Der Arbeitsalltag ohne Internet und Computer ist schon lange nicht mehr denkbar. Doch viele Unternehmen unterschätzen weiterhin die Gefahr von Hackerangriffen auf ihre vertraulichen Unternehmensdaten – trotz regelmäßiger negativer Schlagzeilen. Zuletzt wurde ein Hackerangriff auf die Fluggesellschaft EasyJet bekannt bei dem neun Millionen Kundendaten erbeutet wurden. Auch interne Bedrohungen, welche von den eigenen Mitarbeitern eines Unternehmens ausgehen und den Verlust von vertraulichen Informationen zur Folge haben, spielen eine immer größer werdende Rolle.
Der ISO 27001 Standard
Um immensen wirtschaftlichen Schäden sowie Vertrauensverlusten vorzubeugen, bietet es sich an ein Informationssicherheitsmanagementsystem, kurz ISMS, zu implementieren. Als internationaler Standard für ein solches ISMS hat sich die Norm ISO/IEC 27001 etabliert, welche als Grundlage genutzt wird, ein individuelles Sicherheitskonzept zu erarbeiten. Im Fokus stehen vor allem die Integrität der betriebsinternen Daten und deren Vertraulichkeit. Außerdem soll die Verfügbarkeit der Daten sichergestellt werden. Durch einen kontinuierlichen Verbesserungsprozess wird das ISMS laufend weiterentwickelt und an veränderte Bedingungen innerhalb und außerhalb der Organisation angepasst.
Mit der Implementierung des ISMS ist die Erstellung eines IT-Sicherheitskonzeptes verbunden, welches die IT-Infrastruktur, Netzwerkkomponenten, IT-Systeme und Anwendungen erfasst. Verschiedene Richtlinien und Regelungen, beispielsweise eine Mobile Device Policy oder Regelungen zur E-Mail-Nutzung, werden erstellt und regelmäßige Schulungen sensibilisieren die Mitarbeiter für Informationssicherheit.
Branchenspezifische Abwandlungen
Neben der universell anwendbaren ISO 27001 Norm gibt es auch branchenspezifische Abwandlungen. Der Verband der Automobilindustrie (VDA) hat beispielsweise den „Trusted Information Security Assessment Exchange“ TISAX® Standard entwickelt, welcher branchenspezifischen Anforderungen enthält und sich vor allem an Automobilzulieferer richtet. Dieser beruht auf der ISO 27001, wurde aber um Themen wie Prototypenschutz oder Anbindung Dritter erweitert. Ein anderes Modell, welches sich ebenfalls auf die ISO 27001 stützt, ist ISIS12. Es wurde speziell für die Implementierung eines ISMS in kleinen und mittleren Unternehmen sowie Kommunen entwickelt und beinhaltet zwölf konkrete Schritte der Umsetzung.
Fazit
Eine Zertifizierung nach ISO 27001 ist ein Nachweis dafür, dass die Anforderungen der Informationssicherheit eingehalten werden und bringt für das Unternehmen, neben dem Schutz der Daten vor Missbrauch, noch einige weitere Vorteile mit sich. Der größte Nutzen ist die Steigerung der Wettbewerbsfähigkeit durch die Unternehmensreputation und gesteigertes Vertrauen bei Kunden und Partnern.