Nervig aber wichtig!

So verstehen Sie Datenschutz und Informationssicherheit richtig.

Informationssicherheit ist der Oberbegriff zur IT-Sicherheit – IT-Sicherheit ist allerdings nur ein Teil von Informationssicherheit. Fehlendes Verständnis führt bei vielen Unternehmen zu Verwundbarkeit, Millionenschäden und großer Schwierigkeiten, Cyberkriminelle dingfest zu machen.

Was ist Informationssicherheit?

Man könnte meinen, die Antwort wäre geradezu trivial. Immerhin werden Informationen fast nur mündlich, schriftlich auf Papier oder elektronisch weitergegeben. Jede dieser Art von Informationsverbreitung erfordert andere Schutzmaßnahmen. Dass ErzeugerInnen der Informationen oder Datensätze die Verantwortung für deren Schutz tragen ist ein wesentlicher Grund für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS).

Meine Erfahrung zeigt: praktisch müssen die Prozesselemente des Informationsschutzes (eine Tätigkeit, Aufgabe, Aktivität usw.) in den Prozessen eines Unternehmens berücksichtigt werden. Dazu zählen:

 

  • HR-Prozesse
  • Prozesse zur Informationsklassifizierung
  • Awarenessbildung im Unternehmen
  • Incident Management Regeln
  • PR-Regeln
  • Regeln zum physischen Zutritt zum Unternehmen

 

Informationssicherheit und Geschäftsprozess

Jedes Business ab einer gewissen Größe beruht auf Prozessen. Je klarer und eindeutiger diese sind, desto erfolgreicher kann das Unternehmen arbeiten. Um diesen Erfolg langfristig zu sichern muss eine entsprechende Informationssicherheit gewährleistet sein. Sie stellt die Basis zur Sicherstellung von Verfügbarkeit, Vertraulichkeit und Integrität von Informationen und Daten dar.

Um die Verfügbarkeit zu gewährleisten, müssen Systeme und Dienste belastbar und die Wiederherstellbarkeit von Daten möglich sein. Lassen sich Daten nach einem Zwischenfall nicht wiederherstellen, verletzt das die Vorgaben der DSGVO. In der Praxis heißt das einerseits die Risiken bei der Datenverarbeitung richtig einzuschätzen und andererseits technologische Aspekte der Informationssicherheit zu beachten.

Das Unternehmen muss Daten

  • vor unbefugter und unrechtmäßiger Verarbeitung,
  • vor unbeabsichtigtem Verlust,
  • unbeabsichtigter Zerstörung
  • und unbeabsichtigter Schädigung bewahren.

 

Informationssicherheit und ISO 27001

Im Rahmen der Nachweise technischer und organisatorischer Maßnahmen trifft man oft auf eine ISO 27001:2015 Zertifizierung. Hierbei handelt es sich um ein zertifiziertes Informationssicherheits-Managementsystems (ISMS). Neben der Möglichkeit Bedrohungen und Risiken frühzeitig zu erkennen, haben Unternehmen auch die Möglichkeit vertrauliche Kundeninformationen optimal zu schützen. Die Zertifizierung wirkt sich auch auf die Geschäfts- und Haftungsrisiken, Kosten sowie das Image des Unternehmens aus. Ob Kleinst- Unternehmen, KMU oder großer Konzern ist dabei egal.

 

Interne Anforderungen

Interne Anforderungen werden vom Unternehmen selbst festgelegt. Sie sollen Risiken wie den Verlust von geistigem Eigentum und Wettbewerbsvorteilen, den Schutz von personenbezogenen Daten von MitarbeiterInnen, KundInnen oder externen Dienstleistern sicherstellen. Die Einhaltung der Anforderungen bedarf angemessener Maßnahmen, die Risiken auf ein der Risikobereitschaft des Unternehmens entsprechendes Niveau reduzieren. Internationale Standards und Best Practice zeigen auf, was als angemessen angesehen werden kann.

Externe Anforderungen

Externe Anforderungen ergeben sich aus der Verpflichtung zur Einhaltung gesetzlicher, vertraglicher und regulatorischer Vorgaben. Es gilt, angemessene Schutzmaßnahmen umzusetzen und Risiken unter Kontrolle zu halten. Viele Unternehmen sind sich der Folgen von Cyberkriminalität nicht bewusst oder scheuen den Aufwand, weil sie ihn als unverhältnismäßig überschätzen. Dabei muss ein vollumfängliches ISMS gar nicht von heute auf morgen eingeführt werden. Ich begleite viele Unternehmen beim schrittweisen Implementieren.

ISO 9001 als Basis

Unternehmen, welche bereits über ein Qualitätsmanagementsystem gemäß ISO 9001 verfügen, haben bereits eine gute Basis für den schrittweisen Einstieg geschaffen. Die „High Level Structure“ für die Managementsystemnormen besitzt die gleiche Grundstruktur, unabhängig vom Themengebiet (gemeinsame Struktur des Inhaltsverzeichnisses, gleiche Kapitel). Gemeinsame Begriffe und Definitionen vereinfachen die Arbeit mit mehreren Normen. Das erleichtert die Implementierung oder führt zu einem kombinierten integrierten Managementsystem.

Der erste Schritt von einem bestehenden Qualitätsmanagement nach ISO 9001:2015 ist also ein Update des seit der Revision von 2015 geforderten risikobasierten Ansatzes in Richtung der ISO 27001.

Ihr Weg zur Implementierung eines wirksamen Datenschutzkonzeptes führt hier über das Kontaktformular.

Photo by Shahadat Rahman on Unsplash