Informationssicherheit ist komplex. Ohne systematischen Ansatz werden Maßnahmen nach Gefühl getroffen – mal zu viel hier, mal zu wenig dort. Normen und Frameworks bieten eine strukturierte Methodik um Informationssicherheit vollständig und nachvollziehbar umzusetzen. Sie erlauben es außerdem die eigene Sicherheit gegenüber Partnern und Kunden nachzuweisen.
Ein ISMS ist kein Produkt das man kauft – es ist ein systematischer Managementansatz zur Steuerung der Informationssicherheit in einer Organisation. Es umfasst Richtlinien, Prozesse, Verantwortlichkeiten und Maßnahmen die kontinuierlich überwacht und verbessert werden.
Das Kernprinzip ist der PDCA-Zyklus (Plan-Do-Check-Act):
PDCA-Zyklus im ISMS:
PLAN DO
(Planen) (Umsetzen)
│ │
└──────┬───────┘
│
┌──────┴───────┐
│ │
ACT CHECK
(Verbessern) (Prüfen)
Kontinuierliche Verbesserung der InformationssicherheitISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme. Sie legt fest was ein ISMS leisten muss – nicht wie es konkret umgesetzt wird. Eine Zertifizierung nach ISO 27001 durch eine akkreditierte Stelle beweist dass das ISMS die Anforderungen der Norm erfüllt.
Struktur der ISO 27001:
Hauptteil (Kapitel 4–10): Anforderungen an das ISMS
Anhang A: 93 Maßnahmen (Controls) in 4 Kategorien – organisatorisch, personell, physisch, technologisch
Zertifizierungsprozess:
ISMS aufbauen und dokumentieren
Internes Audit durchführen
Externes Audit durch akkreditierte Stelle (Stage 1: Dokumentenprüfung, Stage 2: Vor-Ort-Audit)
Zertifikat (gültig 3 Jahre mit jährlichen Überwachungsaudits)
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein deutsches Rahmenwerk zur Informationssicherheit. Er bietet im Gegensatz zu ISO 27001 sehr konkrete, detaillierte Handlungsempfehlungen.
Kernelemente:
IT-Grundschutz-Kompendium: Bausteine für verschiedene Bereiche mit konkreten Anforderungen und Maßnahmen
Schutzbedarfsfeststellung: Für jedes Asset wird der Schutzbedarf in Vertraulichkeit, Integrität und Verfügbarkeit bewertet (normal, hoch, sehr hoch)
Risikoanalyse: Bei hohem oder sehr hohem Schutzbedarf wird eine detaillierte Risikoanalyse durchgeführt
Sowohl ISO 27001 als auch IT-Grundschutz basieren auf Risikomanagement:
Risiko = Eintrittswahrscheinlichkeit × SchadensausmaßFür jedes identifizierte Risiko gibt es vier Behandlungsoptionen:
Option | Bedeutung |
|---|---|
Vermeiden | Aktivität die das Risiko verursacht wird aufgegeben |
Reduzieren | Maßnahmen verringern Eintrittswahrscheinlichkeit oder Schadensausmaß |
Übertragen | Risiko wird auf Dritte übertragen (z.B. Versicherung, Outsourcing) |
Akzeptieren | Restrisiko wird bewusst als akzeptabel eingestuft |
Eigenschaft | ISO 27001 | BSI IT-Grundschutz |
|---|---|---|
Ursprung | International | Deutschland (BSI) |
Detailgrad | Abstrakt – Was, nicht Wie | Sehr konkret – mit Maßnahmenkatalog |
Zertifizierung | Weltweit anerkannt | Hauptsächlich Deutschland/DACH |
Einsatz | Alle Branchen weltweit | Behörden, KRITIS, deutsche Unternehmen |
Ein ISMS ist ein systematischer Managementansatz für Informationssicherheit – basiert auf dem PDCA-Zyklus
ISO 27001 ist die internationale Norm für ISMS – zertifizierbar, abstrakt, weltweit anerkannt
BSI IT-Grundschutz ist das deutsche Pendant – sehr konkret mit detaillierten Maßnahmenkatalogen
Schutzbedarfsfeststellung bewertet Assets nach Vertraulichkeit, Integrität und Verfügbarkeit
Risiko = Eintrittswahrscheinlichkeit × Schadensausmaß
Risikobehandlung: Vermeiden, Reduzieren, Übertragen oder Akzeptieren
ISO 27001 und IT-Grundschutz können kombiniert werden