Schaffen Sie Informationssicherheit!14 | 04 | 15
Ist die Realität tausendfach schrecklicher als in Orwells „1984“?
Das zumindest befürchtet der ehemalige Spiegel-Redakteur Hans-Wolfgang Sternsdorff, der 1983 die damalige Realität, vor allem in den sozialistischen Staaten des Ostblocks, mit den Überwachungsszenarien des berühmten Buches abgeglichen und 2014 eine Neubewertung vorgenommen hatte.
Tatsächlich kann niemand mehr Augen und Ohren vor der Dringlichkeit des Problems verschließen: NSA-Skandal, zahlreiche Hackerangriffe auf sensible Daten, unsicheres Telefonieren übers Internet … die Informationssicherheit ist längst zu einem Dauerbrenner in den Nachrichten avanciert.
In einem Punkt dürfte Sternsdorff vorerst recht behalten: Solange nicht entschieden ist, ob der Persönlichkeitsschutz über Anti-Terror-Maßnahmen steht, sind keine wirksamen Gegenmaßnahmen seitens der Regierung zu erwarten. Deshalb müssen sich Bürger und Unternehmen selbst um den Schutz ihrer Daten und Informationen kümmern.
Eine Balance zwischen Komfort und Informationssicherheit
Wenn ich mich mit dem Thema Informationssicherheit auseinandersetze, nehme ich zunächst systematisch die Risiken des Verlustes von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in den Blick. Im zweiten Schritt versuche ich, eine Balance zwischen Komfort in der alltäglichen Praxis und Informationssicherheit zu finden. Unternehmen empfehle ich für eine solche Vorgehensweise die internationale Norm ISO/IEC 27001, die mit ihren zielführenden Standards einen guten Leitfaden zur Umsetzung darstellt.
Die internationale Norm ISO/IEC 27001
Die internationale Norm ISO/IEC 27001 definiert die Anforderungen für Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems, das zertifiziert werden kann. Die zentrale Frage dabei lautet: Was kann getan werden, damit Informationen in einer für mein Unternehmen angemessenen Art und Weise geschützt werden können?
Jede Unternehmensleitung muss sich zunächst fragen, welche Rahmenbedingungen für das unternehmerische Handeln bezogen auf die Informationssicherheit vorliegen: Was erwarten diesbezüglich Versicherungen, Banken, Behörden, Kunden und Mitarbeiter? All diese unterschiedlichen Interessenlagen und deren Schnittstellen bilden die Ausgangssituation für die strategische Ausrichtung der Informationssicherheit. Hieraus muss das Unternehmen eine angemessene Vorgehensweise für den Prozess des Risikomanagements, dem zentralen Kernelement in der Umsetzung, entwickeln.
Vorteile eines Informationssicherheitsmanagementsystems
In der Praxis habe ich gelernt, dass der Aufbau eines Informationssicherheitsmanagementsystems oder dessen Integration in ein integriertes Managementsystem den Unternehmen viele Vorteile bietet: zunächst Rechtssicherheit und Haftungsreduzierung, darüber hinaus oft schon mittelfristig eine spürbare Kostenreduzierung, weil Sicherheitsereignisse beziehungsweise Datenschutzvorfälle vermieden werden. Nicht zuletzt möchte ich darauf hinweisen, dass auch die Transparenz für alle Beteiligten steigt, denn Regelungen und Schnittstellen für Prozesse sowie Verantwortungen und Zuständigkeiten sind klar definiert. So meine Erfahrung.
Bitte bedenken Sie: Eindeutige Vorgaben reduzieren für Ihre Mitarbeiter die Komplexität von Prozess- und Verfahrensbeschreibungen und senken damit das Risiko von Missverständnissen und Fehlinterpretationen in der täglichen Arbeit.