Okisec - Oliver Klopsch - Information Security Professional Services

Okisec - Oliver Klopsch - Information Security Professional Services

Beratungsschwerpunkte

Information Security Management System (ISMS)

Ein Information Security Management System (ISMS) ist ein Rahmenwerk, das in Unternehmen implementiert wird, um die Sicherheit von Informationen zu gewährleisten. Es ist ein ganzheitlicher Ansatz, der Richtlinien, Verfahren und Prozesse umfasst, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Das ISMS umfasst eine Reihe von Maßnahmen, die darauf abzielen, Risiken im Zusammenhang mit der Informationssicherheit zu identifizieren, zu bewerten und zu behandeln. Dazu gehören die Festlegung von Sicherheitsrichtlinien, die Schulung der Mitarbeiter, die Durchführung von Risikoanalysen, die Implementierung von Sicherheitskontrollen und die regelmäßige Überprüfung und Aktualisierung des Systems. Unternehmen, die ein ISMS implementieren, können ihre Daten und Informationen besser schützen und potenzielle Sicherheitsvorfälle verhindern. Dies kann dazu beitragen, den Ruf des Unternehmens zu schützen, Kundenvertrauen aufzubauen und rechtliche Anforderungen im Zusammenhang mit der Informationssicherheit zu erfüllen.

Bei der Einführung eines normenkonformen ISMS (hier: ISO/IEC 27001) sind insbesondere folgende Aktivitäten zu beachten:

  • Definition der Sicherheitsziele des ISMS.
  • Detaillierte Festlegung des Geltungsbereichs (Scope) des ISMS hinsichtlich des Kerngeschäfts, der Organisation, der Standorte, der Unternehmenswerte und der Technologie.
  • Ausschlüsse von Kontrollzielen / Kontrollen (Control Objectives / Controls) gemäß Norm bedürfen einer Rechtfertigung (SoA = Statement of Applicability).
  • Die Informationssicherheits-Leitlinie muss verbindliche Methoden zur Risikoeinschätzung und Risikobewertung definieren.
  • Die Informationssicherheits-Leitlinie muss durch die Geschäftsleitung offiziell in Kraft gesetzt werden.
  • Die Geschäftsleitung muss die erforderlichen Ressourcen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufenden Verbesserung des ISMS bereitstellen.

Wesentliche Fehler bei der Einführung eines ISMS sind:

  • Geschäftsleitung steht nicht hinter dem Projekt „Einführung eines ISMS“
  • Falsche Erwartungen an die Leistungsfähigkeit eines ISMS
  • Mangelnde Identifikation bei Führungskräften und Mitarbeitern
  • Keine Klarheit über den Einführungsweg
  • Planloses Vorgehen bei der Einführung des ISMS
  • Unterschätzen von Kosten- und Zeitaufwand
  • Unzureichende Schulung der Führungskräfte und Mitarbeiter
  • Keine ausreichende Beteiligung der betroffenen Bereiche
  • Unzureichende Verknüpfung mit anderen Managementsystemen
  • Fehler im Zusammenhang mit der Planung und Durchführung des Zertifizierungsaudits
  • Nachlassende Aktivitäten zur Optimierung des ISMS nach der Erst-Zertifizierung
     

IT-Security-Management

In der heutigen Zeit spielen IT-Systeme eine entscheidende Rolle bei geschäftskritischen Prozessen. Daher ist es von großer Bedeutung, einen sicheren IT-Betrieb zu gewährleisten. Um die Vertraulichkeit, Integrität und Verfügbarkeit der mit IT unterstützten Prozesse zu gewährleisten, sind angemessene IT-Sicherheitsrichtlinien und -standards unerlässlich. Durch die Einhaltung dieser Richtlinien und Standards kann eine sichere Umgebung geschaffen werden.

Neben der Definition und kontinuierlichen Pflege (Prüfung der Angemessenheit / Aktualität) der IT-Sicherheitspolitik und den weiterführenden, unternehmensinternen Sicherheitsstandards und Maßnahmen sind folgende Schwerpunktthemen im Rahmen eines IT-Security-Managements zu berücksichtigen:


Erstellung und Pflege von IT-Sicherheitskonzepten:

  • Durchführung der IT-Strukturanalyse (Definition des IT-Verbunds).
  • Festlegung des Schutzbedarfs der Anwendung inkl. Daten.
  • Dokumentation der vorhandenen, technischen und organisatorischen Sicherheitsmaßnahmen.
  • Durchführung der Bedrohungs- und Risikoanalyse.
  • Definition von zusätzlichen Maßnahmen zur Risikobehandlung.
  • Maßnahmenverfolgung (Verantwortlichkeiten, Umsetzungstermine).


Kontinuierliche Erhöhung der Mitarbeitersensibilisierung (IT-Security-Awareness):

  • Planung und Durchführung von Schulungsmaßnahmen.
  • Bereitstellung von Informationsquellen zur IT-Sicherheit.
  • Security-Newsletter zu aktuellen Themen der Informationssicherheit (Sicherheitsschwachstellen und Handlungsempfehlungen für Mitarbeiter).


IT-Security-Reporting:

  • Definition des Index der Gefährdungslage eines Unternehmens (Darstellung der Bedrohungen und Verwundbarkeiten des Unternehmens im Kontext der Informationssicherheit).
  • Erstellung von Security-Reports für die verantwortlichen Management-Ebenen auf Grundlage der definierten Security-KPIs: z.B. Aktualität von Software (Patchlevel), Passwortstärke, Grad der Security-Awareness von Mitarbeitern, Qualität des Security-Monitorings von IT-Systemen, Richtlinienkonformität.

 

IT-Risikomanagement

Effiziente Verfahren zur Identifizierung, Steuerung und Überwachung von Risiken sind entscheidend für ein erfolgreiches, proaktives Risikomanagement.

Ein Risiko ist das Potenzial, dass eine bestimmte Bedrohung (Threat) eine Schwachstelle (Vulnerability) des organisationseigenen Wertes (Asset) oder eine Gruppe von Werten ausnutzt und dadurch einen Schaden (Impact) in der Organisation verursacht. Die Risikoklassifizierung erfolgt dabei durch die Kombination der Eintrittswahrscheinlichkeit der Bedrohung und einem möglichen Schadenswert (negativer Einfluss auf das Asset).

Ein effektives IT-Risikomanagement ist ein zyklischer Prozess der maßgeblich von dem individuellen Risikoappetit der Unternehmensleitung bestimmt wird. Folgende Phasen sind mindestens einzuhalten:

  • Risikoidentifikation (potenzielle Bedrohungen, die auf Schwachstellen wirken)
  • Risikobewertung (Individuelle Risikomatrix des Unternehmens)
  • Risikobehandlung (Reduktion, Vermeidung, Transfer, Akzeptanz)
  • Risikoverfolgung (Maßnahmenverfolgung zur Behandlung der Risiken, Risiko-Reporting)

Für eine vollständige Erfassung der Risiken können vordefinierte Bedrohungskataloge (IEC/ISO 27005, BSI) genutzt werden, die um branchenspezifische Risiken erweitert werden. Eine regelmäßige Überprüfung der IT-Risikomanagement-Prozesse auf Aktualität, Angemessenheit und Verbesserungspotenzial sind wesentliche Qualitätsfaktoren.

IT-Compliance

Die zunehmenden gesetzlichen und aufsichtsrechtlichen Anforderungen sowie die damit einhergehenden internen und externen Prüfungen erfordern eine verstärkte Implementierung effizienter Nachweisprozesse. Dies gilt nicht nur für Unternehmen mit systemkritischen IT-Infrastrukturen. Es ist von entscheidender Bedeutung, den gestiegenen Anforderungen gerecht zu werden und die Nachweisbarkeit in den Prozessen zu gewährleisten.

Gesetzliche und regulatorischen Anforderungen (z.B. DSGVO, KWG, MaRisk, MaSI, PCI-DSS, TMG, etc.) und auch Unternehmensvorgaben und Standards (IEC/ISO 27001, NIST, BSI-Grundschutz) stehen im Fokus von externen und internen Prüfungen. Kontrollverfahren aus erkennenden, korrigierenden und präventiven Maßnahmen, die wenn machbar automatisiert sind (Tool-gestützt), ermöglichen eine effiziente Unterstützung der regelmäßig, wiederkehrenden Überprüfungen und Überwachung der IT-Compliance und Cybersicherheit.

Beispiele von Kontrollmaßnahmen sind:

  • Self-Assessment: Selbsteinschätzung mittels standardisierte Fragebögen und Checklisten.
  • IT-Security-Monitoring: Einsatz eines SIEM-Tools zur automatisierten Überwachung, Alarmierung und Reporting von Sicherheitsverstößen.
  • IT-Security-Audit: anlassbezogene, spezifische Audits bei komplexeren Risikosituationen und sich stark wandelnden Prozessen mittels Interview- und Review-Techniken.

Ein effektives Kontrollsystem (Governance-Risk-Compliance Tool) bietet dem Unternehmen die Möglichkeiten Pflichtverletzungen vorzubeugen und aussagekräftige Ergebnisse im Rahmen von Prüfungen zu liefern.
 

Business Continuity Management (BCM)

Das Hauptziel des Business Continuity Management (BCM) besteht darin, die Geschäftskontinuität sicherzustellen und mögliche Ausfallzeiten zu minimieren. Durch die Implementierung von BCM-Maßnahmen sollen Unternehmen in der Lage sein, auch in Krisensituationen wie Naturkatastrophen, technischen Störungen oder anderen Notfällen ihre geschäftskritischen Prozesse aufrechtzuerhalten. Ein weiteres Ziel des BCM ist es, die Resilienz des Unternehmens zu stärken. Dies bedeutet, dass das Unternehmen in der Lage sein sollte, sich schnell von einem Störfall zu erholen und den normalen Geschäftsbetrieb so schnell wie möglich wieder aufzunehmen. Darüber hinaus strebt das BCM danach, die finanziellen Auswirkungen von Störungen zu minimieren. Durch die Implementierung von präventiven Maßnahmen können Unternehmen mögliche Verluste reduzieren und ihre finanzielle Stabilität aufrechterhalten.

Business Continuity Management (BCM) umfasst verschiedene Aufgaben und Phasen, die dazu dienen, potenzielle Notfälle und deren Auswirkungen auf das Unternehmen zu identifizieren und entsprechende Maßnahmen zu ergreifen.

Die Business Impact Analyse (BIA) ist die initiale Aufgabe im BCM. Hierbei werden die Auswirkungen eines Notfalls auf die Geschäftsprozesse und -aktivitäten eines Unternehmens bewertet. Ziel ist es, die kritischen Geschäftsbereiche und -prozesse zu identifizieren, um geeignete Schutzmaßnahmen zu entwickeln.

Ein weiterer wichtiger Bestandteil des BCM ist die Erstellung eines Notfallplans. Dieser Plan enthält detaillierte Anweisungen und Verfahren, die im Falle eines Notfalls befolgt werden müssen. Er legt fest, wer für welche Aufgaben und Entscheidungen verantwortlich ist und wie die Kommunikation intern und extern erfolgen soll.

Um die Wirksamkeit des Notfallplans zu überprüfen, sollten regelmäßige Notfallübungen durchgeführt werden. Hierbei werden verschiedene Szenarien simuliert, um die Reaktion des Unternehmens und die Umsetzung des Notfallplans zu testen. Etwaige Schwachstellen können identifiziert und Verbesserungen vorgenommen werden, um im Ernstfall optimal vorbereitet zu sein.

© Okisec - Oliver Klopsch

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte prüfen Sie die Details und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.

Datenschutzeinstellungen

Website-Übersetzer

Datenschutzeinstellungen

Mit diesen Einstellungen aktivieren oder deaktivieren Sie die Datenerfassung von Funktionalitäten die auf dieser Website eingesetzt werden.

Alle Dienste auswählen
Website-Übersetzer
Mehr
Einstellungen speichern