Das Vertrauen bezüglich IT-Sicherheit und Datenschutz ist insbesondere in Deutschland nur in geringen Maße vorhanden. Die steigende Zahl der Vorfälle von “Datenklau”,Wirtschaftskriminalität und Missbrauch im Bereich Social Media lässt die Nachfrage nach geeigneten Security-Zertifizierungen steigen. Themen wie IT Compliance, RiskManagement und IT-Governance gewinnen in den Unternehmen immer mehr an Bedeutung. Darüber hinaus wurden in den letzten Jahren die gesetzlichen Vorgaben unddatenschutzrechtlichen Richtlinien wesentlich verschärft, deren strikte Einhaltung insbesondere auch im internationalen Wettbewerb gefordert wird. Adäquate Nachweise hierzu werdenvon immer mehr Kunden u.a. auch im Rahmen von öffentlichen Ausschreibungen als „must-have“ gefordert. Dies betrifft vor allem auch mittelständische Unternehmen, die insensiblen Branchen wie Versicherungen, Banken, Telekommunikation, Industrie und/oder HealthCare tätig sind und ihre IT-Services im Sinne des Outsourcing bzw. Cloud Computing anbieten.
Aber welche Normen und Standards sind international anerkannt und in der Praxis für KMUs umsetzbar und bezahlbar?
Hierzu hat sich in den letzten Jahren ein international anerkannter Standard für das Management von Informationssicherheit (ISMS), die ISO/IEC 27001:2005 als ganzheitlicherAnsatz entwickelt und etabliert. Dieser Standard umfasst neben IT-technischen Fragen auch Themen der Organisation, Mitarbeiter-Awareness, Risk-Management bis hin zum Gebäudeschutz. Damit bietetISO 27001 ein strukturiertes Management-Framework zum ganzheitlichen Schutz von Informationen.
Derzeit sind weltweit 7.940 Unternehmen gemäß ISO 27001 zertifiziert, mehr als die Hälfte davon in Japan 4.152 und erst an sechster Stelle Deutschland mit „nur“ 228 zertifiziertenUnternehmen. Dieses Ungleichgewicht ist sicherlich erstaunlich zeigt aber auch, dass in Deutschland hierzu ein erhöhter Nachholbedarf diesbezüglich besteht. Die Frage, „ob“dieser Standard im Unternehmen eingeführt wird hat sich vielfach schon geändert zu „wann“ dieser Standard eingeführt wird, da IT-Sicherheit mittlerweile in bestimmten Branchen auch alsWettbewerbsvorteil, als „USP“ gesehen und vermarktet wird.
Parallel hierzu bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Januar 2006 die ISO 27001-Zertifizierung auf der Basis vonIT-Grundschutz an. Wichtig ist dabei, dass die Anforderungen unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und gegebenenfalls einer ergänzenden Risikoanalyse(BSI-Standard 100-3) umgesetzt wurden. Diese Art der Zertifizierung findet schwerpunktmäßig Anwendung im nationalen Bereich für den öffentlichen Sektor und imHealthCare-Bereich. Der Trend zu einer Annäherung der BSI-27001 â“ Zertifizierung an den internationalen ISO 27001 Standard ist ersichtlich und wird sicherlich in den nächsten Jahren nochverstärkt werden.
Wir als IT-Service Provider aus dem Dokumenten- und Output-Management empfehlen aus unserer Sicht die Zertifizierung nach der internationalen Norm ISO/IEC 27001:2005. Durch die konsequenteBerücksichtigung von „Best Practise“ â“ Ansätzen bei der Definition, Implementierung und Nutzung des zentralen ISMS â“ Systems kann eine ISO 27001 -Zertifizierung in einemüberschaubaren Zeitraum kostengünstig und erfolgreich durchgeführt werden. Abhängig von der Organisation, Größe und Struktur eines Unternehmens, bereits bestehendenProzessdefinitionen/Zertifizierungen und des internen Know Hows gibt es eine Reihe von Best Practise-Ansätzen.
Projektierung – Best Practises
- Analyse und Bewertung der bestehenden Geschäftsprozesse auf Basis einer Business Impact Analyse (BIA) als Grundlage für die Definition der künftigenUnternehmens-Sicherheitsstrategie
- Erkennen der Risiken und Ermittlung des Handlungsbedarfs– Erarbeiten einer möglichst schlanken am Unternehmen ausgerichteten Risikoanalyse-Methodik als Basis für eineeffiziente Analyse und Bewertung von Risiken
- Klare Definition und Abgrenzung des ISO 27001-Untersuchungsgegenstands (Scope)
- Konsequente Ausrichtung bzw. Anlehnung der Geschäftsprozesse an den De-facto-Standard ITIL im Sinne eines generischen Modells mit einem pragmatischen Ansatz (man musstäglich damit arbeiten können) einer möglichst hohen Flexibilität in der Festlegung bzw. Änderung von Richtlinien und Arbeitsanweisungen
- Staffing â“ Bereitstellung eines kompetenten ISMS Projektteams für die effiziente Durchführung des Zertifizierungsprojektes; möglichst dafür frei gestelltesTeam mit bedarfsgerechter, externer Unterstützung
- Awareness & Communication – Enge und frühzeitige Einbindung aller Mitarbeiter und der Unternehmensführung in den gesamten Zertifizierungsprozess(durchgängiges Stakeholder Management)
- Costs – Reduzierung der Projektdauer, -kosten durch bedarfsorientierte, zielgerichtete Einbeziehung eines kompetentes ISMS-Beratungshaus bzw. Consultants (Intensitätabhängig von internen Know How und Anzahl/Qualität von bereits bestehenden IT-Sicherheitsprozessen)
- Service Desk – Definition , modulweise Umsetzung und konsequente Nutzung eines zentralen Service Desks (Incident Management, Change Management, Problem Management,Configuration Management, etc.)
- Continual Service Improvement (CSI) – wesentliche Grundlage für die kontinuierliche Anpassung, Verbesserung und ggf. auch Neuorientierung der unternehmensinternenGeschäftsprozesse
Zusammenfassend kann empfohlen werden das ISMSâ“System und â“Prozesse möglichst schlank und effizient aufzubauen, damit das System in der Praxis auch im Sinne des CSI gelebt undschrittweise optimiert werden kann. Der Nutzen und Anwendbarkeit des ISMS zeigt sich meist erst nach einer gewissen Anlaufphase und wird im Rahmen von jährlichen Überwachungs- bzw.Re-Zertifizierungsaudits (nach drei Jahren) durch die Zertifizierungsstelle geprüft. Letztendlich steht und fällt das Ganze durch die Akzeptanz und aktive Unterstützung derGeschäftsleitung und aller Mitarbeiter.
Zum Autor des Gastbeitrags:
Dipl. Inf. (FH) Peter Schindecker ist Geschäftsführer der Formware GmbH mit Sitz in Nußdorf am Inn und dort für denGeschäftsbereich Business Process Services verantwortlich. Formware ist einer der führenden Softwarehersteller und IT-as-a-Service -Provider für das Kundenkommunikationsmanagement imBereich des Dokumenten- und Outputmanagements .Herr Schindecker ist mittlerweile seit über 15 Jahren bei der Formware GmbH tätig und war u.a. für den Aufbau und die sukzessive Erweiterung des Leistungs- und Produktportfolios imBereich des Application und System Managements verantwortlich. Darüber hinaus war er für die Durchführung zahlreicher IT- und Consulting-Projekte, insbesondere im Bereich derTelekommunikation, Versicherungen, Energieversorger und Industrie zuständig. Der Schwerpunkt der letzten Jahre lag in der Konzeption, dem Aufbau und gesicherten Betrieb der eigenen, ISO 27001zertifizierten Rechenzentren. In diesem Rahmen beschäftigte er sich insbesondere auch mit innovativen Themen wie Cloud Computing unter Berücksichtigung von IT-Sicherheit-, Datenschutz- undIT Compliance Anforderungen. Eine erster Cloud Service „Care4Dialogue“ wurde zur CeBIT 2012 erfolgreich gelauncht.