Informationssicherheit-Managementsystem

Auf Sicherheit bauen

Das Architekturbüro von Harald P. kann sich über mangelnde Aufträge nicht beklagen. Seine acht Mitarbeiter*innen sind voll ausgelastet. Sie erstellen Pläne für städtische Grünanlagen, genauso wie für futuristische Bürokomplexe.

Neu hinzu gekommen ist der Auftrag eines großen DAX-Konzerns. Der aber legt Wert darauf, dass seine Betriebsgeheimnisse beim Auftragnehmer auch gut aufgehoben sind.

Die Sorge ist berechtigt. Über seine Kontakte hat Harald P. von einem anderen Büro erfahren, das vor kurzem Opfer eines Ramsomware-Angriffs wurde. Innerhalb weniger Augenblicke waren alle wichtigen Systeme verschlüsselt. Die Arbeit der letzten Monate war nicht mehr verfügbar. Dazu forderten die Angreifer auch noch ein hohes Lösegeld und drohten mit der Veröffentlichung der gestohlenen Daten.

Harald P. ist gewarnt. Wenn er auch in Zukunft noch lukrative Aufträge erhalte möchte, muss er vorsorgen. Er muss zeigen, dass die Kundendaten bei ihm sicher sind und vor allem, dass er jederzeit die vereinbarten Ergebnisse liefern kann.

Der beste Weg dorthin ist der Aufbau eines Informationssicherheits-Managementsystems. Ein solches ISMS die zentrale Voraussetzung für einen umfassenden und nachhaltigen Schutz von Daten und Informationen. Es ersetzt die oftmals nur sporadisch und punktuell getroffenen Maßnahmen und betrachtet stattdessen systematisch und wiederholt alle wesentlichen Faktoren der Informationssicherheit im Unternehmen.

Um sich beraten zu lassen, hat Harald P. das Paket InfoSec Pro 5 gewählt. Es bietet einen günstigen Einstieg in die Problematik zum Festpreis.

Zugegeben, bis jetzt beschränkten sich die Maßnahmen auf das Offensichtliche. Alle Zugänge wurden mit Passwörtern versehen und auf jedem Rechner läuft außerdem noch ein Antivirus-Programm. Im Gespräch wird jedoch schnell klar, dass das nicht mehr genügt. Passwörter können, falls sie nicht korrekt verwendet werden kaum noch wirksam Angriffe abwehren. Und Anti-Virus-Programme sind trotz allerlei Versprechen nicht in der Lage, vor jeder Bedrohung zu schützen.

Zu Beginn des Prozesses stehen eine Reihe von Überlegungen und Festlegungen. Es muss klar gesagt werden, was eigentlich geschützt werden soll und warum es geschützt werden soll. Auch muss sichergestellt sein, dass das die Sicherheits-Anforderungen von allen mitgetragen werden. Ganz besonders jedoch von Harald P. Er ist sich in diesem Punkt seiner Vorbildrolle voll bewusst. Wesentliche Punkte müssen notiert werden und dienen in Form von Richtlinien oder Konzepten für die zukünftige Arbeit im Büro. Die Vorlagen hierfür werden mit den Paketen InfoSec Pro zur Verfügung gestellt.

In einem nächsten Schritt werden diejenigen Daten und Prozesse zusammengetragen, um deren Schutz es konkret geht. Damit einher geht auch die Erfassung der relevanten Soft- und Hardware sowie des Umfelds. Die Analyse macht auch noch einmal deutlich, dass die Verantwortung über Daten und Informationen nicht endet, sobald sie in einer Cloud abgelegt werden.

Nachdem diese Strukturanalyse vorliegt, ist der Zeitpunkt gekommen, den Schutzbedarf für die einzelnen Prozesse und Daten festzulegen. Denn nicht alles kann und muss gleich gut geschützt werden. Oft werden die Mittel dafür auch nicht ausreichen.

Ist der Schutzbedarf einmal festgelegt, können auch die konkret zu beachtenden Anforderungen definiert werden. Einige werden bereits erfüllt sein. Andere können erfüllt werden. Dritte wiederum werden aufgrund des hohen Aufwands vielleicht nicht erfüllt werden können. In diesem Fall müssen Wege gefunden werden, wie mit dem erkannten Risiko umgegangen werden soll.

An dieser Stelle enden auch die im Paket InfoSec Pro enthaltenden Leistungen. Ab jetzt kommt es darauf, die entsprechenden Maßnahmen durchzuführen. Außerdem muss dafür gesorgt werden, dass das erreichte Sicherheitsniveau auch beibehalten und weiter verbessert wird. Hierzu wird auf den sogenannten PDCA-Zyklus zurückgegriffen. Der besagt vereinfacht, dass einmal umgesetzte Maßnahmen regelmäßig auf ihre Wirksamkeit hin untersucht und gegebenenfalls angepasst werden müssen. Diese Arbeiten kann Harald P. entweder selbst übernehmen oder aber die regelmäßige Unterstützung durch externe Sicherheitsberater*innen in Anspruch nehmen.

Harald P. hat nunmehr die Wahl, sich selbst um die notwendigen Maßnahmen zu kümmern.

Hast du Fragen zum Angebot? Dann schreib uns einfach!