Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

Sie sind hier: Startseite / Informationssicherheit – Die wesentlichen Aspekte der ISO Standards 27000ff sollte jeder Unternehmer kennen

Informationssicherheit – Die wesentlichen Aspekte der ISO Standards 27000ff sollte jeder Unternehmer kennen

erstellt von Armin Stroß-Radschinski zuletzt verändert: 24.03.2014 09:59
Die Einleitung zur ISO/IEC 27002 macht ausdrücklich klar: “Information kann in vielfältiger Form existieren. Sie kann auf Papier gedruckt oder geschrieben sein, elektronisch gespeichert werden, via Post verteilt werden und elektronisch übertragen werden, auf Film erscheinen, oder im Dialog gesprochen werden. Welche Form Informationen auch immer annehmen, oder wie sie geteilt oder gespeichert werden, sie sollte für den Zweck angemessen geschützt werden.”

Der ISO 27k Standard zielt unter anderem auf „Informations Technologie – Sicherheits Techniken“. Dies geht weit über den reinen IT-Kontext hinaus. Das ISO + IEC Komitee welches den Standard SC 27 „Information Technology – Security Techniques“ herausgibt, sieht sich als Teil des JTC1 „Information Technology“ Komitees. Die Bandbreite des ISO 27k Standards enthält zahlreiche Aspekte, die mit IT zusammenhängen. Aber die Zielsetzungen hören bei der IT nicht auf, sondern beginnen bereits bei den zugrunde liegenden Quelldaten.

Allgemein gilt, dass die wertvollsten Informations Güter einer Organisation oft zu anderen Abteilungen gehören als der IT Abteilung.

Die IT betreibt, verwaltet und ist verantwortlich für den Schutz der IT Infrastruktur (z.B. die primären Unternehmens IT Systeme sowie die Netzwerke für die gemeinsamen, geteilten IT Services der Geschäftsprozesse) und stellt daher allein schon einen wesentlichen Informationswert dar. Andererseits ist die IT, im Begriff der Informationssicherheit, eher ein Hausmeister (aber eben nicht der Eigentümer) der meisten Geschäftsdaten auf Servern und in Netzwerken. Dazu gehören dann auch Daten anderer Geschäftszeige und Abteilungen sowie von Kunden und Geschäftspartnern.

Diese wesentliche Unterscheidung resultiert in wichtigen Konsequenzen. Eigentümer von wertvollen Informationsbeständen sind verantwortlich dafür, sicherzustellen, dass ihre Informationsbestände angemessen geschützt sind und werden – genau wie jeder andere Unternehmenswert. Auch wenn die Eigentümer der Informationsbestände wesentliche Verantwortlichkeiten für die Informationsicherheit an die Informationssicherheitsabteilungen und /oder IT-Abteilungen weitergeben, müssen sie weiterhin Rechenschaft ablegen und Konsequenzen tragen und daher sicherstellen das Informationssicherheit ausreichend finanziert, gesteuert und unterstützt wird, um einen ausreichenden Grad an Schutz zu gewährleisten.

In gleicher Weise agieren Informationssicherheit und IT als Berater und Verwalter der Aufgabe, Information und Daten unter ihrer Obhut zu schützen. Im Gegenzug sind IT-Verantwortliche aber nicht zwingend für alle Sicherheits-Vorfälle, -Verletzungen und -Auswirkungen verantwortlich, die durch unsachgemäße Risiko Management Entscheidungen entstehen. Dazu gehören die Unterfinanzierung von Sicherheitsmaßnahmen oder das Eingehen unnötiger Risiken durch die eigentlichen Eigentümer der Informationen.

Informationssicherheit vs. Informationsfreiheit

Heutzutage trifft man bisweilen auf die kuriose Situation, dass Informationen, die vertraulich bleiben sollen oder nur bestimmten Personenkreisen bekannt werden sollen, ungesichert via Google gefunden werden können oder ohne allzu hohe Hürden von Fachkundigen zugänglich gemacht werden können (mangelnde Qualität der Schutzkonzepte).

Andererseits werden Informationen, die dringend benötigt werden, nicht veröffentlicht, kommen abhanden oder können nicht effizient und effektiv gefunden werden.

Ziel sollte immer die Informationssparsamkeit bleiben, bei der nur die nötigsten Informationen gespeichert werden und diese idealerweise an nur einem Ort gepflegt werden müssen. Alle Darstellungen werden dann nur bei Bedarf aus diesen Quelldaten erzeugt, wobei dann die korrekte Anwendung der Zugriffsrechte einen unzulässige Verletzung der Privatsphäre verhindern sollte.

Ein guter Ratschlag zuletzt

Wenn es darum geht, Informationsicherheitsrisiken zu erkennen und ihnen zu begegnen, sollte das Hauptaugenmerk auf kritischen Geschäftsprozessen und wertvollen Geschäftsinformationen liegen als darauf in IT-Systeme und Datenhaltung zu investieren.

Der moderne Corporate Governance Ansatz bedeutet, dass naive oder überflüssige Manager sich nicht länger hinter der IT verstecken können und dürfen, wenn sie unangemessene Entscheidungen treffen oder dabei scheitern, die lebenswichtigen Informationen des Unternehmens zu erkennen und zu schützen. Das bedeutet aber auch, dass sie Hilfe dabei brauchen können, die Wertschätzung für Sicherheitsverpflichtungen aufzubauen und diese zu erfüllen.