Informationssicherheitsbeauftragter
300 Millionen Dollar – diesen Betrag schätzt die Unternehmensgruppe A.P. Møller-Mærsk hat der Angriff im Juni 2017 mit einer Erpressersoftware den Reederei-Konzern gekostet. Weltweit hatten Angreifer die größte Container-Reederei der Welt zeitweise lahmgelegt. Wichtige Daten ließen sich nur wiederherstellen, weil ein einziges Back-up in Ghana damals zufällig durch einen Stromausfall vom Netz getrennt war und daher nicht überschrieben wurde.1, 2 Was ist Informationssicherheit überhaupt und brauchen Organisationen das?
Informationssicherheit im Unternehmen darf kein optionales Feature sein, sondern ist ab sofort Chefsache!
Wenn es um Aufbau und Einführung eines Informationssicherheitsmanagementsystems (ISMS), den Maßnahmen zur Informationssicherheit oder die Vorbereitung auf ein externes Informationssicherheitsaudit geht, macht die Unterstützung durch echte Experten den Unterschied. Der Standard ist dabei schwer ohne Unterstützung umzusetzen, egal ob VdS 10000, ISO 27001, TISAX oder BSI IT-Grundschutz. Die Anforderungen sind oft so abstrakt, dass Unternehmen Schwierigkeiten haben, sie richtig anzuwenden.
Wir stellen für Ihr Unternehmen den externen Informationssicherheitsbeauftragten; zu unseren Aufgaben zählen beispielsweise:
- den Sicherheitsprozess zu steuern und zu koordinieren,
- die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
- die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
- Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
- der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
- sicherheitsrelevante Projekte zu koordinieren,
- sicherheitsrelevante Vorfälle zu untersuchen sowie
- Sensibilisierung und Schulungen zu initiieren und zu koordinieren.
Als externer Informationssicherheitsbeauftragter führen wir Ihre Organisation zur erfolgreichen Zertifizierung nach ISO 27001, IT-Grundschutz, VdS 10000 oder TISAX® (siehe Abschnitt Standards). Gemeinsam mit Ihrer IT-Leitung und der Geschäftsführung errichten wir ein Informationssicherheitsmanagementsystem (ISMS). Damit optimieren wir die organisationsinternen Prozesse um technische, organisatorische sowie juristische Maßnahmen der Informations- und IT-Sicherheit und schützen das, was Ihnen am wichtigsten ist.
Dem externen Informationssicherheitsbeauftragten (ISB) obliegen dabei die technische und organisatorische Kontrolle. Hierzu zählen insbesondere auch Schulungen der Mitarbeiter, Beratung der Geschäftsführung und die Durchführung interner Audits.
Externer Informationssicherheitsbeauftragter und Datenschutzbeauftragter in einer Person… geht das?
Gelegentlich ist es unerlässlich, dass der externe Informationssicherheitsbeauftragter und externe Datenschutzbeauftragte durch ein und diesselbe Person ausgefüllt werden. Ein Datenschutzbeauftragter kann und darf nach Art. 38 Abs. 6 Satz 1 DSGVO „andere Aufgaben und Pflichten“ (z.B. als externer Informationssicherheitsbeauftragter) wahrnehmen, doch es muss gleichzeitig sichergestellt sein, dass „derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen,“ so Art. 28 Abs. 6 Satz 2 DSGVO. Der Datenschutzbeauftragte hat eine Kontrollfunktion und darf daher nicht in die Situation kommen, dass er sich selbst kontrollieren muss.
Doch genau dieser Interessenkonflikt entsteht, wenn der externe Informationssicherheitsbeauftragte und Datenschutzbeauftragte in Personalunion auftreten. Daher ist auch bei der Bestellung des externen Informationssicherheitsbeauftragten, wenn dieser zugleich als Datenschutzbeauftragter ist, darauf zu achten, dass die Kontrollfunktionen durch Dritte, sei des durch einen externen Auditor oder intern durch die interne Revision oder den QM-B ausgeführt werden.
Externer Informationssicherheitsbeauftragter: Voraussetzungen
Voraussetzung ist, dass der externe Informationssicherheitsbeauftragte (wie auch ein interner) über alle erforderlichen Fachkenntnisse verfügt und diese zuverlässig anwenden kann. Für die Erfüllung der kommmunikativen Aufgaben ist außerdem eine Sozial-, Führungs- und unternehmerische Kompetenz notwendig.
Was sind Schutzziele der Informationssicherheit?
Die Schutzziele kann man sich gut merken: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Es gibt noch weitere IT-Schutzziele wie Authentizität, Verlässlichkeit und Nichtabstreitbarkeit. Dieser sogenannten CIA-Triade kommt im Informationssicherheitsmanagement aber stets ein hoher Stellenwert zu. Auch im Datenschutzmanagement finden sich diese Schutzziele wieder, können aber andere Ziele verfolgen.
Standards, Standards, Standards
Es gibt zahlreiche nationale und internationale Standards. Die Entscheidung für oder gegen einen Standard ist eine strategische Unternehmensentscheidung, die von vielen Faktoren abhängig ist, wie z.B. internationales Geschäft, bestimmte Branchen oder Sektoren, KRITIS, Unternehmensgröße. Relevante Standards sind beispielsweise
- ISO 27001 auf Basis BSI IT-Grundschutz als nationaler Standard insbesondere für KRITIS.
- ISO 27001 als internationaler Standard für ISMS.
- TISAX® ist ein Akroym für Trusted Information Security Assessment und ist ein spezieller Standard für die Autobilindustire. Jeder Zulieferer wird ein sog. TISAX®-Label nachweisen müssen, will das Unternehmen weiter dem Automobilhersteller zuliefern.
- VdS 10000 ist als Nachfolger von VdS 3473 speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein gutes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern.
- VdS 10005 ist ein speziell für Klein- und Kleinstunternehmen und Handwerksbetriebe zugeschnittener reduzierter Standard.
- Spezielle Branchenstandards wie z.B. PCI DSS, MaRisk, VAIT, BAIT, KAIT für die Finanzindustrie
- NIST CSF (Cyber Security Framework) bietet eine umfassende Taxonomie von Zielen der Cybersicherheit und eine Methodik zur Bewertung und Verwaltung dieser Ziele“. Sie soll Organisationen des privaten Sektors, die kritische Infrastrukturen bereitstellen, als Leitfaden für deren Schutz dienen, zusammen mit den entsprechenden Datenschutzmaßnahmen..
- NAS9933: Die Luft- und Raumfahrt- sowie die Verteidigungsindustrie sind bestrebt, Cyber-Bedrohungen stets einen Schritt voraus zu sein und die Widerstandsfähigkeit im komplexen Cyber-Sicherheitssystem. Es braucht dynamische, risikobasierte Lösungen zur Bewältigung von Cyber-Bedrohungen. Die statische Einhaltung von „Checklisten“, wie sonst üblich in der Luft- und Raumfahrt, reicht nicht aus.
Informationssicherheit und Datenschutz
Was unterscheidet Datenschutz von Informationssicherheit und was ist das genau? Häufig werden die beiden Begriffe synonym verwendet, oft durcheinander gebracht und verwechselt. Den Datenschutz aber von der IT-Sicherheit zu unterscheiden, ist in der Praxis schwierig.
Datenschutz an sich ist aber eine strenge gesetzliche Anforderung. Jeder Unternehmer, jedes Unternehmen muss diese Anforderungen umsetzen und korrekt anwenden. Dabei geht es um den Schutz von „personenbezogenen Daten“, also alle Daten und Informationen, die einen eindeutigen Rückschluss auf eine konkret bestimmbare Person erlauben. Das ist bei Kunden-, Mandanten- oder Patientendaten so, wobei letztere strenger geschützt werden müssen.
Informationssicherheit hingegen liegt im eigenen Interesse des Unternehmens. So werden Lieferanten häufig von Key Accounts aufgefordert, ein Zertifikat nach ISO 27001, VdS 10000 oder IT-Grundschutz nachzuweisen. Oder Versicherer fordern dies bei Abschluss einer Cyber-Risk-Versicherung. Sie soll gewährleisten, dass unternehmensinterne Informationen jederzeit vertraulich, integer und verfügbar sind.
Manchmal kommt es zu einem Interessenkonflikt zwischen Datenschutz und Cyber-Sicherheit, z.B. bei der Protokollierung von Zugangsdaten. Hier können Experten wie firstbyte digital consulting e.K. aber gute Lösungen etablieren.
Übersicht Cyber-Angriffe
2015 Angriff auf deutschen Bundestag
2016 Router der Deutschen Telekom
2017 Reederei A.P. Møller-Mærsk
2018 Krauss-Maffei GmbH, München
2019 Kammergericht (= OLG) Berlin
2019 Klinikum Fürth
2019 DRK Südwest
2020 Uniklinik Düsseldorf
2021 Coronavirus
2022 Wuppertaler Schwebebahn
2022 Sixt Autovermietung
2022 Nordex SE
2022 Bundesministerium der Verteidigung, mehrere Polizeibehörden und den Deutschen Bundestag
2022 Bauking-Gruppe
2022 79 Industrie- und Handelskammern bundesweit
Schäden durch Cyber-Angriffe
Der Heise-Verlag (c’t) wurde von Emotet befallen. Zwar wurde der Angriff rechtzeitig bemerkt, dennoch war der Schaden immens: 14 Tage keine nutzbare IT-Infrastruktur, 50.000 Euro für externe Hilfen, 500.000 Euro Investitionen in die Ertüchtigung der IT-Sicherheit (technisch und organisatorisch).
Das Kammergericht Berlin war lange Zeit nur noch auf analogem Wege zu erreichen: die gesamte IT-Infrastruktur musste ersetzt werden. Unter Umständen können zudem noch Meldepflichten nach Art. 33 und Art. 34 DSGVO ausgelöst werden – und zwar binnen 72 Stunden ab bekannt werden.
Versicherer bieten einen vermeintlichen „einfachen“ Ausweg: Cyber-Risk-Versicherungen. Der Abschuss einer solchen Versicherung erscheint grundsätzlich angezeigt, doch ein Blick in die Versicherungsbedingung tut Not: oftmals werden dem Versicherungsnehmer Pflichten auferlegt, die ein Informationssicherheits- und/oder Datenschutz-Managementsystem in Grundzügen voraussetzen. Neben den zu treffenden technischen und organisatorischen Maßnahmen sollte vom Versicherungsnehmer vorher überlegt werden, wie Dokumentationen und Nachweis erbracht werden können.
Stillstand ist Bedrohung
Daher engagiert sich firstbyte digital consulting in namhaften Verbänden und Projekten wie im Cyber Security Cluster Bonn, der Allianz für Cyber-Sicherheit, nrw·units oder auch dem IT-Forum Oberberg.
Kostenloses Erstgespräch: Informationssicherheit
Lassen Sie sich heute noch beraten, wie Sie Ihr Unternehmen in der digitalen Weltt
absichern und resilient bleiben. Kostenlos, unverbindlich und hochprofessionell!