Informationssicherheit DIN EN ISO/IEC 27001

Risiken und Nebenwirkungen in der Informationssicherheit vermeiden

Blog | Tipps & Tricks | 26.08.2021

Unternehmen verfügen über eine Vielzahl an Daten und Informationen, die zum einen intern, z.B. über Herstellungsverfahren, Mitarbeiter-Know-how oder Forschungsergebnisse, und zum anderen extern, wie z.B. über Kunden, Lieferanten oder Wettbewerber generiert wurden. Zusätzlich trägt die digitale Transformation dazu bei, dass immer mehr Daten und Informationen im Unternehmen zur Verfügung stehen. Der Großteil der Informationen gilt als sicherheitsbedürftig, weshalb dem Schutz vor Diebstahl oder Missbrauch große Beachtung geschenkt werden sollte. Doch wie schaffe ich es, meine Daten sicher aufzubewahren?

Bevor wir Ihnen einige hilfreiche Tipps an die Hand geben möchten, wie Sie Informationssicherheit in Ihrem Unternehmen schaffen können, sollten wir zuerst klären, wodurch Informationssicherheit charakterisiert wird.

Oberstes Ziel der Informationssicherheit ist die Aufrechterhaltung der drei Grundsätze Vertraulichkeit, Integrität und Verfügbarkeit. Das bezieht sich sowohl auf die technischen, als auch auf die nicht-technischen Informationen, die im Unternehmen verarbeitet, gespeichert und gelagert werden. Konkret bedeutet dies, dass Informationen nur für diejenigen einsehbar sein dürfen, die dazu befugt oder autorisiert wurden. Selbstverständlich müssen spezifische Informationen für Mitarbeiter verfügbar gemacht werden, damit diese ihre Arbeit verrichten können. Allerdings sollte dabei gewährleistet werden, dass die Daten nicht von unbefugten Personen verändert oder gar manipuliert werden können. Neben den drei Grundsätzen stehen die weiteren Sicherheitsziele Authentizität und Verbindlichkeit. Authentizität meint die Wahrheit und Überprüfbarkeit der Daten, die Verbindlichkeit bezieht sich auf die verständliche und klare Rekonstruktion aller Datenzugriffe. Sind Ihre Daten nicht ausreichend geschützt, besteht ein gewisses Risiko, dass Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden.

Die vier häufigsten Risiken in Unternehmen sind, dass:

  • ein Mitarbeiter absichtlich Daten manipuliert,
  • durch einen Cyberangriff von außen Daten geklaut werden,
  • durch unbeabsichtigtes Fehlverhalten von Mitarbeitern unternehmensinterne Informationen an die Öffentlichkeit geraten und
  • andere Personen an Informationen gelangen, die für sie nicht bestimmt waren.

Damit die Eintrittswahrscheinlichkeit dieser und weiterer Risiken so gering wie möglich gehalten und ein schwerwiegender finanzieller Schaden abgewendet werden kann, sollten Sie folgende 11 Tipps zur Gewährleistung der Informationssicherheit beachten:

  1. Geschäftsführung und Management müssen Informationssicherheit leben und in die Kultur des Unternehmens verankern.
  2. Mitarbeiter sollten für den Schutz der Daten regelmäßig sensibilisiert und geschult werden.
  3. Die Zuordnung aller Daten in Klassen unterschiedlicher Schutzbedürftigkeit ist wichtig, damit die Mitarbeiter auch das Bewusstsein erlangen wie sie mit den Daten/Informationen umgehen sollen.
  4. Verantwortlichkeiten und Zugriffsrechte müssen klar geregelt, kommuniziert und überprüft werden.
  5. Es sollten lange Passwörter genutzt werden, die Buchstaben, Zahlen und Sonderzeichen beinhalten.
  6. Anti-Virenprogramme und Firewalls sind zu installieren und auf den aktuellen Stand sein.
  7. Mobile Datenträger sind zu inventarisieren und zu verschlüsseln.
  8. Regelmäßige Backups schützen vor Datenverlusten.
  9. Ein Informationssicherheits-Managementsystem z.B. nach DIN EN ISO/IEC 27001 sollte einführt werden.
  10. Risikoanalysen sollten durchgeführt werden, möglichst im Rahmen eines funktionierenden Risikomanagements.
  11. Ein ausführlicher Notfallplan ist zu erstellen.

Ein gezieltes Informationssicherheits-Risikomanagement hilft Unternehmen Gefahren innerhalb und außerhalb ihrer betrieblichen Grenze frühzeitig zu erkennen und wirkungsvolle Maßnahmen zur Bekämpfung ergreifen zu können. Das Risikomanagement sollte bestmöglich in ein Informationssicherheits-Managementsystem z.B. nach DIN EN ISO/IEC 27001 integriert sein, um verfügbare Unternehmensressourcen sinnvoll zu nutzen, Synergien erheben und auf den Rückhalt der Geschäftsführung zählen zu können. Hinzu kommt, dass das Risikomanagement einem kontinuierlichen Verbesserungsprozess unterliegen würde, wodurch die Identifikation und Verringerung weiterer Risiken stetig erhöht wird.

Bestandteil eines jeden Informationssicherheitsmanagements sollte die Bewertung der Einhaltung der Informationssicherheit sein. Dafür stehen spezifische Kennzahlen zur Verfügung. Beispiele dieser KPIs sind:

  • Nachvollziehbarkeit aller Prozesse
  • Verfügbarkeit von Informationen
  • Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung
  • Anzahl zentral gesammelter Ereignismeldungen
  • Qualität der Passwörter
  • Informationssicherheitstrainings
  • Häufigkeit der Überprüfung
  • Ergebnisse von internen Audits

Wenn Sie bereits einige dieser Tipps umgesetzt haben, Ihre Informationssicherheit dennoch weiter verbessern möchten, sich für die Einführung eines Informationssicherheits-Managementsystems z.B. nach ISO 27001 entschieden haben oder sich Ihr bestehendes Informationssicherheits-Managementsystem z.B. nach DIN EN ISO/IEC 27001 verbessern oder gar zertifizieren lassen wollen, unterstützen wir Sie gerne dabei. Sprechen Sie uns einfach an und holen Sie sich ein unverbindliches Angebot ein.