Der stetige Wandel der heutigen Gesellschaft ist unabdingbar und lässt sich im Bereich der Information- und Telekommunikationstechnik wahrhaftig nachvollziehen. Cloud Computing, digitale Geschäftsmodelle, künstliche Intelligenz und neue Medien verändern bestehende Märkte und Brachen, Organisationsstrukturen und -kulturen, Wertschöpfungsprozesse und Möglichkeiten der Zusammenarbeit. Die Digitalisierung treibt die Disruption, also die Veränderung von etwas hin zu neuen Möglichkeiten, in vielen Bereichen immer stärker voran. Nicht immer sind Dinge neu, verändern aber die bisher bekannten Ansätze oder Technologien entscheidend bis hin zur Verdrängung. Ein Bespiel hierfür ist das Cloud Computing, mit dessen Hilfe Services im Geschäftsumfeld wie auch im privaten Umfeld entstehen und durch einen dezentralen Ansatz die Verfügbarkeit von Zeit und Ort unabhängig macht. Abgesehen davon entstehen weitere positiven Effekte, wie die Konzentration auf das Kerngeschäft einer Organisation, Standardisierung und Konsolidierung oder die Flexibilität Ressourcen nach Bedarf einzukaufen.
Digitale Transformation bedeutet nicht nur neue Technologien, sondern impliziert die Zunahme von IT-Services und der dadurch verbundenen Informationsverarbeitung. Informationen wiederum stellen für Organisationen einen Wert dar und werden in der Öffentlichkeit immer wieder als das Rohöl des 21. Jahrhunderts bezeichnet, was so nicht ganz richtig ist. Abgesehen von der Beschaffenheit sind Informationen etwas, was im Gegensatz zu Rohöl sehr schnell zu produzieren und nahezu unendlich ist und je nach Aktualität einen Vorteil gegenüber Dritten darstellen. Dies bringt allerdings Gefahren mit sich. Global ist eine Zunahme der Cyberbedrohungen zu beobachten, hinter denen unterschiedliche Motivationen stecken. Nicht nur Hacker aus kriminellen Vereinigungen, Cybercrime as a Service oder Hacktivisten sind für Angriffe verantwortlich, sondern ebenso Geheimdienste oder staatlich geförderte Hacker. Neben der Quantität von Angriffen ist zudem eine Erhöhung der Qualität zu verzeichnen. Malware, das Ausnutzen von Sicherheitslücken oder Social Engineering sind Mittel der Wahl, um an Informationen zu gelangen. Neben internen Sicherheitsmaßnahmen einer Organisation versucht der Staat zusätzlich durch Gesetze und Verordnungen unter Berücksichtigung von Normen und Standards die allgemeine Sicherheit von IT-Systemen und Informationen zu erhöhen. Die Artikelreihe zum Thema “Informationssicherheitsmanagementsystem nach ISO/IEC 27001” befasst sich mit der Einführung eines ISMS nach ISO/IEC 27001 und behandelt im ersten Teil allgemeine Grundlagen zum Thema.
Begriffsbestimmung
Informationen
Informationen sind Werte einer Organisation, die für das Ergebnis notwendig sind, bei mehrfacher Nutzung nicht zwingend verbraucht werden und sich in ihrer Gültigkeit sowie ihrer Bedeutung unterscheiden. Sie lassen sich als immaterielles Gut zuordnen und durch Nutzungsrechte bzw. dessen Erwerb vorteilhaft einsetzen. Informationen weisen unterschiedliche Formen der Speicherung auf. Dies kann in digitaler Form von strukturierten, semistrukturierten bzw. unstrukturierten Daten auf elektronischen oder optischen Medien, in materieller Form von gedruckten oder geschriebenen Medien wie auch in Form von Wissen der Mitarbeiter bzw. im allgemeinen der Organisation sein. Die Übertragung solcher Informationen geschieht auf verschiedener Weise, wie elektronischer oder mündlicher Kommunikation sowie über Kuriere. Unabhängig von der Form und der Übertragung von Informationen bedürfen diese eines angemessenen Schutzbedürfnisses, dessen Ausprägung durch eine Klassifizierung erfolgt.
Informationen weisen zusammengefasst folgenden Eigenschaften auf: sie dienen der Wissensvermehrung, haben einen Wert, wenn sie Kenntnisse erweitern, lassen sich erneut vervielfältigen, sind beliebig kombinierbar, besitzen einen Wert für eine Person oder eine Organisation und stellen ein Wirtschaftsgut dar.
Informationssicherheit
Da Informationen einen wesentlichen Wert für Organisationen darstellen, ist deren angemessener Schutz unabdingbar. Durch die steigende Vernetzung und Digitalisierung ist der Einsatz von IT-Systemen für die Informationsverarbeitung nicht mehr wegzudenken und für die Aufrechterhaltung der Geschäftsprozesse unerlässlich. Infolgedessen stellen nicht ausreichend geschützte Informationen ein unterschätztes Risiko dar und können sogar die Existenz einer Organisation bedrohen.
In diesem Kontext wird der Schutz der IT-Systeme unter dem Begriff „IT-Sicherheit“ zusammengefasst und beschäftigt sich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung in IT-Systemen durch voranging technische Maßnahmen. Dem gegenüber steht die Informationssicherheit, welche sich im Vergleich zur IT-Sicherheit nicht nur auf die elektronisch gespeicherten und verarbeitenden Informationen begrenzt, sondern vielmehr die Informationen in allen Phasen der Geschäftsprozesse betrachtet. Hier spielt nicht nur der technische, sondern auch der menschliche, infrastrukturelle und organisatorische Faktor eine Rolle, um Probleme im Bereich der Informationssicherheit zu vermeiden.
Die Informationssicherheit umfasst summarisch die Anwendung und Verwaltung geeigneter Kontrollen, die die Berücksichtigung einer Vielzahl von Bedrohungen beinhalten, mit dem Ziel, einen nachhaltigen Geschäftserfolg und Kontinuität zu gewährleisten und die Folgen von Vorfällen im Bereich der Informationssicherheit zu minimieren.
Attribute der Informationssicherheit
Die Informationssicherheit dient der Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, welche die Attribute darstellen. Im englischen sind diese drei Attribute unter dem Akronym CIA oder dem Begriff CIA-Triade bekannt, welches als Kurzform für die Anfangsbuchstaben der Begriffe Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) steht.
Vertraulichkeit
Vertraulichkeit bezieht sich auf die Beschränkung des Zugangs zu Daten und Informationen, abhängig von ihrer Klassifizierung, nur auf diejenigen, die dazu berechtigt sind. Im Allgemeinen bedeutet dies, dass ein einzelner Datensatz oder einzelne Informationen für eine oder mehrere autorisierte Personen, Entitäten, Prozessen oder Systemen zugänglich ist und niemand sonst ihn sehen kann oder Zugriff darauf hat. Vertraulichkeit ist unterscheidbar von der Privatsphäre in dem Sinne, dass “vertraulich” den Zugriff auf einen Datensatz durch viele Quellen impliziert, während “privat” in der Regel bedeutet, dass die Daten nur einer einzigen Quelle zugänglich sind. Als Beispiel hierfür gilt ein Passwort als privat, weil es nur eine Person wissen sollte, während eine Personalakte als vertraulich gilt, weil mehrere Mitglieder der Personalabteilung sie einsehen dürfen.
Integrität
Integrität, die insbesondere für Daten und Informationen relevant ist, bezieht sich auf die Zusicherung, dass die Daten nicht unbefugt verändert wurden. Integritätskontrollen sollen sicherstellen, dass ein Datensatz oder Informationen nicht von Unbefugten geändert oder vollständig gelöscht werden kann und somit ihre Richtigkeit und Vollständigkeit bewahrt bleiben. Ziel von Integritätskontrollen ist es zum einen nicht-autorisierter Personen, Entitäten, Prozessen oder Systemen die Fähigkeit zu nehmen, Änderungen an Daten und Informationen vornehmen zu können. Zum anderen muss die Möglichkeit bewahrt werden, Daten und Informationen in ihren Ursprungszustand zurückzuversetzen, sollten sie korrupt, beschädigt oder zerstört worden sein.
Verfügbarkeit
Anhand der Verfügbarkeit wird autorisierten Personen, Entitäten, Prozessen oder Systemen ermöglicht, auf Daten und Informationen ohne Beeinträchtigung oder Blockierung zuzugreifen, die sie bspw. für ihre Arbeit oder Wertschöpfung benötigen. Vorfälle, wie Denial-of-Service (DoS)-Angriffe, und Katastrophen, wie Überschwemmungen, sind Dinge, die die Verfügbarkeit beeinträchtigen. Im Wesentlichen bedeutet Verfügbarkeit, dass die Systeme ohne Unterbrechung weiterhin zur Verfügung stehen und die Daten und Informationen zugänglich bleiben. Für Organisationen, die auf die Verfügbarkeit von Daten, Informationen oder Systemen angewiesen sind ist dies ein elementares Attribut der Informationssicherheit, da sonst der Geschäftszweck zum Erliegen kommt, selbst wenn die Verfügbarkeit nur beeinträchtigt ist.
Zusätzlich zu den drei zuvor genannten Attributen können auch weitere Attribute wie Authentizität (engl. Authenticity), Zurechenbarkeit (engl. Accountability), Nichtabstreitbarkeit (engl. Non-repudiation) und Verlässlichkeit (engl. Reliability) nach der ISO/IEC 27000 einbezogen werden.
Informationssicherheitsmanagementsystem (ISMS)
Ein ISMS (engl. Information Security Management System) ist kein Produkt, sondern ein kontinuierlicher Prozess zur Wahrung der Sicherheit und Zuverlässigkeit von Systemen innerhalb einer Organisation oder definierten Organisationsbereich, um Geschäftsziele zu erreichen. Um dies zu verwirklichen beinhaltet es abgestimmte Aufgaben und Aktivitäten, die es ermöglichen, die Beeinträchtigung von Prozessen mithilfe eines Rahmenwerkes zu vermeiden oder die Schadenswirkung auf diese einzudämmen.
Der Standard ISO/IEC 27000 definiert ein ISMS als systematischen Ansatz für die Einrichtung, Implementierung, Betrieb, Überwachung, Überprüfung und Wartung eines ISMS zur Verbesserung der Informationssicherheit einer Organisation. Dazu basiert es auf einer Risikobewertung und den Risikoakzeptanzniveaus der Organisation, um Risiken effektiv zu behandeln und zu managen. Eine Analyse der Anforderungen an den Schutz von Informationsbeständen und die Anwendung geeigneter Kontrollen, um den Schutz dieser Informationsbestände bei Bedarf zu gewährleisten, trägt zur erfolgreichen Einführung eines ISMS bei.
Gemäß dem Bundesamt für Sicherheit (BSI)-Standard 200-1, welcher sich dem Thema „Managementsysteme für Informationssicherheit (ISMS)“ widmet, gehören die grundlegenden Komponenten, wie Managementprinzipien, Ressourcen, Mitarbeiter und der Sicherheitsprozess, unterteilt in Leitlinie für Informationssicherheit (engl. Information Security Policy), in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind sowie zugehörend Sicherheitskonzept und Sicherheitsorganisation, zu einem ISMS. Die Leitlinie für Informationssicherheit wird von der Organisationsleitung vorgegeben und basiert auf den Geschäftszielen. Sicherheitskonzept sowie Sicherheitsorganisation wiederum dienen als Hilfsmittel der Organisationsleitung zur Umsetzung der Sicherheitsstrategie. Die folgende Abbildung 1 zeigt den systematischen Ansatz eines ISMS.
Abbildung 1: Systematische Ansatz eines ISMS
Ebenso tragen die folgenden Grundprinzipien nach ISO/IEC 27000 zur erfolgreichen Einführung eines ISMS bei:
-
Bewusstsein für die Notwendigkeit und Übertragung der Verantwortung für die Informationssicherheit
-
Einbeziehung der Verpflichtung des Managements und der Interessen der Interessengruppen
-
Verbesserung der gesellschaftlichen Werte
-
Risikobewertungen, die geeignete Kontrollen festlegen, um ein akzeptables Risikoniveau zu erreichen
-
Sicherheit, die als wesentliches Element von Informationsnetzen und -systemen integriert ist
-
aktive Prävention und Erkennung von Vorfällen der Informationssicherheit
-
Gewährleistung eines umfassenden Ansatzes für das Management der Informationssicherheit
-
kontinuierliche Neubewertung der Informationssicherheit und gegebenenfalls Durchführung von Änderungen