Eine Kurzbeschreibung, worum es in der Informationssicherheit geht.
Philipp Schöttner, ISB
Informationssicherheit: Sicherstellung der Verfügbarkeit, Integrität und der Vertraulichkeit aller Informationen einer Organisation.
Die Informationssicherheit wird zunehmend wichtig.
Was ist Informationssicherheit?
Die Informationssicherheit ist der große Bruder des Datenschutzes. Letztlich ist die Informationssicherheit die Sicherstellung der Vertraulichkeit, der Integrität und der Verfügbarkeit aller Informationen in Organisationen. Dies beinhaltet also auch die personenbezogenen Daten Ihrer Beschäftigten und beispielsweise auch operativ notwendige Daten Ihrer Organisation. Das können je nach Art Ihrer Organisation zum Beispiel Anträge, Formulare, Bescheide und vieles mehr sein.
Wer kontrolliert die Informationssicherheit?
Die Informationssicherheit ist normativ (gesetzlich) anders geregelt als der Schwerpunktbereich Datenschutz. Im Datenschutz kümmern sich vor allem die Aufsichtsbehörden um die Einhaltung des Schutzes personenbezogener Daten. In Bezug auf die Informationssicherheit gilt das BSI (Bundesamt für Sicherheit in der Informationstechnik) als mögliche Kontroll- & Warn- und vor allem Hilfsinstanz.
Wichtig ist die Umsetzung der Informationssicherheit auch für Umsetzung diverser Prüfstandards und Normen (ISO 9001, ISO 27001, IDW PS 330 etc.).
Sanktionen wegen Ordnungswidrigkeiten bzw. Pflichtverletzungen haben KRITIS-Betreiber (Betreiber kritischer Infrastrukturen) zu erwarten. Dies ist im BSIG geregelt.
Muss ich die Informationssicherheit umsetzen?
Die Informationssicherheit ist einzuhalten, wenn man KRITIS-Betreiber ist. Ist man kein KRITIS-Betreiber, ist es dennoch sehr hilfreich, ein System für die Informationssicherheit (ISMS) einzuführen und weiterzuentwickeln. Die Sicherheit, also die Herstellung und die Aufrechterhaltung der Informationssicherheits-Schutzziele, ist genau dann von Wert, wenn man viele Informationen innerhalb der Organisation verarbeitet, die auch für unberechtigte Dritte zu einem hohen Gut werden können.
Was ist ein Informationssicherheitsbeauftragter?
Informationssicherheitsbeauftragte sind qualifizierte Personen, die mit der Einrichtung, der Pflege und der Aufrechterhaltung eines Informationssicherheitsmanagement-Systems betraut sind. Informationssicherheitsbeauftragte sind direkt der Organisationsleitung unterstellt. Für alle Mitarbeiter und berechtigten Interessengruppen fungieren Informationssicherheitsbeauftragte als zentrale Ansprechpersonen. Die Managementebene, also die Hauptamtsleitung oder beispielsweise die Sachgebietsleiter, tragen dennoch die Verantwortung für die Informationssicherheit.
Wer kann mein Informationssicherheitsbeauftragter sein?
Grundsätzlich alle Personen, die ein gesteigertes Interesse und Kenntnisse in der IT-Sicherheit haben. Es sollten Zertifikatslehrgänge und regelmäßig Schulungen in den Bereichen IT-Sicherheit und Sicherheitsnormen (z. B. nach DIN-EN-ISO 27001) besucht werden.
Was muss ich beachten?
Normen: Die Einführung eines Informationssicherheitsbeauftragten geht üblicherweise einher mit dem Wunsch nach der Einführung der Informationssicherheit. Manchmal geschieht dies auch durch den Druck von außen.
Kommt die initiale Idee nach der Einführung eines Prüfstandards in Ihrer Organisation von Ihnen, dann setzen Sie sich auseinander mit den verschiedenen Standards. Ihr Informationssicherheitsbeauftragter kann Sie diesbezüglich beraten. Es gibt viele Standards. Smarte Lösung: Wenn Sie einen Standard umsetzen wollen, gehen Sie Schritt für Schritt vor. Suchen Sie beispielsweise nicht nach der umfangreichsten, sondern nach der für Sie passenden Norm.
Ressourcen: Zur Bewältigung der Tätigkeiten rund um die Informationssicherheit müssen Ressourcen zur Verfügung gestellt werden. Dies können Zeit, Personal aber auch Ressourcen für die Umsetzung technischer Maßnahmen sein.
Weisungen: Es muss beachtet werden, dass Informationssicherheitsbeauftragte keine Weisungen annehmen sollten. Es gilt stets die Weisungsfreiheit. Dies hängt mit der Vermeidung von Interessenkonflikten zusammen.
Beratung: Informationssicherheitsbeauftragte sind Berater. Die Hauptarbeit liegt bedingt durch Normen häufig bei der Organisation selbst. Informationssicherheitsbeauftragte können jedoch auch viele Dokumentationen vorbereiten und ausrollen. Dies kann so umgesetzt werden, wenn die verantwortliche Stelle die Dokumentationen und Vorgaben bestätigt und freigegeben hat. Zur Beratung kann also auch eine operative Komponente mit hinzukommen.
Schulung: Beschäftigte Personen müssen geschult und sensibilisiert werden. Es gilt zu beachten, dass dies nicht nur einmal passieren sollte.
Verantwortung: Die Verantwortung im Zusammenhang mit der Informationssicherheit trägt stets die verantwortliche Stelle. Durch die Beauftragung eines Informationssicherheitsbeauftragten entsteht also keine Haftungsübernahme durch den Informationssicherheitsbeauftragten.
Einstellung & Zeit: Die Einführung eines Informationssicherheitsmanagement-Systems, verlangt der verantwortlichen Stelle den Willen zur Auseinandersetzung mit riskanten Verfahren oder Techniken ab. Die innere Einstellung zur Informationssicherheit sollte angemessen sein. Was auch mitgebracht werden muss, ist Zeit. Als ihr Informationssicherheitsbeauftragter kann ich viel operativ selbst tun. Kontrollieren müssen Sie dennoch.
Wie bringe ich die Informationssicherheit voran? Womit starte ich?
Aller Anfang ist leicht. Beauftragen Sie eine Person mit der Einführung eines Informationssicherheitsmanagement-Systems (ISMS) in Ihrer Organisation. Dies kann ich sein. Ich unterliege als externer Informationssicherheitsbeauftragter keiner Kündigungsfrist. Es gibt bei mir keine langen Einarbeitungszeiten und ich bin Profi in dem Bereich.