An der Geschäftsführung scheitern Informationssicherheitsprojekte – jedenfalls oft.
In Zeiten der Cyberkriminalität ist für eine regelmäßige Kontrolle der unternehmerischen Sicherheitsstrategie und Risikobewertung besonders die Geschäftsleitung gefragt. Schließlich ist Sicherheit Chefsache! Sich stetig ändernde Anforderungen erfordert ein Höchstmaß an Expertenwissen. Dabei kann man leicht die Übersicht verlieren.
Als Geschäftsführer liegt es alleine in Ihrer Verantwortung, die Grundlagen für den Schutz Ihrer Geschäfts- und Betriebsgeheimnisse zu schaffen. Sorgen Sie mit der Einführung eines Informationssicherheitsmanagementsystems (kurz ISMS) für den notwendigen Schutz und behalten Sie damit Ihre Sicherheitsstrategie und besonders Ihre Risiken im Blick. Handeln Sie als verantwortungsvoller Geschäftsführer im Sinne des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Handeln Sie mit der Sorgfalt eines ordentlichen Geschäftsmannes.
In Gesprächen mit Geschäftsführern erleben wir immer wieder das es zu Verwechselungen der Begrifflichkeiten kommt, indem die Informationssicherheit mit der IT-Sicherheit gleichgestellt wird. Die Verantwortung wird dadurch ganz schnell an die IT-Abteilung delegiert. Ein großer Irrtum vieler Geschäftsführer. Denn diese Verantwortung lässt sich nicht delegieren.
Aber betrachten wir zuerst die beiden relevanten Begriffe „Informationssicherheit“ und „Risiko“:
Als Informationssicherheit bezeichnet man Eigenschaften von Informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.
Risiko wird im Allgemeinen als Kombination aus Eintrittswahrscheinlichkeit eines unerwünschten Ereignisses und Schadensschwere bei einem etwaigen Eintritt des Ereignisses angesehen.
Beide Definitionen sind Wikipedia entnommen.
Aus der Verantwortung und damit aus der persönlichen Haftung gelangt man nur, wenn „Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorgebeugt wurden“.
Informationssicherheit bezieht sich also auf alle technischen und nicht-technischen Systeme. Hier geht es auch um das Gebäude, die Räumlichkeiten, Akten und Unterlagen und nicht nur um informationsverarbeitende IT-Systeme. Zudem geht es für jeden Mitarbeiter um den Umgang, die Verarbeitung, das Verändern und Vernichten dieser Informationen. In Krisen-Zeiten (z.B. Corona) geht es natürlich auch um Home-Office-Regelungen, Nutzung von privaten Endgeräten, die Verarbeitung von Information/Unterlagen im Home-Office, die Verwendung von Cloud-Services und damit nach der Annullierung des Privacy Shields durch das EuGH-Urteil auch um das Übertragen von personenbezogenen Daten in Drittstaaten.
Diese nur beispielhaft aufgezählten Bereiche können erhebliche Risiken für Unternehmen darstellen. Diese Risiken müssen im Risikomanagement eines ISMS bewertet, die Eintrittswahrscheinlichkeit festgelegt und die mögliche Schadensschwere dokumentiert werden. Entsprechend werden diese Risiken im Anschluss priorisiert und mit Gegenmaßnahmen gemindert oder eliminiert. Das ist und kann nicht die Verantwortung der IT-Abteilung sein. Hier ist die Geschäftsführung gefordert.
Informationssicherheit muss zur Chefsache werden. Damit wird die Basis für den zukünftigen Erfolg von Unternehmen geschaffen. Bilden Sie ein Informationssicherheits-Team aus Geschäftsführung, Informationssicherheitsbeauftragtem, IT-Abteilung, Personal-Abteilung und legen Sie IS-Leitlinie und IS-Richtlinien fest. Sorgen Sie mit klar dokumentierten Vorgehens- und Handlungsanweisungen für die notwendige Sicherheit im Handeln Ihrer Mitarbeiter. Ganz nebenbei haben Sie auch mit der Sorgfalt eines ordentlichen Geschäftsmannes gehandelt. Eine persönliche Haftung hat keine Grundlage mehr.
Mit dem Regelwerk VdS 10000 der VdS Schadenverhütung GmbH existieren gerade für kleine und mittlere Unternehmen (KMU) Vorgaben und Hilfestellungen zur Implementierung eines ISMS. Das Bundesamt für Sicherheit in der Informationstechnik (BSI bestätigt:
„Das Regelwerk VdS 10000 ‚Informationssicherheitsmanagementsystem für KMU‘ stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.“
Wir halten das Regelwerk VdS 10000 für die beste Grundlage, Informationssicherheit im Unternehmen einzuführen um so die notwendigen Schutzziele zu erreichen.