Experteninterview:
Informationssicherheit: sensible Daten systematisch schützen!

Sensible interne Informationen – wie zum Beispiel Produkt- oder Fertigungsdaten, aber auch Kundendaten – gehören zum wichtigsten Gut von Unternehmen. Dennoch kommt es immer häufiger zum Verlust dieser Daten. Hendrik Reese – Berater für strategische Informationssicherheit bei der TÜV Rheinland help AG – beantwortet im Experteninterview Fragen rund um die Informationssicherheit. Hendrik Reese klärt über Gefahren auf und nennt wichtige Schutzmaßnahmen um Informationsverlust vorzubeugen.

Herr Reese, auf welche Aspekte kommt es beim Schutz von Informationen im Unternehmen besonders an?
Es ist wichtig, beim Thema Informationssicherheit nicht nur die technische Seite zu betrachten, sondern auch die organisatorischen und personellen Aspekte. Sicher ist es wichtig, der Technik eine besondere Beachtung zu schenken, da heute fast alle Informationen digital verarbeitet werden. Aber auch die Prozesse, in denen Informationen verarbeitet werden, können Schwachstellen haben. Der Faktor Mensch ist dabei entscheidend – schließlich werden Informationen nicht ausschließlich digital gespeichert, sondern stecken auch in den Köpfen der Mitarbeiter. Deshalb ist es umso wichtiger, dass die Menschen, die mit den Informationen arbeiten, bewusst und verantwortungsvoll mit ihnen umgehen und wissen, worauf es ankommt. Die grundlegenden Ziele dazu sind: Vertraulichkeit, Integrität und Verfügbarkeit von geschäftskritischen Informationen. Vertraulichkeit bedeutet, dass zum Beispiel nur die Personen im Unternehmen auf sensible Daten zugreifen können, die damit arbeiten müssen. Und dass auch nachvollziehbar ist, wer wann auf welche Daten zugegriffen hat. Bei dem Thema „Integrität“ geht es darum, ungewollte Veränderungen von Informationen zu verhindern: Ein Betrieb sollte sicherstellen, dass Daten nicht verfälscht werden. Das kann ungewollt passieren, aber auch absichtlich. Sind Daten in einer Datenbank beispielsweise nicht mehr konsistent, wirkt sich dieses rasch auf Prozesse aus, und die Fehler pflanzen sich fort. Bei der Verfügbarkeit geht es darum, sicherzustellen, dass Daten physisch und logisch zur Verfügung stehen, und dass sie jederzeit verarbeitet werden können.

Wie stelle ich in meinem Unternehmen Informationssicherheit her? Was brauche ich dafür?
Wenn ich Informationssicherheit gewährleisten will, benötige ich ein Steuerungsinstrument. Das brauche ich, um mit angemessenem Aufwand ein für das Unternehmen vernünftiges Sicherheitsniveau zu erreichen und zu ermitteln, wie ich anforderungsgenau Maßnahmen ableite und umsetze. Dieses Steuerungsinstrument heißt „Information Security Management System“, kurz ISMS. Der Kern des Systems basiert auf Risikomanagement-Methoden, die Transparenz schaffen, an welchen Stellen Handlungsbedarf besteht. Damit erhält das Unternehmen eine Art Cockpit-Sicht über die dringendsten Handlungsfelder.
Häufig führen schon kleine Veränderungen in Prozessen zu einer deutlichen Verbesserung des Sicherheitsniveaus: zum Beispiel den Zugang zu bestimmten Unternehmensbereichen restriktiver zu handhaben, oder sensible Informationen „wegzuschließen“, zum Beispiel durch die Umsetzung von anforderungsgerechten Verschlüsselungsmaßnahmen.

Gibt es praktische Umsetzungshilfen, an denen ich mich orientieren kann?
Ja, sogar sehr konkrete, zum Beispiel die ISO/IEC 27001:2005, eine international anerkannte Norm, die die Kriterien für ein ISMS definiert und dieses auch zertifizierbar macht. Der ISO/IEC 27001:2005 sind Maßnahmen und Kontrollen angehängt, die auf die operative Steuerung der Informationssicherheit abzielen. Solche Standards gibt es auch auf deutscher Ebene. Sie basieren auf der ISO/IEC 27001:2005. Das BSI hat die ISO 27001 auf Basis des IT-Grundschutz geschaffen, sowie die IT-Grundschutzkataloge, die sehr konkrete Maßnahmen zur Umsetzung beschreiben. Auch hier ist eine Zertifizierung möglich. Mit den IT-Grundschutzkatalogen kann ein Basis-Sicherheitsniveau umgesetzt werden. Durch die konkreten Vorgaben sind der Umfang des Standards und damit auch häufig der Aufwand für die Umsetzung im Vergleich zu der internationalen Norm höher.
Beide Ansätze können in Unternehmen sinnvoll sein. Auf welchen Standard sich ein Unternehmen stützt, ist individuell zu entscheiden. In vielen Fällen kann auch ein Hybridansatz sinnvoll sein, der ebenso zertifizierungsfähig ist. Eine Zertifizierung ist zum Beispiel dann sinnvoll, wenn ich gegenüber Kunden mein Informationssicherheitsniveau nachweisen möchte oder muss.

Ist der Aufwand für mittelständische Unternehmen zu hoch, ist um so etwas umzusetzen?
Der Anspruch auf Informationssicherheit ist durchaus in mittelständischen – und auch kleinen Unternehmen – vorhanden! Gerade, weil dort oft einige wenige, kritische Informationen den Wettbewerbsvorteil ausmachen. Deshalb ist eine nachhaltige Sicherung der wichtigen Geschäftsinformationen auch dort wichtig.
Hinzu kommt, dass ein ISMS in verschiedene Richtungen individualisiert werden kann und so ein Niveau erreicht, dass auch bei hohem Kosten-und Wettbewerbsdruck handhabbar ist. Auf diese Weise gestalten auch kleinere und mittelständische Unternehmen Ihren Aufwand effizient.

Wie kann ich erkennen, wie mein Unternehmen in puncto Informationssicherheit aufgestellt ist?
Ein wichtiger Indikator ist zum Beispiel das Sicherheitsbewusstsein der Belegschaft. Überprüfen Sie: Werden Passwörter auf Zetteln an den Monitor geheftet? Können Besucher das Unternehmen betreten, ohne dass sie von Mitarbeitern angesprochen werden?
Haben externe Mitarbeiter Zugriff auf interne Informationen, wenn ja, auf welche? Haben Mitarbeiter, die das Unternehmen verlassen noch Zugriff auf die internen Systeme?
Wie gesagt, es sind häufig kleine Änderungen, die für eine große Sicherheitswirkung sorgen.

Vielen Dank für das Gespräch!