Ein offizielles Dokument wird gestempelt

Informationssicherheit: Wie steht’s um internationale Standards wie ISO 27001?

Ob Cyber-Attacken auf Regierungen und Konzerne oder der Facebook- Datenskandal um Cambridge Analytica: Der Umgang mit persönlichen Daten sowie der Schutz von Informationen und Daten sind brandaktuelle Themen. Wie sicher sind persönliche Daten heute? Wie gut sind IT-Systeme geschützt, die Daten speichern und managen? Gibt es internationale Standards?

Die britische Anwaltskanzlei Walker Morris, aber auch das Centre Technique de la Gendarmerie Nationale in Frankreich, die Vodafone GmbH oder das Bayerische Rote Kreuz haben es schon: Worum es geht? Um ein international anerkanntes Zertifikat wie die ISO/IEC 27001, das grundlegende Anforderungen an die Informationssicherheit und das Informationsmanagementsystem einer Organisation oder eines Unternehmens gewährleistet. Zu den Anforderungen gehören zum Beispiel alle Maßnahmen und Dokumente zum optimalen Schutz vertraulicher Daten, das Sicherstellen der Integrität betrieblicher Daten sowie die Verfügbarkeit aller IT-Systeme im Unternehmen einschließlich Risikoanalysen und einer Notfallplanung.

Die Beispiele der eingangs genannten Firmen zeigen, dass es zunehmend wichtig ist, und von Managern unterschiedlichster Branchen auch so eingeschätzt wird, auf Datenschutz und vor allem auf Datensicherheit zu achten. Die neue EU-Datenschutz-Grundverordnung (Start: 25. Mai 2018) regelt dabei das Recht auf informationelle Selbstbestimmung. Internationale Zertifikate wie die ISO/IEC 27001 unterstützen Unternehmen dabei, den aktuellen Zustand ihrer Daten- und IT-Sicherheit zu erfassen, wirksame Sicherheitsstandards zu entwickeln und diese im Alltagsgeschäft des Unternehmens einzuhalten.

Informationssicherheit hat immer mehr Fans. Und braucht internationale Standards wie ISO 27001. #jobwizards http://bit.ly/2saowm8

Jetzt tweeten

Doch bevor wir genauer auf das Zertifikat eingehen, hier ein schnelles Update in Sachen Datenschutz und Datensicherheit. Denn diese Begriffe sollte man nicht verwechseln.

Datenschutz – das Recht auf informationelle Selbstbestimmung

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) werden europaweit die Grundrechte bei der Verarbeitung personenbezogener Daten geregelt und damit wird ein neuer internationaler Maßstab aufgebaut. Der Datenschutz soll jedem Bürger das Recht auf informationelle Selbstbestimmung garantieren und ihn vor missbräuchlicher Verwendung seiner Daten schützen – Unternehmen in Europa haben dementsprechend neue Transparenz- und Informationspflichten. Zentrale Themen sind dabei

  • die Vertraulichkeit der Daten (sie sollten für unberechtigte Dritte nicht zugänglich sein)
  • die Daten-Integrität (die Sicherheit, dass Daten nicht verfälscht werden können) sowie
  • die Daten-Verfügbarkeit und die Belastbarkeit der Systeme und Dienste.

Datenschutz und Datensicherheit – wo ist der Unterschied?

Im Unterschied zum Datenschutz dient die Datensicherheit dem Schutz von Daten, zum Beispiel vor Manipulationen, Verlust oder unberechtigter Kenntnisnahme – egal ob die Daten einen Personenbezug aufweisen oder nicht. Datensicherheit beschäftigt sich also nicht mit der Frage, ob Daten erhoben und verarbeitet werden dürfen – das ist Sache des Datenschutzes! –, sondern damit, welche Maßnahmen zum Schutz der erhobenen Daten ergriffen werden sollten. Der Begriff der Informationssicherheit schließt alle Arten von gespeicherten Informationen ein.

Datenschutz und Datensicherheit hängen natürlich zusammen. Facebook-Firmenchef Mark Zuckerberg zum Beispiel muss sich gerade massiv mit dem Vorwurf des Datenmissbrauchs auseinandersetzen und lobt neuerdings sogar öffentlich die EU-Datenschutz-Grundverordnung, gibt aber gleichzeitig zu bedenken, dass es einige Jahre dauern könne, alle Datenprobleme im eigenen Haus zu beheben.

Die Datenschutz-Grundverordnung (EU-DSGVO) – ein internationaler Schutz?

Die neue EU-Datenschutz-Grundverordnung nimmt weltweit eine Vorreiterrolle ein. Spannend wird, wie das nun geltende Recht von datensammelnden Unternehmen in Europa umgesetzt wird, denn ein wichtiges Prinzip des Datenschutzes und des Rechts auf informationelle Selbstbestimmung ist Datensparsamkeit. Constance Bommelaer de Leusse, Senior Director der internationalen Internet Society (ISOC), stellt fest, dass es aber gerade daran in vielen Unternehmen hapert: Wenn nämlich nicht der Datenschutz oberste Priorität genießt, sondern das Sammeln von Daten.

Facebook hat bekanntlich die Daten von rund 2 Milliarden Nutzern gesammelt, die internationale Zentrale des Unternehmens ist in Irland. Werden nun die im Gegensatz zu den US-Regeln strengeren europäischen Datenschutzregeln für alle Facebook-Nutzer gelten? Bei Verstößen gegen die EU-Datenschutz-Grundverordnung drohen Unternehmen immerhin Strafen in Millionenhöhe oder bis zu vier Prozent des weltweiten Umsatzes. Firmen wie Facebook oder auch das Netzwerk Linkedin haben kürzlich angekündigt, die Verwaltung und Zuständigkeiten ihrer Mitglieder nebst dazugehöriger Daten zu verlagern. So soll verhindert werden, dass alle Nutzer die Rechte und Klagemöglichkeiten der EU-Bürger bekommen. Von zwei Milliarden Nutzern sollen gerade mal 370 Millionen europäische Nutzer der Zentrale in Irland zugeordnet bleiben.

Schritte des ISO-Zertifizierungsprozess

Strukturiert und übersichtlich: So läuft ein Zertifizierungsprozess nach ISO 27001 ab. Die Norm ISO/IEC 27001 beschreibt die grundlegenden Anforderungen an das Managementsystem für die Informationssicherheit einer Organisation.

Nur wenn Datenschutz- und Sicherheitsstandards international gelten, greifen sie wirklich

Fakt ist: Bei jeder einzelnen digitalen Anwendung entstehen Daten, weltweit in unvorstellbar großer Zahl. Und solange es keine einheitlichen und für alle Unternehmen verbindlichen internationalen Datenschutz- und Sicherheitsstandards gibt, wird Datenschutz ein Problem und das Sammeln, Speichern und Managen von Daten ein potentielles Sicherheitsrisiko bleiben.

Was es also braucht, ist eine wirksame internationale Struktur, die Unternehmen und Firmen überzeugt, sich an grundlegende Sicherheitsstandards zu halten. Besonders wichtig ist das vor dem Hintergrund der neuen Entwicklungen rund um die Industrie 4.0. Nur mit international anerkannten Sicherheitsmanagement-Standards kann nachhaltig gewährleistet sein, dass Geschäftspartner, Kunden und Verbraucher Vertrauen in die neuen Informationstechnologien und Systeme haben.

Information Security Management: Welche Organisationen setzen sich international für Informationssicherheit ein?

Gegenwärtig setzen sich in Europa sowie weltweit verschiedene Organisationen für Informationssicherheit ein, die sich austauschen und zusammenarbeiten. Dabei agieren Organisationen und Institutionen zunächst auf nationaler Ebene, wie zum Beispiel in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf europäischer Ebene ist die European Union Agency for Network and Information Security (ENISA) eine wichtige Anlaufstelle/Organisation, auf internationaler Ebene die International Organization for Standardization (ISO).

Das Konzept der Informationssicherheit zum Beispiel ist in den IT-Grundschutzkatalogen des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) und ebenso in der internationalen Zertifizierung nach ISO 27001 zu finden und hat ausdrücklich den Schutz von Informationen zum Ziel. Daneben gibt es weitere internationale Zertifizierungen, etwa von Personen oder von Produkten, wie zum Beispiel das Produktzertifikat nach dem internationalen Standard Common Criteria.

ISMS-Zertifizierung nach ISO 27001 – Vorreiter sein hat viele Vorteile

Eine internationale Fallstudie der ENISA hat 2013 die Security Certification Practice in Europa untersucht und dazu auch private Unternehmen unterschiedlicher Größe befragt (zwischen elf und 5.000 Mitarbeitern). Schon da zeigte die Auswertung, dass es viele gute Gründe und Motivationen gibt, sich um eine Zertifizierung zu bemühen. Neben einer Verbesserung des Sicherheitsqualitätsmanagements war ein weiterer wichtiger Beweggrund, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren und die eigene Position im Markt zu stärken. Zu den Kosten heißt es in der Studie, die Ausgaben allein für die Zertifizierung habe in den meisten Fällen die 10.000-Euro-Grenze nicht überschritten. Allerdings sollte man berücksichtigen, dass die erfahrungsgemäß sechs- bis zwölfmonatige Vorbereitungszeit vor dem ersten Audit inklusive Bestandsaufnahme ebenfalls Kosten verursacht, die wiederum vom Anwendungsbereich und dem Reifegrad des KMU abhängen. Auch Schulungen können je nach Wissensstand der Mitarbeiter anfallen.

Erwähnenswert ist, dass sich alle befragten Unternehmen mit der Entscheidung für die ISMS-Zertifizierung nach ISO 27001 sehr zufrieden zeigten und der Aussage zustimmten, dass die Kosten für Audit und Zertifizierung niedrig waren im Vergleich zum hohen Nutzen und zum Gewinn für das Unternehmen.

Offenbar spricht sich diese Zufriedenheit herum. Denn zwischen 2015 und 2016 ist die Zahl erteilter ISO/IEC-27001-Zertifizierungen weltweit um 20 Prozent gestiegen. 33.290 Zertifikate wurden nach Angaben der ISO mittlerweile ausgestellt. Ein positiver Trend, denn international gültige IT-Sicherheitsstandards unterstützen nachhaltige Lösungswege für die globalen Herausforderungen der Digitalisierung, Daten- und Informationsflut.

Work & Space