Seite wählen

Was ist ein Information Security Management System (ISMS)?

Ein Information Security Management System (ISMS) legt Regeln und Verfahren fest, mit denen sich die Informationssicherheit in einem Unternehmen sicherstellen, steuern, kontrollieren und kontinuierlich verbessern lässt.

Lesezeit: .


01

ISMS: eine Definition

Ein Informationssicherheitsmanagementsystem definiert Regeln, Methoden, Prozesse und Tools, um die Informationssicherheit in Unternehmen und Behörden dauerhaft zu gewährleisten. Das schließt die Einführung konkreter Vorgehensweisen sowie die Durchführung organisatorischer und technischer Maßnahmen ein, die fortlaufend kontrolliert, überwacht und optimiert werden müssen.

Ziel ist es, über die IT-Abteilung hinaus für ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb der gesamten Organisation beziehungsweise des festgelegten Geltungsbereichs zu sorgen. Das ISMS bildet somit die Grundlage für eine systematische Umsetzung von Informationssicherheit innerhalb eines Unternehmens und für die Einhaltung von Sicherheitsstandards. Mögliche Risiken hinsichtlich der Informationssicherheit werden identifiziert, analysiert sowie minimiert und dadurch beherrschbar.

02

Was ist Informationssicherheit?

Der Begriff Informationssicherheit wird häufig synonym zu IT-Sicherheit gebraucht, geht aber streng genommen darüber hinaus. Informationssicherheit umfasst alles, was die Informationswerte eines Unternehmens vor Bedrohungen (z.B. Cyberangriffen, Sabotage, Spionage und Elementarschäden) und daraus resultierenden wirtschaftlichen oder Reputationsschäden schützt. Gesetzliche Regelungen wie das IT-Sicherheitsgesetz (IT-SiG) oder die Datenschutz-Grundverordnung (DSGVO) fordern angemessene Schutzmaßnahmen für sensible Informationen, die etwa in elektronischer, geschriebener oder gedruckter Form vorliegen können.

03

Worin unterscheiden sich Informations- und IT-Sicherheit?

Anders als IT-Sicherheit bezieht sich Informationssicherheit nicht nur auf die Sicherheit eingesetzter Technologie, sondern auch auf organisatorische Belange wie Zugangsberechtigungen und Verantwortlichkeiten. Entsprechend fällt die Informationssicherheit nicht allein in die Zuständigkeit der IT-Abteilung, sondern muss von der Geschäftsleitung ausgehend in allen Unternehmensbereichen umgesetzt werden.

04

Was sind Schutzziele der Informationssicherheit?

Die Schutzziele der Informationssicherheit umfassen nach der internationalen Standardfamilie ISO 27000 drei Hauptaspekte:

  • Vertraulichkeit: Vertrauliche Informationen dürfen nur von autorisierten Personen eingesehen und offengelegt werden. Der Zugang zu diesen Informationen muss also entsprechend abgesichert sein. Die Vertraulichkeit ist verletzt, wenn ein Angreifer beispielsweise eine Kommunikation abhören kann.
  • Integrität: Informationen müssen vor unerkannter Manipulation geschützt sein, um ihre Richtigkeit und Vollständigkeit zu wahren. Die Integrität ist verletzt, wenn ein Angreifer etwa Forschungsdaten unbemerkt verändern kann.
  • Verfügbarkeit: Informationen, Dienste oder Ressourcen müssen für legitime User jederzeit verfügbar und nutzbar sein. Die Verfügbarkeit kann zum Beispiel durch einen DDoS-Angriff gestört werden, der Systeme gezielt überlastet.

Weitere Aspekte sind Authentizität, Zurechenbarkeit, Verbindlichkeit und Verlässlichkeit. Anhand der Erfüllung dieser Schutzziele lässt sich der erreichte Grad der Informationssicherheit erkennen.

05

Wer ist für Informationssicherheit im Unternehmen verantwortlich?

Um Informationssicherheit in jeglichen Unternehmensbereichen zu gewährleisten, müssen klare Verantwortlichkeiten definiert und alle notwendigen Ressourcen (Geld, Personal, Zeit) bereitgestellt werden. Dafür ist die oberste Leitungsebene im Unternehmen zuständig. Sie trägt die Gesamtverantwortung für die Informationssicherheit und ein angemessenes ISMS.

Einem Top-Down-Ansatz folgend obliegt es der Unternehmensleitung, den Sicherheitsprozess zu initiieren, eine Organisationsstruktur aufzubauen, Sicherheitsziele und Rahmenbedingungen festzulegen sowie Leitlinien zur Durchsetzung der Informationssicherheit aufzustellen. Deren detaillierte Ausgestaltung und Umsetzung als ISMS kann sie an Führungskräfte und Mitarbeiter übertragen.

Ein vom obersten Management zu benennender Informationssicherheitsbeauftragter fungiert als Ansprechpartner für sämtliche Fragen rund um die Informationssicherheit. Er muss in den ISMS-Prozess integriert sein und eng mit den IT-Verantwortlichen zusammenarbeiten, etwa bei der Auswahl neuer IT-Komponenten oder -Anwendungen.

06

Welche Vorteile bietet ein ISMS?

Mit einem ISMS lässt sich Informationssicherheit systematisch im gesamten Unternehmen umsetzen und sicherstellen, dass alle erforderlichen Sicherheitsstandards eingehalten werden. Dieser ganzheitliche, präventive Ansatz bietet einige Vorteile:

Schutz sensibler Informationen:
Ein ISMS gewährleistet, dass eigene Informationswerte (z.B. geistiges Eigentum, Personal- oder Finanzdaten) sowie von Kunden oder Dritten anvertraute Daten angemessen vor jeglichen Bedrohungen geschützt sind.
Aufrechterhaltung der Geschäftskontinuität:
Indem Firmen Informationssicherheit mittels eines ISMS zum integralen Bestandteil ihrer Unternehmensprozesse machen, können sie ihr Sicherheitsniveau fortlaufend steigern und Informationssicherheitsrisiken minimieren. So wirken sie der Gefahr entgegen, dass Sicherheitsvorfälle die Business Continuity stören.
Erfüllung von Compliance-Anforderungen:
Insbesondere in hochregulierten Bereichen wie Finance oder kritische Infrastrukturen (KRITIS) gelten strenge Compliance-Vorgaben. Bei Verstößen gegen gesetzliche Regelungen und vertragliche Vereinbarungen drohen empfindliche Strafen. Mit einem ISMS stellen Unternehmen sicher, dass sie alle regulativen sowie vertraglichen Anforderungen erfüllen, was ihnen zugleich mehr Handlungs- und Rechtssicherheit beschert.
Nachweisbarkeit der Informationssicherheit:
Durch eine Zertifizierung ihres ISMS können Unternehmen einen sicheren Umgang mit sensiblen Informationen gegenüber Dritten nachweisen. Das trägt zu einer besseren Außenwirkung und zur Vertrauensbildung bei, was wiederum einen Wettbewerbsvorteil bedeutet.
Verbesserte Wirtschaftlichkeit und Kostenreduzierung:
Die strukturierte Koordination und risikoorientierte Maßnahmenplanung in einem ISMS hilft, Prioritäten zu setzen, Ressourcen effizient zu nutzen und an den richtigen Stellen zu investieren. Nach anfänglichem Mehraufwand lassen sich die Kosten somit langfristig senken.
07

Kann ein ISMS ein Datenschutz-Managementsystem ersetzen?

Ein ISMS hilft zwar generell, zu schützende Informationen abzusichern, erfüllt jedoch nicht zwingend auch Datenschutzanforderungen hinsichtlich der sicheren Verarbeitung personenbezogener Daten. Denn innerhalb eines ISMS werden alle schützenswerten Informationen grundsätzlich gleich behandelt. Ein ISMS ersetzt also kein Datenschutzmanagementsystem (DSMS). Idealerweise setzt ein DSMS aber auf einem ISMS auf und erweitert es technisch sowie organisatorisch gemäß datenschutzrechtlicher Vorgaben (Artikel 25 und Artikel 32 DSGVO). Hier empfiehlt sich eine enge Zusammenarbeit zwischen Informationssicherheitsbeauftragten und Datenschutzbeauftragten.

08

Was sind zentrale Schritte zur Umsetzung eines ISMS?

Die effiziente und effektive Umsetzung eines ISMS ist ein sehr komplexer Prozess. Folgende Schritte sollten dabei beachtet werden:

Leistungsumfang festlegen:

Zunächst gilt es zu klären, was das ISMS überhaupt leisten soll. Dazu muss die Unternehmensführung Anwendungsbereiche, Zielvorgaben und Grenzen des ISMS klar definieren.

Assets ermitteln:

Welche Werte (Assets) sollen durch das ISMS geschützt werden? Das können Informationen, Software, Services und physische Vermögenswerte wie Computer sein, aber auch Qualifikationen, Fähigkeiten und Erfahrungen von Mitarbeitern sowie andere immaterielle Werte wie Reputation und Ansehen. Hier geht es vor allem darum, geschäftskritische Assets zu ermitteln, von denen das Überleben des Unternehmens abhängt.

Risiken ermitteln und bewerten:

Für jedes schützenswerte Asset müssen mögliche Risiken identifiziert und anhand gesetzlicher Anforderungen oder Compliance-Richtlinien eingeordnet werden. Unternehmen sollten sich beispielsweise fragen, welche Auswirkungen durch die einzelnen Risiken entstehen, wenn Vertraulichkeit, Integrität und Verfügbarkeit verletzt werden, oder wie die Eintrittswahrscheinlichkeiten der Risiken sind. So gelangen sie am Ende zu einer Einschätzung, welche Risiken – etwa aufgrund der zu erwartenden Schadenshöhe – vertretbar sind und welche unbedingt adressiert werden müssen.

Maßnahmen festlegen:

Auf Grundlage der vorherigen Risikobewertung sind anschließend geeignete technische und organisatorische Maßnahmen zur Risikominderung bzw. -vermeidung auszuwählen und umzusetzen. Dazu gehört auch, klare Zuständigkeiten und Verantwortlichkeiten zu definieren.

Wirksamkeit prüfen:

Die beschlossenen und umgesetzten Maßnahmen müssen durchgängig überwacht und regelmäßig auf ihre Wirksamkeit hin überprüft werden, beispielsweise durch Audits.

Verbesserungen vornehmen:

Hat die Überprüfung der eingeführten Maßnahmen Mängel ergeben oder wurden neue Risiken erkannt, muss der ISMS-Prozess erneut von Beginn an durchlaufen werden. So lässt sich das ISMS kontinuierlich an geänderte Rahmenbedingungen oder Anforderungen anpassen und damit die Informationssicherheit im Unternehmen fortlaufend verbessern.

09

Woran können sich Unternehmen beim Aufbau eines ISMS orientieren?

Bei der Ausgestaltung eines ISMS und der Einführung aller notwendigen Sicherheitsmaßnahmen helfen etablierte Standards wie die ISO-27000-Familie oder der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz. Ein nach diesen Standards betriebenes ISMS ermöglicht es, potenzielle Risiken frühzeitig zu erkennen und mittels darauf zugeschnittener Gegenmaßnahmen zu minimieren. Auf diese Weise können Unternehmen die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen sicherstellen.

Beide Standards betrachten Informationssicherheit als Prozess, der kontinuierlich angepasst werden muss, etwa an geänderte interne Abläufe, veränderte gesetzliche Rahmenbedingungen, neue Technologien oder bislang unbekannte Gefährdungen. Daher empfiehlt sich ein PDCA-Zyklus (oder Deming-Kreislauf), bestehend aus den Phasen Plan (Planen von Sicherheitsmaßnahmen), Do (Umsetzen der Maßnahmen), Check (Erfolgskontrolle durch durchgängige Überwachung) und Act (kontinuierliche Verbesserung).

In der Regel haben Unternehmen die Wahl, ob sie ihr ISMS nach der internationalen Norm ISO/IEC 27001 oder der „deutschen“ Variante ISO 27001 auf Basis von IT-Grundschutz umsetzen und gegebenenfalls zertifizieren. Mehr zu den Gemeinsamkeiten und Unterschieden von ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz erfahren Sie hier. Kleinere und mittelständische Unternehmen (KMU) sowie Kommunen können sich beim Aufbau eines ISMS auch an dem Standard ISIS12 orientieren, der einen konkreten Zwölf-Schritte-Plan und klare Umsetzungshinweise umfasst.

10

Das ISMS von Myra ist nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert

Myra Security hat alle vom BSI definierten Schutzmaßnahmen gegen typische Gefährdungen der Unternehmens-IT erfolgreich umgesetzt. Das Zertifikat (Nummer: BSI-IGZ-0338-2018) bestätigt, dass das Informationssicherheitsmanagementsystem von Myra die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen durch geeignete technische und organisatorische Maßnahmen sicherstellt. Damit ist Myra eines von nur rund 120 Unternehmen weltweit (Stand: Februar 2021), welche die strengen Anforderungen der ISO 27001 auf Basis von IT-Grundschutz erfüllen.