Wo die Informationssicherheit im Unternehmen verankert sein sollte

In vielen Unternehmen ist das Thema Informationssicherheit bestenfalls bei einem IT-Sicherheitsverantwortlichen “verstaut”. So lange alles gut läuft, wird der Informationssicherheit wenig Beachtung geschenkt. Tritt jedoch ein Sicherheitsvorfall auf, steht erstmal alles auf dem Kopf, jeder weist die Schuld von sich und bekannte Phrasen werden eingeleitet mit “Wieso sind…” oder erkenntnisreich mit “Das haben wir so nicht…”. Ja, genau!

Lustig wird es auch, wenn dann noch ein Audit oder eine Zertifizierung des Unternehmens bevorsteht. Dann nämlich werden zuerst einmal alle relevanten Dokumente “gesichert” und auf dem aktuellen Stand gebracht. Für den Auditor. Ist dieser dann endlich wieder fort, können die Dokumente wieder verstauben und die eigentliche Arbeit wieder aufgenommen werden. Also das Tagesgeschäft. So schlimm wird die Situation bei vielen Unternehmen ja nicht sein. Oder doch? Vielleicht erkennt der ein oder andere Leser ein bekanntes Muster oder fragt sich “Von welchen Dokumenten spricht er…?”.

Im Folgenden erläutere ich (sehr prägnant) aus meiner Sicht, welchen Stellenwert die Informationssicherheit im Unternehmen haben sollte. Dabei gehe ich auch auf die Erkenntnisse in meinen vorherigen Artikeln ein. Es empfiehlt sich daher, diese auch zu lesen.

Unter Informationssicherheit wird nach dem BSI der Schutz von Informationen sowohl auf technischer als auch auf personeller und organisatorischer Ebene verstanden. Die Informationssicherheit unterliegt dabei einem kontinuierlich durchdachten Prozess, der durch ein entsprechendes Informationsmanagement geplant und gelenkt wird (BSI IT-Grundschutz, 2018).

Sämtliche technischen Werkzeuge und Methoden sowie personelle Ressourcen, die für ein funktionierendes Informationsmanagement benötigt werden, sind Voraussetzungen für ein Informationssicherheitsmanagementsystem (ISMS). Letzteres kann als ein soziales System betrachtet werden, dessen Operationen aus Kommunikationseinheiten bestehen (Vgl. Artikel: Was sind Daten, Informationen und welche Bedeutung haben Datenschutz und Informationssicherheit? https://www.linkedin.com/pulse/sind-daten-informationen-und-welche-bedeutung-hat-m-tarek-gerdewal/) . 

Aufbau eines ISMS (eigene Darstellung)

Abbildung 1 Aufbau eines ISMS (eigene Darstellung)

Nach Luhmann (Luhmann, 2009) kann ein System beliebig viele Sub-Systeme enthalten, so auch ein soziales System. Das Unternehmen als ein soziales System verfügt über ein Sub-System ISMS. Die Kommunikation im Unternehmen wird somit geplant und gelenkt durch das ISMS.

Das ISMS verantwortet dabei die aus gesetzlichen Vorschriften abzuleitenden Kontrollanforderungen, die zum einen die Schutzziele Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Verfügbarkeitskontrolle und die verteilte Verarbeitung beinhalten. Zum anderen ebnet das ISMS die Voraussetzungen dafür, dass die Rechte der Betroffenen eingehalten, die Informationsverabeitungsprozesse transparent gehalten und die unternehmenseigenen Mitarbeiter ausreichend geschult werden. Dadurch sind die Themen Informationsschutz und Informationssicherheit nicht verteilt, sondern werden zentral von einer Stelle aus gesteuert werden. 

Die Voraussetzung hierfür ist, dass das ISMS zentral im Unternehmen verankert ist und über Schnittstellen zu Organisationseinheiten, Prozessen, Anwendungen und der technischen Infrastruktur sowie die für die operativen Aufgaben notwendigen Rollen und Berechtigungen verfügt. Die Planung und Steuerung des ISMS ist dabei durch ein übergeordnetes ISMS-Board, welches aus Mitgliedern der Unternehmensleitung, sowie den verantwortlichen Managern aus den Organisationseinheiten oder deren Vertretern besteht, durchzuführen. 

Da die Operationen in einem sozialen System nach Luhmann die Kommunikation ist und ohne Kommunikation ein soziales System nicht existieren kann, muss folgerichtig die Kommunikation in einem Unternemen für dessen Fortbestehen aufrechterhalten werden. Die Grundlage für diese Kommunikation sind die Informationen und diese fließen in einem Unternehmen durch Organsiationseinheiten, Prozesse, Anwendungen und technische Komponenten. Demnach ist vor allem der Informationsfluss in einem Unternehmen zu sichern und sicherzustellen. 

Diese Vorgehensweise lässt sich zwar einfach beschreiben, ist in der praktischen Anwendung jedoch ein komplexer Vorgang. Das sinnvolle Zusammenspiel von Organsiationseinheiten, den darin ablaufenden Prozessen, Anwendungen und der technischen Infrastruktur muss vor dem Hintergrund der Informationsbedeutung und der Informationsflüsse richtig aufgebaut sein. Mit Hilfe einer durchdachten Architektur lässt sich das Zusammenspiel relativ einfach verdeutlichen (Vgl. Artikel http://gerdewal.de/blog-post/erfolgreiche-digitale-transformation-setzt-die-richtige-architektur-voraus/).

Die Informationsarchitektur als Big-Picture unterstützt die Unternehmen dabei, den Daten- und Informationsfluss im Digitalisierungsprozess kontrolliert durch- und zu den Unternehmenselementen über geregelte Kommunikation umzusetzen. Dabei werden der Datenschutz und die Informationssicherheit mit Hilfe eines zentralen ISMS (Informations-Sicherheits-Management-Systems) orchestriert. Bedrohungen und Gefährdungen können in den Unternehmenselementen zeitnah erkannt und durch geeignete Maßnahmen begegnet werden.

Wer mehr zur Umsetzung einer Informationsarchitektur oder eines ISMS erfahren möchte, kann mich gerne hier bei LinkedIn kontaktieren.

Autor: M. Tarek Gerdewal | 04.05.2019 | Dr. Gerdewal Consulting | Bonn

Quellen: 

Berghaus, M. (2011): Luhmann leicht gemacht, 3. Auflage, S.24-106, 2011, Böhlau Verlag GmbH & Cie, Kön Weimar Wien

BSI, (2018): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzAbout/ITGrundschutzSchulung/WebkursITGrundschutz/Schutzbedarfsfeststellung/Schutzbedarfskategorien/Definitionen/definitionen_node.html, aufgerufen am 02.05.2019

BSI IT Grundschutz (2018): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/einstieg/01001.html, aufgerufen am 02.05.2019

EU DSGVO (2018): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679, aufgerufen am 02.05.2019

Luhmann, N. (2009): Einführung in die Systemtheorie, 5. Auflage, S. 41-118, 2009, Carl-Auer Verlag

Der Artikel ist auch finden unter: https://www.linkedin.com/pulse/wo-die-informationssicherheit-im-unternehmen-sein-sollte-gerdewal/

April 12, 2019