Managementsystem zur Informationssicherheit E-Book

myBook+

Ihr Portal für alle Online-Materialien zum Buch!

Arbeitshilfen, die über ein normales Buch hinaus eine digitale Dimension eröffnen. Je nach Thema Vorlagen, Informationsgrafiken, Tutorials, Videos oder speziell entwickelte Rechner – all das bietet Ihnen die Plattform myBook+.

Ein neues Leseerlebnis

Lesen Sie Ihr Buch online im Browser – geräteunabhängig und ohne Download!

Und so einfach geht’s:

Gehen Sie auf https://mybookplus.de, registrieren Sie sich und geben Sie Ihren Buchcode ein, um auf die Online-Materialien Ihres Buches zu gelangen

Ihren individuellen Buchcode finden Sie am Buchende

Wir wünschen Ihnen viel Spaß mit myBook+ !

Print:

ISBN 978-3-7910-6139-9

Bestell-Nr. 10999-0001

ePub:

ISBN 978-3-7910-6140-5

Bestell-Nr. 10999-0100

ePDF:

ISBN 978-3-7910-6141-2

Bestell-Nr. 10999-0150

Knut Haufe/Srdan Dzombeta

Managementsystem zur Informationssicherheit

1. Auflage, Januar 2024

© 2024 Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH

www.schaeffer-poeschel.de

[email protected]

Bildnachweis (Cover): © Stoffers Grafik-Design, Leipzig

Produktmanagement: Dr. Frank Baumgärtner

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte, insbesondere die der Vervielfältigung, des auszugsweisen Nachdrucks, der Übersetzung und der Einspeicherung und Verarbeitung in elektronischen Systemen, vorbehalten. Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.

Schäffer-Poeschel Verlag Stuttgart Ein Unternehmen der Haufe Group SE

Sofern diese Publikation ein ergänzendes Online-Angebot beinhaltet, stehen die Inhalte für 12 Monate nach Einstellen bzw. Abverkauf des Buches, mindestens aber für zwei Jahre nach Erscheinen des Buches, online zur Verfügung. Ein Anspruch auf Nutzung darüber hinaus besteht nicht.

Sollte dieses Buch bzw. das Online-Angebot Links auf Webseiten Dritter enthalten, so übernehmen wir für deren Inhalte und die Verfügbarkeit keine Haftung. Wir machen uns diese Inhalte nicht zu eigen und verweisen lediglich auf deren Stand zum Zeitpunkt der Erstveröffentlichung.

Vorwort

Nahezu alle Strategien und Ziele von Unternehmen und Organisationen sind im aktuellen Informationszeitalter auf Transformation und Digitalisierung ausgerichtet. Dies bringt einen fundamentalen Wandel für die Wirtschaft mit sich. Innovative Geschäftsmodelle sowie neue Methoden und Technologien ermöglichen Unternehmen und Organisationen neue Möglichkeiten zum Wachstum sowie zur Steigerung der Effizienz.

Neben den neuen Technologien wie Künstlicher Intelligenz (KI) oder Blockchain sind noch weitere Fähigkeiten erforderlich, um diese Potenziale zu nutzen. Dabei ist es von essenzieller Bedeutung, erforderliche Informationen der Organisation als WerteWerte zu verstehen sowie zeitliche Informationsvorsprünge oder deren Vertraulichkeit zu gewährleisten.

»Keine Digitalisierung ohne Sicherheit« – dieser Leitsatz stellt die Notwendigkeit der Informationssicherheit im Zusammenhang mit der Transformation und der strategischen Ausrichtungen zur Digitalisierung dar. Informationssicherheit beinhaltet dabei folgende abstrakte Ziele:

Präventive Prozesse und Maßnahmen zur Schadensvermeidung,

Detektive Prozesse und Maßnahmen zur Reaktion auf Gefährdungen,

Reaktive Prozesse und Maßnahmen zur Behebung eingetretener Risiken.

Um diese Ziele zu erreichen, ist ein InformationssicherheitsmanagementsystemInformationssicherheitsmanagementsystem (ISMS) zur Steuerung der Organisationsstrukturen, Prozesse und Maßnahmen erforderlich. Der Aufbau und der Betrieb eines ISMS sind zwar seit vielen Jahren durch eine Vielzahl von Normen und Standards beschrieben, jedoch existiert erst seit 2021 mit ISO/IEC TS 27022:2021 ein standardisiertes ProzessreferenzmodellProzessreferenzmodell, welches zum Betrieb eines ISMS erforderlich ist.

Wir freuen uns, Ihnen die in diesem Buch zusammengestellte Sammlung an Erfolgsfaktoren für die Definition von Prozessen zum Aufbau eines Informationssicherheitsmanagementsystems zur Verfügung stellen zu können.

Informationssicherheit ist hierbei kein Selbstzweck – der Wert der Information und Informationsverarbeitung muss jede Investition in die Sicherheit dieser rechtfertigen. Angemessenheit und Effizienz sind wesentliche Erfolgsfaktoren des ISMS-BetriebISMS-Betriebs.

Gegenstand dieses Buches sind daher sowohl der angemessene und prozessorientierte Betrieb des ISMS auf dem individuell notwendigen Reifegrad als auch die Unterscheidung des ISMS von Sicherheitsmaßnahmen. Diese Unterscheidung ermöglicht eine verursachungsgerechte Zuordnung und damit Steuerung von Ressourcen/Kosten der Informationssicherheit, um die Angemessenheit eines ISMS transparent zu machen und unnötige Kosten zu vermeiden.

Das ISMS-ProzessreferenzmodellProzessreferenzmodell und die Methodik zur Bestimmung des individuellen SOLL-Reifegrades eines ISMS-Prozesses ermöglichen so einen nachhaltigen und effizienten Betrieb eines ISMS. Auf diese Weise wird für alle Organisationen ein Paradigmenwechsel im Informationssicherheitsmanagement eingeläutet – von der Maßnahmen- und Projektorientierung hin zu einem systematischen Grundverständnis und der Fokussierung auf den ISMS-Betrieb als Teil eines integrierten Managementsystems.

Nach einer kurzen thematischen Einführung im ersten Kapitel werden im zweiten Kapitel relevante Grundlagen und Definitionen der Informationssicherheit erläutert. Diesem Kapitel folgt eine Darstellung der Erfolgsmethoden für Managementsysteme im dritten Kapitel. Anschließend werden im vierten Kapitel Anforderungen an die Informationssicherheit und deren Einhaltung (Compliance) thematisiert. Im fünften Kapitel werden wesentliche Best-Practice-ISMS-Normen – die ISO-27000-Normenfamilie sowie der BSI-IT-Grundschutz – beschrieben und deren Vorgehensweisen verglichen. Im sechsten Kapitel folgen die Vorstellung des ISMS-Prozessreferenzmodells und die Erläuterung eines Vorgehens zur Einführung im siebenten Kapitel. Das achte Kapitel enthält eine Beschreibung eines reduzierten ISMS-Prozessreferenzmodells für grundsätzlich geringe Reifegradanforderungen, gefolgt vom neunten Kapitel mit einem prozessorientierten Mapping der relevanten Standards/Normen. Anhang A enthält das Konformitätsstatement zu ISO/IEC 33004.

1 Einführung

Kern und gleichzeitig Motor der digitalen Gesellschaft, in der wir heute leben, ist die Verarbeitung von Informationen. Mit der Digitalisierung und der damit verbundenen Informationsverarbeitung steigt auch die Abhängigkeit nahezu aller Organisationen von einer angemessenen Informationssicherheit. Es ist unstrittig, dass zur Etablierung und Aufrechterhaltung einer angemessenen Informationssicherheit die Risiken der Informationsverarbeitung durch ein InformationssicherheitsmanagementsystemInformationssicherheitsmanagementsystem (ISMS) dauerhaft gesteuert werden müssen.

Auf dem Weg zur Etablierung einer angemessenen Informationssicherheit bestehen diverse Herausforderungen, wie:

Berücksichtigung des stetigen Wandels – forciert durch Digitalisierung und Transformation,

Identifikation und Einhaltung der immer komplexer werdenden gesetzlichen und regulatorischen Anforderungen,

Akzeptanz von Informationssicherheit als Organisations- und nicht nur als Technikprojekt – Planung und Umsetzung der notwendigen internen Strukturen (Menschen, Prozesse und Technologie) und

Gewährleistung von Effizienz durch Bestimmung, Umsetzung und Aufrechterhaltung des »angemessenen« Sicherheitsniveaus.

Gegenstand der bisherigen Literatur ist primär der initiale Aufbau eines ISMS, welcher oft als Projekt durchgeführt wird, und nicht der ISMS-BetriebISMS-Betrieb nach dieser Projektphase. Auch das ISMS selbst, bestehend aus Ablauf- und einer Aufbauorganisation ist nicht im Fokus der aktuellen Literatur. In vielen Normen und Standards, wie der ISO-27000-Normenreihe, COBIT oder der ISO-20000-Normenreihe/ITIL und der aktuellen Forschung wird zwar auf den »ISMS-ProzessISMS-Prozess« oder die »ISMS-Prozesse« verwiesen; es ist aber nicht klar oder konsequent beschrieben, welche Prozesse konkret die Ablauforganisation eines ISMS bilden.

Prozesse werden zwar benannt, aber erst seit 2021 in ISO/IEC TS 27022 als ProzessreferenzmodellProzessreferenzmodell für ein ISMS beschrieben. Auch im IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden erst seit der aktuellen Modernisierung der Grundschutzstandards und des Grundschutzkompendiums Prozessbausteine berücksichtigt, die jedoch wieder aus einzelnen Maßnahmen statt Prozessen bestehen.

Oft scheitern ISMS-ProjektISMS-Projekte an dem Übergang vom Projekt zum operativen Betrieb, da gar nicht klar ist, was genau wie und wie oft zum Betrieb des ISMS getan werden muss. Das in diesem Buch vorgeschlagene und beschriebene ISMS-ProzessreferenzmodellISMS-Prozessreferenzmodell erlaubt neben dem Aufbau eine Konzentration auf den Betrieb der ISMS-ProzessISMS-Prozesse anstelle der bisherigen Maßnahmenorientierung beziehungsweise Vermischung von Maßnahmen und Prozessen. Auf diese Weise wird der systemische Grundgedanke eines ISMS wieder in den Vordergrund gehoben und die Bedeutung des Managementsystems gestärkt.

Das ISMS-ProzessreferenzmodellISMS-Prozessreferenzmodell stellt dabei einen prozess- und betriebsorientierten Ansatz im Informationssicherheitsmanagement dar, der den nachhaltigen und effizienten Betrieb eines ISMS ermöglicht. Es unterstützt die Anwender bei dem Übergang vom projektorientierten Design und Aufbau des ISMS, hin zum prozessorientierten Betrieb des ISMS. Dieses Buch dient dazu, die Erreichung der folgenden Ziele beim Aufbau eines ISMS zu ermöglichen:

Identifizierung und Erfüllung der Anforderungen beim Aufbau eines ISMS

Definition der Ablauforganisation – der Prozesse zum Betrieb des ISMS

Angemessene Steuerung eines ISMS

Auskunftsfähigkeit zur Informationssicherheit gegenüber Stakeholdern

Gewährleistung der für die Organisation erforderlichen Fähigkeiten zur Informationssicherheit

Gewährleistung der Angemessenheit durch Identifikation und Umsetzung des notwendigen Reifegrades einzelner ISMS-ProzessISMS-Prozesse

Um die oben aufgeführten Ziele zu erreichen, ist es erforderlich, folgende Denkweise (»Mindset«) anzuwenden:

Fokussierung auf das Wesentliche – Die Nutzung eines Top-Down-Ansatzes ermöglicht hierbei ein effizientes Vorgehen, die Übersicht zu behalten und Performance-Aspekte frühzeitig in den Fokus zu rücken.

Komplexität steuern – Dabei ist es wichtig, Komplexität zu vermeiden, zu reduzieren und zu beherrschen. Dafür ist eine ausreichende Transparenz im Denken und Handeln erforderlich.

Prozessbewusstsein schaffen – Proaktives und planendes Prozessbewusstsein ermöglicht den dauerhaften Betrieb und die Operationalisierung. Prozesse werden parallel zum Verhalten wahrgenommen und laufend entsprechend den Zielen modifiziert.

Handlungen reflektieren – Neben dem gründlichen Nachdenken über Sachverhalte unter Berücksichtigung verschiedener Gesichtspunkte, werden auch eigene Strukturen des Denkens (Vorurteil) einbezogen. Zur Reflexion gehört die Berücksichtigung der eigenen Vorentscheidungen. Selbstevaluation und Supervision sind die wichtigsten Formen der Reflexion des professionellen Handelns (Professionalisierung). Die Ergebnisse dieses Nachdenkens beeinflussen das zukünftige Handeln.

Standardisieren und skalieren – Standardisierung ermöglicht den effizienten Betrieb des Managementsystems und die Skalierung von Prozessdurchläufen.

Ein weiterer wesentlicher Inhalt dieses Buches ist neben dem ISMS-ProzessreferenzmodellISMS-Prozessreferenzmodell die entwickelte und erprobte Methodik zur Bestimmung des individuellen SOLL-Reifegrades eines ISMS-Prozesses. Die entwickelte Methode zur SOLL-Reifegradbestimmung von ISMS-Prozessen dient der Anpassung des ISMS-Prozessreferenzmodells auf die jeweiligen individuellen Anforderungen einer Organisation und ermöglicht so Effizienzsteigerungen durch die Etablierung eines individuell angemessenen Reifegrades der ISMS-ProzessISMS-Prozess, Reifegrade.

Das ISMS-ProzessreferenzmodellISMS-Prozessreferenzmodell wurde in zwei Varianten – einer vollständigen und einer reduzierten Ausprägung für Organisationen mit grundsätzlich eher geringen Reifegradanforderungen entwickelt – um dessen Anwendung zu erleichtern. Unabhängig davon müssen beide Varianten an die Anforderungen und individuellen Rahmenbedingungen der anwendenden Organisation angepasst werden. Eine unangepasste Nutzung »out-of-the-box« wird ausdrücklich nicht empfohlen.

Die modulare Struktur und die generische Beschreibung der ISMS-Prozesse gewährleisten eine Anwendbarkeit für alle Organisationen, unabhängig von Größe, Branche und sonstigen Rahmenbedingungen.

Die Anwendung des ISMS-Prozessreferenzmodells und der Methodik zur Bestimmung des SOLL-Reifegrades von ISMS-Prozessen ermöglichen für alle Organisationen einen Paradigmenwechsel im Informationssicherheitsmanagement – von der Maßnahmen- und Projektorientierung hin zu einem systematischen Grundverständnis und Fokussierung auf den Betrieb des ISMS als Teil eines integrierten Managementsystems.

Die Prozessorientierung unterstützt die Integration der Managementsystemdomänen wie Informationssicherheitsmanagement, Datenschutzmanagement, Geschäftskontinuitätsmanagement, IT-Service-Management etc. in ein integriertes Gesamtmanagementsystem einer Organisation.

2 Grundlagen und Definitionen

Dieses Kapitel enthält einen Überblick über wesentliche Grundlagen und Definitionen, die für das weitere Verständnis dieses Buches von Bedeutung sind.

2.1 Daten und Informationen

Daten sind allgemeine Angaben, (Zahlen-)WerteWerte oder formulierbare Befunde, die durch Messung, Beobachtung, Analyse oder andere Verfahren gewonnen werden. Daten sind beispielsweise Zeichen wie Buchstaben, Zahlen oder auch Bilder.

Informationen ergeben sich durch Interpretation der Daten – sie ergeben sich also erst aus der Berücksichtigung der Bedeutungsebene der Daten. Informationen können in verschiedenen Zuständen vorkommen:

auf analogen Datenträgern, wie Papier,

auf elektronischen Datenträgern, beispielsweise in flüchtigen oder nicht flüchtigen Speichern innerhalb oder außerhalb von IT-Systemen, oder

als gesprochenes Wort.

Sie können dabei direkt lesbar oder verschlüsselt sowie von Menschen und/oder von Maschinen lesbar sein.

2.2 Informationen als Werte

Jede Organisation nutzt beziehungsweise besitzt WerteWerte. Werte können dabei materiell oder immateriell sein. Beispiele für materielle Werte sind: Gebäude, Maschinen, IT (Server, Arbeitsplätze, Netzwerkgeräte). Immaterielle Werte sind beispielsweise Softwarelizenzen, Know-how des Personals, Prozesse, Muster, Rezepte oder die Marke bzw. Image der Organisation.

Auch Informationen sind WerteWerte, die sich nach ihrer Bedeutung für die Organisation und die Erreichung der Ziele dieser Organisation richten.

Für jeden Wert muss – entsprechend seiner Bedeutung für die Organisation – gewährleistet sein, dass ein angemessenes Schutzniveau erreicht wird. Wird das angemessene Schutzniveau nicht erreicht, gefährdet dies die Zielerreichung oder Existenz der Organisation. Die Nutzung von Werten zur Erreichung der Ziele ist grundsätzlich risikobehaftet – auch im Rahmen der Verarbeitung von Informationen bestehen Risiken in Bezug auf die Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus.

Jede Organisation hat dabei ihre eigenen individuellen Anforderungen, die sie erfüllen muss. Diese Anforderungen können gesetzlicher, regulatorischer, vertraglicher Art sein, aber auch aus sonstigen Vorgaben resultieren. Teile dieser Anforderungen beziehen sich direkt oder indirekt auf die Informationen und den Schutz dieser als schützenswerte WerteWerte.

Jede Organisation sollte in einem ersten Schritt die Anforderungen an die Informationsverarbeitung identifizieren, analysieren, priorisieren, Zielkonflikte auflösen, und konsolidieren sowie im Anschluss daraus in Form der Schutzziele dokumentieren. Dabei müssen nicht nur Anforderungen von internen Anspruchsstellen, wie Ziele der Organisationsleitung, sondern auch Ziele von externen Dritten berücksichtigt werden.

2.3 Informationssicherheit

Sicherheit wird als »Abwesenheit unvertretbarer Risiken« bezeichnet. Informationssicherheit bedeutet daher die »Abwesenheit unvertretbarer Risiken der Informationsverarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen)«. In der Informationssicherheit werden dabei grundsätzlich die drei SchutzzieleSchutzziele Vertraulichkeit, Verfügbarkeit und Integrität unterschieden.

Vertraulichkeit bedeutet, dass Informationen lediglich durch die Personen zur Kenntnis genommen werden beziehungsweise werden können, die hierfür ermächtigt/befugt sind. Schränkt man diesen Personenkreis auf das absolut nötige Minimum ein, wird dies auch als »Need-to-know« oder Minimal-Prinzip verstanden.

Verfügbarkeit bedeutet, dass Informationen zur richtigen Zeit (dann, wenn sie benötigt werden) und am richtigen Ort (dort, wo sie benötigt werden) zugreifbar sind. Verfügbarkeit ist beispielsweise nicht gewährleistet, wenn eine Datenbank auf einem Datenbankserver zwar ordnungsgemäß im Betrieb ist, aber die Netzwerkverbindung vom Arbeitsplatz zur Datenbank gestört ist und die Mitarbeiter deshalb nicht auf die Informationen in der Datenbank zugreifen können.

Integrität bedeutet, dass ausschließlich gewünschte/autorisierte Änderungen an Informationen vorgenommen werden. Die Integrität ist nicht gegeben, sobald unautorisierte Änderungen vorgenommen wurden. Es geht im Rahmen der Integrität daher nicht um eine vollständige Verhinderung von Änderungen im Sinne einer Unveränderbarkeit.

Informationssicherheit ist dabei zwar im Rahmen einer Zeitpunktbetrachtung ein Zustand, der jedoch durch einen Prozess kontinuierlich definiert, erreicht und aufrechterhalten werden muss. Hierbei geht es nicht um eine vollständige (hundertprozentige) Sicherheit im Sinne einer Risikovermeidung beziehungsweise einer vollständigen Eliminierung der Risiken. Vielmehr muss ein angemessenes Niveau der Sicherheit erreicht werden. Unter Berücksichtigung der Definition von Sicherheit ergibt sich, dass es auch vertretbare Risiken geben muss.

Diese Angemessenheit der Informationssicherheit beinhaltet auch eine angemessene Umsetzung aller dazugehörigen Maßnahmen und ist immer im Kontext der Anforderungen und Rahmenbedingungen beziehungsweise der Schutzziele der Organisation zu bewerten. Angemessenheit entsteht also dann, wenn eine hinsichtlich der Organisationsziele optimale Abwägung zwischen Kosten der Informationssicherheit, dem Niveau der Informationssicherheit sowie Komfort/Funktionalität herrscht. Dieses Spannungsfeld wird in Abbildung 1 – Spannungsfeld der Informationssicherheit verdeutlicht.

Abb. 1

– Spannungsfeld der Informationssicherheit

Die Bestimmung der Angemessenheit in diesem Spannungsfeld stellt eine wesentliche Herausforderung im Rahmen der Steuerung der Informationssicherheit dar.

2.4 IT-Sicherheit, Datenschutz und Cybersicherheit

In vielen Publikationen wird auch heute noch der Begriff »IT-SicherheitIT-Sicherheit« verwendet. Die Verwendung des Begriffes »IT-Sicherheit« ist häufig der historischen Entwicklung im Sicherheitsmanagement geschuldet. Ging es in den Anfängen der Informationsverarbeitung mithilfe von IT noch um den Schutz der Investitionen in die Informationstechnik, so hat sich mittlerweile ein Paradigmenwechsel vollzogen. Man erkannte, dass nicht die IT der primär zu schützende Wert ist, sondern die Informationen als solches. In der Praxis resultiert dies in einem erweiterten Geltungsbereich. So war zum Beispiel ein Aktenlager im Keller in der Ära der IT-Sicherheit nicht in die Sicherheitsbetrachtungen eingeschlossen, da in diesem keine IT betrieben wurde. Im Rahmen der Informationssicherheit werden jedoch Informationen in allen Zuständen – also auch auf analogen Datenträgern, wie Papier – betrachtet. Das Aktenlager im Keller wurde also im Rahmen der Informationssicherheit in die Sicherheitsbetrachtungen eingeschlossen.

Auch wenn IT-Sicherheit der weiter verbreitete Begriff ist, sollte heute grundsätzlich von Informationssicherheit gesprochen werden. Aber auch hier gibt es in der Praxis Ausnahmen, wenn beispielsweise bewusst zwischen einem Informationssicherheitsbeauftragten (ganzheitlicher Fokus auf alle Informationen) und einem IT-Sicherheitsbeauftragten innerhalb einer IT-Abteilung differenziert wird, welcher ausschließlich für die Sicherheit der IT zuständig ist. Leider erfolgt in der Praxis oft nur eine unzureichende Differenzierung dieser Begriffe.

In der Abgrenzung zur IT- und Informationssicherheit hat DatenschutzDatenschutz nicht etwa das Ziel, Daten zu beschützen, wie es der Begriff vermuten lässt. Vielmehr geht es im Datenschutz um den Schutz des informationellen Selbstbestimmungsrechtes natürlicher Personen. Informationelle Selbstbestimmung ist das Recht des/der Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner/ihrer personenbezogenen Daten zu bestimmen.

Der Zweck des Datenschutzes ist es daher, »[…] den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.« Jeder Mensch soll grundsätzlich selbst entscheiden, wem wann welche seiner personenbezogenen Daten zugänglich sein sollen. Der Datenschutz will den »gläsernen Menschen« verhindern. Der Begriff »personenbezogene Daten« ist dabei ein wenig irreführend, wenn man die folgenden Definitionen zugrunde legt:

Daten sind Zeichen wie Buchstaben, Zahlen, Bilder etc.

Informationen ergeben sich durch Interpretation der Daten.

Ein Personenbezug kann daher erst auf der Bedeutungsebene – der Ebene der Informationen – entstehen. Daten können keinen Personenbezug haben. Genau genommen soll also jeder Mensch über die Preisgabe und Verwendung seiner personenbezogenen Informationen bestimmen. Datenschutz hat also zur Folge, dass die angemessene Sicherheit von personenbezogenen Informationen gesteuert wird. Unter diesem Blickwinkel kann Datenschutz als Teil der Informationssicherheit verstanden werden. Ändert man jedoch leicht den Blickwinkel und betrachtet die resultierenden Sicherheitsmaßnahmen, ändert sich die Abbildung und Datenschutz geht teilweise über Informationssicherheit hinaus. So ist unter Umständen ein Datenschutzbeauftragter zu bestellen, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen/pflegen sowie Datenschutz-Folgenabschätzungen durchzuführen.

Diese konkreten Maßnahmen sind in der Informationssicherheit grundsätzlich nicht vorgesehen. Dennoch gibt es auch im Rahmen einer maßnahmenorientierten Abgrenzung einen großen Anteil an Überschneidungen und damit potenzielle Synergieeffekte, die im Sinne einer gesamtheitlichen Effizienz zu nutzen sind. CybersicherheitCybersicherheit – häufig synonym benutzt für Informationssicherheit oder damit verwechselt – befasst sich mit dem Schutz vor gezielten Angriffen mithilfe von Netzwerken – also lediglich mit einem sehr kleinen Teilaspekt der Informationssicherheit. Der Zusammenhang zwischen den genannten Begriffen ist in der Abbildung 2 – Datenschutz als Teil der Informationssicherheit dargestellt.

Abb. 2

– Zusammenhang zwischen Informations-, Cyber-, IT-Sicherheit und Datenschutz

2.5 Schwachstelle, Bedrohung, Gefährdung und Risiko

Zum Schutz der WerteWerte der Organisation einer Organisation muss diese ihre spezifischen Anforderungen und Schutzziele identifizieren, analysieren, priorisieren, Zielkonflikte auflösen, konsolidieren und dokumentieren.

Jeder Wert einer Organisation kann mit einer SchwachstelleSchwachstelle behaftet sein. Schwachstellen sind Punkte, an denen die WerteWerte der Organisation der Organisation anfällig für einen Angriff sind – somit sicherheitsrelevante Sachverhalte in Bezug auf Organisation, Prozess oder IT-System. Je nach Wert kann das beispielsweise eine fehlerhafte Programmierung einer Software, eine mangelnde Vier-Augen-KontrolleVier-Augen-Kontrolle in einem Prozess, ein Konstruktionsfehler einer Sicherheitstür oder eine mangelhafte oder fehlende Sensibilisierung eines Mitarbeiters sein.

Schwachstellen können durch Bedrohungen ausgenutzt werden. Eine BedrohungBedrohung ist ein Umstand oder Ereignis, durch den oder durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert der Organisation. Eine GefährdungGefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf einen Wert einwirkt.

Als Gefährdung kann beispielsweise ein Einbrecher den Konstruktionsfehler einer Sicherheitstür ausnutzen, um sich Zutritt zu verschaffen. Die mangelhafte Sensibilisierung eines Mitarbeiters wird für einen Social-Engineering-AngriffSocial-Engineering-Angriff verwendet und stellt somit auch eine Gefährdung dar. Trifft nun eine konkrete Gefährdung auf eine passende Schwachstelle eines Wertes, entsteht dadurch ein RisikoRisiko. Wichtig ist, dass nur das Zusammenwirken einer Gefährdung auf eine passende Schwachstelle ein Risiko entstehen lässt. Gibt es lediglich eine Bedrohung oder Gefährdung, aber keine passende Schwachstelle, entsteht kein Risiko.

Ein Risiko beeinträchtigt die Erreichung des angemessenen Schutzniveaus des betroffenen Wertes. Hinsichtlich des Schutzniveaus werden die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität betrachtet. Ein Risiko kann die Erreichung eines der genannten Schutzziele oder gleichzeitig die Erreichung mehrerer Schutzziele gefährden.

Ein identifiziertes Risiko wird zusätzlich durch die Eintrittswahrscheinlichkeit und die Auswirkungen definiert. Die Eintrittswahrscheinlichkeit definiert den statistischen Erwartungswert oder die geschätzte Wahrscheinlichkeit, dass das Risiko tatsächlich eintritt.

Hinsichtlich der Auswirkungen wird analysiert, welche Folgen der Eintritt des Risikos für die Organisation hat. Hierbei wird zwischen primären und sekundären Auswirkungen unterschieden.

Der Diebstahl oder die Beschädigung eines IT-Systems hat beispielsweise die primäre Auswirkung, dass das IT-System neu beschafft werden muss (primär monetärer Schaden).

Als sekundäre Schäden sind aber auch zu berücksichtigen, dass aufgrund des Diebstahls beziehungsweise der Beschädigung Mitarbeiter nicht weiterarbeiten können (Personalkosten) und das neu beschaffte IT-System in Betrieb genommen werden muss (PersonalkostenPersonalkosten). Weiterhin waren auf dem IT-System gegebenenfalls vertrauliche Daten gespeichert, die durch den Dieb veröffentlicht werden und zu einem Imageschaden führen.

Der Begriff »RisikoRisiko« und die zu seinem Verständnis nötigen weiteren Begriffe sind in Abbildung 3 dargestellt.

Abb. 3

– Definition »Risiko«

2.6 Maßnahmen zur Risikobehandlung

Identifizierte und bewertete Risiken können mithilfe von Maßnahmen behandelt werden. Als Maßnahmen werden Aktivitäten jeglicher Art bezeichnet, die dazu dienen, Sicherheitsrisiken zu steuern. Maßnahmen sind zur RisikosteuerungRisikosteuerung und damit zur Etablierung und Aufrechterhaltung eines definierten Informationssicherheitsniveaus erforderlich. Die Gesamtheit aller Maßnahmen zur Behandlung von Risiken wird als RisikobehandlungsplanRisikobehandlungsplan bezeichnet. Wichtig ist hierbei das Verständnis der Grundregel, dass für jedes Risiko genau ein Risikoeigentümer existiert. Ein Risikoeigentümer ist die Person oder Stelle mit der Verantwortung und Befugnis, hinsichtlich eines Risikos zu handeln.

Risikobehandlungsoptionen

RisikobehandlungsoptionenRisikobehandlungsoption im Risikobehandlungsplan sind:

Risiko verringern – Hierunter werden Maßnahmen verstanden, die entweder die Eintrittswahrscheinlichkeit oder die Auswirkungen eines Risikos reduzieren oder gleichzeitig beide reduzieren.

Risiko vermeiden –