@gut.de

Aktuelle News

19.05.2017 Alter: 244 days
Kategorie: Datensicherheit, Datenschutz

Informationssicherheit

Ein dringender Appell für die systematische Bearbeitung dieses Themas in allen Unternehmen!


Im Folgenden möchte ich ein dringendes Plädoyer für die systematische und umfassende Beschäftigung mit dem Thema Informationssicherheit halten.

Leider erfahren wir häufig in den Medien, dass das Thema Informationssicherheit in vielen Unternehmen im Alltag immer noch nicht die gebotene Konsequenz erfährt. Sollten Sie Ihr Unternehmen auch nur bei einem der im folgenden genannten Punkte wiederfinden, so ist es für Sie dringend geboten, sich wirksam mit dem Thema Informationssicherheit auseinanderzusetzen.

  • Einbindung in eng getaktete Lieferketten,
  • Teil der Lieferkette von großen Unternehmen, die für ihre Lieferanten verpflichtend ein Informationssicherheitsmanagementsystem fordern,
  • Schutz streng vertraulicher Daten (Know-how und Finanzdaten) des eigenen Unternehmens, von Kunden und Lieferanten,
  • Unternehmen, die zu den sogenannten kritischen Infrastrukturen zählen,
  • Opfer krimineller Aktivitäten wie Erpressung und Diebstahl von Kontendaten,
  • Geschäftsmodelle, die stark auf IT basieren.

Darüber hinaus gilt es, die entsprechenden Anforderungen aus dem Bereich des Datenschutzes gleichfalls zu erfüllen. Letztendlich sind wir alle aufgefordert, uns wirksam mit diesem Thema zu beschäftigen.

Natürlich finden wir uns auch in der obigen Auflistung wieder, weshalb wir beschlossen haben, in der GUT ein Informationssicherheitsmanagementsystem zusätzlich zu unserem vorhandenen, extern zertifizierten Qualitätsmanagementsystem aufzubauen und einzuführen. Wir wollen dieses soweit vorantreiben, dass wir zum Ende des Sommers Compliance gemäß der ISO 27001 erklären können. Eine externe Zertifizierung streben wir nicht an. Natürlich könnten Sie jetzt sagen, dass das System für Sie damit nicht nachgewiesen ist. Daher bieten wir unseren Kunden an, bei uns entsprechende Lieferantenaudits durchzuführen. Wir erwarten davon einerseits höheres Vertrauen unserer Kunden hinsichtlich des Umgangs mit ihren wertvollen Informationen in der GUT und andererseits eine deutliche und kontinuierliche Verbesserung der Prozesse des sicheren Informationsaustausches mit unseren Kunden, was natürlich gegebenenfalls auch Maßnahmen auf Seiten der Kunden einschließen kann. Unser Ziel ist also nicht das Zertifikat an der Wand, sondern eine echte, nachvollziehbare und ständige Verbesserung des Themas Informationssicherheit in der GUT und des Informationsaustausches mit unseren Kunden und Lieferanten.

Die ISO/IEC 27001:2013 ist bereits gemäß der High Level Structure (HLS) aufgebaut. Im Gegensatz zur neuen Qualitätsmanagementnorm, wo das Thema Risiko zwar Eingang fand, es jedoch bei einer einfachen Risikobetrachtung bleibt, ist im Bereich Informationssicherheit ein echtes Risikomanagement zu implementieren, d. h., es sind Risiken zu identifizieren, zu bewerten und systematisch zu optimieren. Ferner gibt es in der Norm einen umfangreichen Anhang A, der gemäß der Risikoanalyse verbindlich anzuwenden ist. Dies stellt in der Regel eine weitere erhebliche Herausforderung dar.

Zur Identifikation und Bewertung von Risiken können dabei unterschiedliche Ansätze herangezogen werden. In der Vergangenheit spielte dabei insbesondere der Ansatz über die sogenannten Assets des Unternehmens die Hauptrolle. Wichtig ist hierbei,  unter den wertvollen Informationen die tatsächlichen "Kronjuwelen" sowie deren Schutzschwächen und Bedrohungen zu identifizieren, denn diese gilt es ganz besonders zu schützen. Bereits hier müssen wir uns darüber im Klaren sein, dass vollständiger Schutz all unserer Informationen zwar wünschenswert, aber praktisch allein aus Kostengründen nicht realisierbar sein dürfte. Im Rahmen der aktuellen ISO/IEC 27001 spielt aber der prozessorientierte Ansatz gleichfalls eine große Rolle, sodass Unternehmen deutlich bessere Möglichkeiten haben, das System in die tatsächlichen betrieblichen Abläufe bzw. andere Managementsys-teme organisch einzubinden.

Gemäß der Forderung, dass man nur das verbessern kann, was man auch messen kann, bedeutet dies, dass auch die Themen "Sicherheit " und "Risiken" messbar sein müssen. Hierfür gilt es, entsprechende Kennzahlen, Methoden und Instrumente zu entwickeln und wirksam anzuwenden. Aufgrund der extrem dynamischen Entwicklung insbesondere im Bereich von Cyberkriminalität ist das System ständig zu überprüfen und weiterzuentwickeln! Das bedeutet, auch hier kommt der kontinuierlichen Verbesserung gemäß PDCA-Zyklus eine entscheidende Bedeutung zu.

Dringend hinweisen möchten wir darauf, dass Informationssicherheit auf keinen Fall nur auf das Thema IT- Sicherheit beschränkt werden darf. Allein durch technische Maßnahmen der IT lässt sich kein angemessenes Sicherheitsniveau herstellen, sondern die Sektoren Ausbildung, Bewusstsein und das daraus resultierende tägliche Verhalten der Mitarbeiterinnen und Mitarbeiter spielen eine mindestens gleichrangige Rolle. Ferner stecken in vielen Unternehmen die wesentlichen Informationen in den Köpfen des Personals!

Im diesem Rahmen kann das Thema natürlich nicht umfassend erörtert werden. Damit Sie sich ein weitergehendes Bild machen können, bieten wir Ihnen am 30.06.2017 eine Informationsveranstaltung an, in der Sie auch Ihre Fragen stellen können. Natürlich müssen Sie nicht darauf warten, sondern können sich gern jederzeit mit Fragen zu diesem Thema an mich wenden.

Dr. Ralf Freise, GUT