Informationssicherheit – Die wesentlichen Aspekte der ISO Standards 27000ff sollte jeder Unternehmer kennen

Allgemein gilt, dass die wertvollsten Informations Güter einer Organisation oft zu anderen Abteilungen gehören als der IT Abteilung.

Die IT-Abteilung ist der digitale Hausmeister

Die IT betreibt, verwaltet und ist verantwortlich für den Schutz der IT Infrastruktur (z.B. die primären Unternehmens IT Systeme sowie die Netzwerke für die gemeinsamen, geteilten IT Services der Geschäftsprozesse) und stellt daher allein schon einen wesentlichen Informationswert dar. Andererseits ist die IT, im Begriff der Informationssicherheit, eher ein Hausmeister (aber eben nicht der Eigentümer) der meisten Geschäftsdaten auf Servern und in Netzwerken. Dazu gehören dann auch Daten anderer Geschäftszeige und Abteilungen sowie von Kunden und Geschäftspartnern.

Diese wesentliche Unterscheidung resultiert in wichtigen Konsequenzen. Eigentümer von wertvollen Informationsbeständen sind verantwortlich dafür, sicherzustellen, dass ihre Informationsbestände angemessen geschützt sind und werden – genau wie jeder andere Unternehmenswert. Auch wenn die Eigentümer der Informationsbestände wesentliche Verantwortlichkeiten für die Informationsicherheit an die Informationssicherheitsabteilungen und /oder IT-Abteilungen weitergeben, müssen sie weiterhin Rechenschaft ablegen und Konsequenzen tragen und daher sicherstellen das Informationssicherheit ausreichend finanziert, gesteuert und unterstützt wird, um einen ausreichenden Grad an Schutz zu gewährleisten.

In gleicher Weise agieren Informationssicherheit und IT als Berater und Verwalter der Aufgabe, Information und Daten unter ihrer Obhut zu schützen. Im Gegenzug sind IT-Verantwortliche aber nicht zwingend für alle Sicherheits-Vorfälle, -Verletzungen und -Auswirkungen verantwortlich, die durch unsachgemäße Risiko Management Entscheidungen entstehen. Dazu gehören die Unterfinanzierung von Sicherheitsmaßnahmen oder das Eingehen unnötiger Risiken durch die eigentlichen Eigentümer der Informationen.

Informationssicherheit vs. Informationsfreiheit

Heutzutage trifft man bisweilen auf die kuriose Situation, dass Informationen, die vertraulich bleiben sollen oder nur bestimmten Personenkreisen bekannt werden sollen, ungesichert via Google gefunden werden können oder ohne allzu hohe Hürden von Fachkundigen zugänglich gemacht werden können (mangelnde Qualität der Schutzkonzepte).

Andererseits werden Informationen, die dringend benötigt werden, nicht veröffentlicht, kommen abhanden oder können nicht effizient und effektiv gefunden werden.

Ziel sollte immer die Informationssparsamkeit bleiben, bei der nur die nötigsten Informationen gespeichert werden und diese idealerweise an nur einem Ort gepflegt werden müssen. Alle Darstellungen werden dann nur bei Bedarf aus diesen Quelldaten erzeugt, wobei dann die korrekte Anwendung der Zugriffsrechte einen unzulässige Verletzung der Privatsphäre verhindern sollte.

Ein guter Ratschlag zuletzt

Wenn es darum geht, Informationsicherheitsrisiken zu erkennen und ihnen zu begegnen, sollte das Hauptaugenmerk auf kritischen Geschäftsprozessen und wertvollen Geschäftsinformationen liegen als darauf in IT-Systeme und Datenhaltung zu investieren.

Der moderne Corporate Governance Ansatz bedeutet, dass naive oder überflüssige Manager sich nicht länger hinter der IT verstecken können und dürfen, wenn sie unangemessene Entscheidungen treffen oder dabei scheitern, die lebenswichtigen Informationen des Unternehmens zu erkennen und zu schützen. Das bedeutet aber auch, dass sie Hilfe dabei brauchen können, die Wertschätzung für Sicherheitsverpflichtungen aufzubauen und diese zu erfüllen.

Ursprüngliche Fassung erstmals veröffentlicht am 24. März 2014