Ständig fortschreitende Technologien erfordern ständige Maßnahmen zum Schutz von Informationen. Organisationen müssen ein Schutzschild gegen digitale Bedrohungen aufbauen, um zukunftsfähig zu bleiben. Um Informationssicherheit langfristig zu implementieren, ist ein ISMS unverzichtbar.
In unserer vernetzten, digitalisierten und smarten Welt stehen für die Speicherung und Verwaltung von Informationen digitale Datenträger und Technologien, wie Netzwerke oder Cloud Computing, zur Verfügung. Alle Informationen können über weltweit verbundene Netzwerke jederzeit und an jedem mit Internet ausgestatteten Ort der Welt abgerufen werden. Das macht sie zu einem bevorzugten Ziel für Cyberangriffe, Sabotage und Phishing Attacken.
Die Gewährleistung eines Schutzes vor Cyberbedrohungen ist heute für den Erfolg und die Integrität von Organisationen von großer Bedeutung. Die Einführung eines Informationssicherheitsmanagementsystem (ISMS) ist ein elementarer Baustein der Cyber-Security in Organisationen und eine hervorragende Basis, Cybersicherheit aktiv zu gestalten und Informations-sicherheit zu managen!
Ziel der Informationssicherheit ist es, die Widerstandsfähigkeit gegen Bedrohungen für die Informationssysteme zu erhöhen und wirtschaftliche Schäden zu vermeiden. Um die Informationen in der Organisation (sog. Werte) nachhaltig und angemessen zu schützen, wurden drei Schutzziele für die Informationssicherheit entwickelt:
Vertraulichkeit
Informationen sollten so geschützt sein, dass nur berechtigte bzw. autorisierte Personen auf diese zugreifen können.
Integrität
Das Schutzziel Integrität umfasst die korrekte Funktionsweise von Informationssystemen sowie die Vollständigkeit und Richtigkeit von Informationen.
Verfügbarkeit
Die Verfügbarkeit ist dann gewährleistet, wenn Informationen abrufbar sind und wie vorgesehen genutzt werden können.
Ein ISMS ist kein Tool oder eine Software, es ist vielmehr eine Umsetzung eines Konzeptes, um die Informationssicherheit innerhalb der Organisation zu gewährleisten. Mithilfe eine ISMS werden Verantwortlichkeiten, Regeln und Vorgänge festgelegt, um die Informationssicherheit zu etablieren, erforderliche Maßnahmen durchzuführen, zu überwachen und stetig zu verbessern. Dabei wird die gesamte Organisation, die Prozesse und die technischen Sicherheitsmaßnahmen ausgehend von der Organisationsleitung mit einbezogen.
Bei der Auswahl der Sicherheitsmaßnahmen helfen (internationale) Normen wie bspw. die DIN ISO/IEC 27000-Reihe oder die IT-Grundschutz Richtlinien des BSI (Bundesamtes für Sicherheit in der Informationstechnik). Eine spezifisch auf die Automobilindustrie ausgerichtete Form der Informationssicherheit stellt das TISAX® Modell des VDA dar. TISAX® steht für Trusted Information Security Assessment Exchange und ergänzt die Anforderungen der ISO 27001 um Themen wie Prototypensicherheit, Anbindung Dritter und Datenschutz. Lieferanten und Dienstleister der Automobilindustrie, die Informationen der Kunden verarbeiten, werden häufig verpflichtet sich diesem Assessment zu stellen und entsprechende Freigaben nachzuweisen. TISAX® ist eine eingetragene Marke und unterliegt der ENX®-Association.
Die Einführung eines ISMS wird oft kritisch betrachtet, da dies zusätzlichen Aufwand und auch Kosten verursacht, dennoch müssen Sie sich fragen: Kennen Sie alle Informationswerte in Ihrem Unternehmen und ist Ihnen bewusst wie kritisch diese Werte für Ihr Unternehmen sind? Wie lange können Kernprozesse oder Systeme ausfallen ohne Schaden zu verursachen? Was bedeutet es für Ihr Unternehmen, wenn Personal in Schlüsselpositionen ausfällt?
All diese Punkte können sehr hohe Kosten für Ihre Organisation bedeuten. Selbst wenn die Einführung eines ISMS keine Pflicht für Ihre Organisation ist, ist es dennoch empfehlenswert ein ISMS einzuführen, denn:
- Sie steuern aktiv Ihre Risikominimierung und richten Ihre Prozesse aus.
- Sie verwalten strukturiert Ihre Informationswerte und deren Kritikalität in Bezug auf Bedrohungen.
- Sie bereiten sich auf einen potenziellen Notfall vor.
- Sie erkennen Schwachstellen und ergreifen geeignete Maßnahmen.
- Sie erhöhen die Awareness für Informationssicherheit bei Ihren Mitarbeitenden.
- Sie grenzen sich von Ihren Wettbewerbern ab
- Sie erhöhen die Sicherheit in Ihrer Organisation.