/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Die zunehmende Digitalisierung und Vernetzung der Arbeitswelt stellt Unternehmen und Behörden heute vor grundlegende Herausforderungen. Zugleich gestaltet sich die Bedrohungslage für die In­formationssicherheit in Unternehmen und Behörden sehr dynamisch und vielfältig. Um Geschäftspro­zesse oder Fachaufgaben mittels IT, offline oder online, sicher betreiben zu können und damit auch langfristig wettbewerbsfähig zu sein, müssen Institutionen sich zunehmend besser hinsichtlich Fragen der Informationssicherheit aufstellen. Die Entwicklungen in der Informationstechnik erfolgen heute in immer kürzer werdenden Innovationszyklen. Zugleich zeichnen sich die technischen Systeme durch eine steigende Komplexität aus. In immer mehr Bereichen des öffentlichen sowie des Geschäftslebens wächst die Abhängigkeit von funktionierender Technik. Die Vernetzung und Steuerung von Industrie­anlagen, Smart Home, Internet of Things und Connected Cars werden Sicherheitsexperten und An­wender in den kommenden Jahren vor weitere Herausforderungen stellen. Die Leitung von Institutio­nen muss sich inzwischen zunehmend mit der Frage befassen, welche Auswirkungen z. B. ein Cy­ber-Angriff mit sich bringen kann. Neben der eigenen Institution können auch Kunden, Lieferanten und Geschäftspartner sowie weitere Gruppen betroffen sein. Daher ist ein geplantes und organisier­tes Vorgehen aller Beteiligten notwendig, um ein angemessenes und ausreichendes Sicherheitsniveau aufzubauen, aufrechtzuerhalten sowie kontinuierlich verbessern zu können. In der Praxis erweist es sich oft als schwierig, ein angemessenes und ausreichendes Sicherheitsniveau aufzubauen sowie langfristig aufrechtzuerhalten. Fehlende Ressourcen und knappe Budgets stellen verbunden mit der zunehmenden Komplexität der IT-Systeme die Verantwortlichen ständig vor neue Herausforderungen. Aufgrund der kürzer werdenden Entwicklungszyklen müssen auch bewährte Sicherheitsmechanismen stetig angepasst oder sogar neu konzipiert werden. Eine statische Lösung kann auf lange Sicht kein angemessenes Sicherheitsniveau gewährleisten. Die verbreitete Ansicht, Sicherheitsmaßnahmen seien zwangsläufig mit hohen Investitionen in Sicherheitstechnik und hoch­ spezialisierte Sicherheitsexperten verbunden, ist jedoch falsch. Zu den wichtigsten Erfolgsfaktoren zählen ein gesunder Menschenverstand, durchdachte organisatorische Regelungen und zuverlässige, gut informierte Mitarbeiter, die selbstständig und routiniert Sicherheitserfordernisse umsetzen. Die Erstellung und Umsetzung eines wirksamen Sicherheitskonzepts muss deshalb jedoch nicht zwangs­läufig unbezahlbar sein und die wirksamsten Maßnahmen können sich als überraschend einfach er­weisen. Sicherheit muss daher ein integraler Bestandteil von Planung, Konzeption und Betrieb von Geschäfts­prozessen und der Informationsverarbeitung sein. Daher müssen auch umfangreiche organisatorische und personelle Maßnahmen getroffen werden. Ein Informationssicherheitsmanagement auf der Basis von IT-Grundschutz enthält neben technischen auch infrastrukturelle, organisatorische und personelle Aspekte: Nur ein ganzheitlicher Ansatz zur Erhöhung der Informationssicherheit kann eine nachhaltige Wirkung auf allen Ebenen erzielen. Ein angemessenes Sicherheitsniveau ist in erster Linie abhängig vom systematischen Vorgehen und erst in zweiter Linie von einzelnen technischen Maßnahmen. Die folgenden Überlegungen verdeutli­chen diese These und die Bedeutung der Leitungsebene im Sicherheitsprozess:

  • Die Leitungsebene trägt die Verantwortung dafür, dass gesetzliche Regelungen und Verträge mit Dritten eingehalten werden und dass wichtige Geschäftsprozesse störungsfrei ablaufen.
  • Die Leitungsebene ist diejenige Instanz, die über den Umgang mit Risiken entscheidet.
  • Informationssicherheit hat Schnittstellen zu vielen Bereichen einer Institution und betrifft wesent­liche Geschäftsprozesse und Aufgaben. Nur die Leitungsebene kann daher für eine reibungslose Integration des Informationssicherheitsmanagements in bestehende Organisationsstrukturen und Prozesse sorgen.
  • Die Leitungsebene ist zudem für den wirtschaftlichen Einsatz von Ressourcen verantwortlich.

Der Leitungsebene kommt daher eine hohe Verantwortung für die Informationssicherheit zu. Fehlen­ de Steuerung, eine ungeeignete Sicherheitsstrategie oder falsche Entscheidungen können sowohl durch Sicherheitsvorfälle als auch durch verpasste Chancen und Fehlinvestitionen weitreichende ne­gative Auswirkungen haben. Eine intensive Beteiligung der Führungsebene ist somit unerlässlich: In­formationssicherheit ist Chefsache! Dieser Standard beschreibt daher im Folgenden Schritt für Schritt, wie ein erfolgreiches Informations­sicherheitsmanagement aufgebaut sein kann und welche Aufgaben der Leitungsebene in Behörden und Unternehmen dabei zufallen.

1.3 Adressatenkreis

Dieser BSI-Standard 200-1 richtet sich primär an Verantwortliche für die Informationssicherheit, Si­cherheitsbeauftragte, -experten, -berater und alle Interessierten, die mit dem Management von In­formationssicherheit betraut sind. Er ist zugleich eine sinnvolle Grundlage für die Verantwortlichen für IT und Industrial Control Systems (ICS), Führungskräfte und Projektmanager, die dafür Sorge tragen, dass Aspekte des Informationssicherheitsmanagements in ihrer Institution bzw. in ihren Projekten ausreichend berücksichtigt werden. Die Informationssicherheit effizient zu managen, ist nicht nur für große Institutionen, sondern auch für kleine und mittlere Behörden und Unternehmen sowie Selbstständige ein wichtiges Thema. Wie ein geeignetes Managementsystem für Informationssicherheit aussieht, hängt von der Größe der In­stitution ab. Dieser Standard mit den praxisorientierten Empfehlungen des IT-Grundschutzes hilft Ver­antwortlichen, die die Informationssicherheit in ihrem jeweiligen Einflussbereich verbessern möchten. Im Folgenden werden immer wieder Hinweise gegeben, wie die Empfehlungen dieses Standards je nach Größe einer Institution bedarfsgerecht angepasst werden können.

1.4 Anwendungsweise

Der vorliegende Standard beschreibt, wie ein Informationssicherheitsmanagementsystem (ISMS) auf­gebaut werden kann. Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung der Institution sorgen und somit zur Zielerreichung beitragen. Ein Managementsystem für Informationssicherheit legt somit fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvoll­ziehbar lenken kann. Dieser BSI-Standard beantwortet unter anderem folgende Fragen:

  • Was sind die Erfolgsfaktoren beim Management von Informationssicherheit?
  • Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden?
  • Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt?
  • Wie werden Sicherheitsmaßnahmen ausgewählt und Sicherheitskonzepte erstellt?
  • Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden?

Dieser Management-Standard stellt übersichtlich die wichtigsten Aufgaben des Sicherheitsmanage­ments dar. Bei der Umsetzung dieser Empfehlungen hilft das BSI mit der Methodik des IT-Grundschut­zes. Der IT-Grundschutz gibt für Institutionen verschiedener Größen und Arten Schritt-für-Schritt-An­leitungen für die Entwicklung eines Informationssicherheitsmanagements in der Praxis und nennt konkrete Maßnahmen für alle Aspekte der Informationssicherheit. Die Methodik des IT-Grundschut­zes wird im BSI-Standard 200-2 (siehe [BSI2]) beschrieben und ist so gestaltet, dass ein sowohl im Hinblick auf die Bedrohungslage als auch die Geschäftsziele angemessenes Sicherheitsniveau erreicht werden kann. Ergänzend dazu werden im IT-Grundschutz-Kompendium Anforderungen für die praktische Implementierung des angemessenen Sicherheitsniveaus formuliert. Wenn in diesem Standard der Begriff „IT-System“ verwendet wird, sind damit nicht nur „klassische“ IT-Systeme, wie zum Beispiel Server, Arbeitsplatzrechner, Smartphones oder Netzkomponenten, ge­meint. Der Begriff „IT-Systeme“ schließt hier auch Industrial Control Systems (ICS) ebenso wie Kom­ponenten aus dem Bereich Internet of Things (IoT) mit ein.