Die Digitalisierung der Sicherheit

Die Digitalisierung überwindet Distanzen, Zeitzonen und verspricht eine permanente Verfügbarkeit von Diensten und Informationen. Dass diese Barrieren kleiner werden, ist fast immer gewünscht. Die Sicherheit von Daten oder Informationswerten kann nur gewährleistet sein, wenn Unternehmen sich dafür genauso Ziele setzen, wie für Umsatz und Produktqualität. Cyber Security ist kein IT-Thema, sondern Chef-Sache.

Unter dem Begriff Cyber Security können sich viele wichtige Themengebiete zusammenfassen lassen.

Vorrangig geht es darum, wie Unternehmen ihre virtuellen Unternehmenswerte effektiv managen können, sodass sie sowohl geschützt, verlässlich und verfügbar sind. Hier besteht genau die Herausforderung, denn es geht darum eine pragmatische Balance zu finden, die Informationswerte ihrem Wert und Sicherheitsrisiko gemäß zu schützen.

Im Zuge der zunehmenden Digitalisierung werden vor allem direkte wirtschaftliche Effekte diskutiert. Wie können neue Geschäftsfelder erschlossen werden und wie bestehende gegen neue digitale Wettbewerber verteidigt werden? Bei aller Euphorie und kreativer Kraft gerät ein Thema scheinbar ins Hintertreffen, das Unternehmen auf Ihrem Weg der digitalen Transformation Probleme bereiten kann. Es geht um das Thema Informations- bzw. Datensicherheit oder besser um den begleitenden Aufbau eines Systems zum Management aller Sicherheitsaspekte. Ein solches System wird Informationssicherheitsmanagementsystem genannt, kurz ISMS. Bereits heute ist der Aufbau und die Anwendung eines solchen Systems für systemkritische Infrastruktur wie Gas- und Stromversorger gesetzlich vorgeschrieben. Es ist anzunehmen, dass die gesetzlichen Vorgaben sich schrittweise auf weitere Branchen ausweiten werden. Die ist auch deshalb sinnvoll, weil ein zweites wichtiges Thema direkt von der Informationssicherheit betroffen ist, nämlich der Datenschutz.

Die neue EU-weit gültige Datenschutzgrundverordung (DSGVO) ist bereits seit dem 25.5.2016 in Kraft und wird nach einer zweijährigen Übergangszeit am 25.5.2018 geltendes Recht in der gesamten Europäischen Union. Sie ersetzt damit bisherige nationale Gesetzte. Die damit einhergehenden höheren Anforderungen zum Schutz insbesondere von personenbezogenen Daten, können sinnvollerweise nur mit einem unternehmensweiten Managementsystem sichergestellt werden. Und deshalb gehören die Themen Datenschutz und Informationssicherheit untrennbar zusammen.

In der heutigen Praxis begrenzt sich der informationsrechtliche Aspekt bei Digitalprojekten darauf, dass vor Go-Live in der Regel Juristen mit Expertise im Internetrecht prüfen, ob alle gesetztliche Vorgaben erfüllt sind. Der IT wird unterstellt, dass alle Daten ausreichend geschützt werden. Da die meisten Schäden in der Informationssicherheit nicht durch Hacker entstehen, sondern durch sogenanntes Social Engineering, bei dem die Mitarbeiter des Unternehmens getäuscht und manipuliert werden. Auch die unbeabsichtigte Veränderung von Informationen oder Daten durch Mitarbeiter kann große Schäden verursachen. Deshalb handelt es sich um eine übergeordnete Managementaufgabe, Informationssicherheit im Unternehmen zu etablieren und kontinuierlich weiterzuentwickeln.

Informationssicherheit hat bereits heute eine große Relevanz für Unternehmen, da ein großer Teil der Wertschöpfung nur mittels digitaler Prozesse möglich ist. Unternehmens Know-how, Kundendaten und die Arbeitsinstrumente vieler Mitarbeiter bilden eine große Menge an Daten, die es zu managen gilt.

So wie das Management es nicht dem Marketing überlässt seinen Job schon irgendwie zu machen, sondern mittels KPI Marketing Ziele aufstellt und deren Erreichung kontrolliert, sollte dies auch für die digitale Welt der Daten gelten. Und genau hierzu ist ein Management System zur Datensicherheit erforderlich bzw. hilfreich.

DIN ISO/IEC 27001

Diese Norm beschreibt einen international anerkannten Standard, wie ein ISMS aufzubauen und zu betreiben ist.
Konkret kann ich Sie über drei die Phasen eines ISMS begleiten und unterstützen:

  1. Initiales Audit mit GAP-Analyse
  2. Interne Audits
  3. Zertifizierungsaudit

Die wichtigsten Ziele der Informationssicherheit sind:

Dieser Aspekt beschreibt, dass nur diejenigen auf Daten zugreifen sollen, die hierzu explizit berechtigt sind.

Integrität beschreibt die Qualität der Daten selber, also z. B. dass Daten nicht durch technische Defizite beschädigt oder durch unsachgemäßen Umgang unbeabsichtigt manipuliert werden können.

Aufgrund der großen Bedeutung von Daten für unsere heutige Wirtschaft ist auch deren Zugänglichkeit von großer Bedeutung. Hier geht es also darum das Daten gefunden werden können und dies auch mit der notwendigen Geschwindigkeit passiert. Die Bedeutung dieses Aspekts nimmt im gleichen Maße zu, wie die Menge an Daten rasant anwächst. Ab einer gewissen Menge an Daten ist manuelles Durchforsten nicht mehr möglich.

Damit zahlt jede Verbesserung des Informationssicherheit auch auf eine Verbesserung des Datenschutzes ein.