News

Praxisbericht Unify

Wo die Informationssicherheit zählt

Redaktion RiskNET08.04.2014, 08:10

Die jüngste Schlagzeile in den Medien lautete: 18 Millionen gestohlene E-Mail-Adressen samt Passwörter. Ein neuer Höhepunkt im Cyberwar und dem Kampf um das wichtigste Gut in unserer globalen Wirtschaftswelt – Informationen. Fast täglich können wir die Meldungen über entwendete oder verlorene Datensätze lesen und hören. Experten raten seit Langem zu einem besseren Schutz sensibler Daten und das im privaten wie im organisatorischen Umfeld gleichermaßen. Doch gerade Unternehmen tun sich schwer, im Vorfeld geeignete Maßnahmen für mehr Informationssicherheit in den eigenen Reihen zu etablieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt hierzu: "Verschiedene Umstände können dazu führen, dass in einer Institution oder auch in Teilen einer Institution keine Akzeptanz für Informationssicherheit vorhanden ist, und damit auch keine Einsicht in die Notwendigkeit besteht, Sicherheitsmaßnahmen auf- und umzusetzen." Gründe hierfür sind nach Ansicht des BSI neben einer mangelnden Unternehmenskultur auch Vorgesetzte, die vielfach nicht als gutes Beispiel in puncto Informationssicherheit vorangehen.

Informationssicherheitsmanagement ist Chefsache

Um Nachlässigkeiten beim wichtigen Thema Informationssicherheit zukünftig stärker vorzubauen, nimmt die Ende 2013 durchgeführte Novellierung des ISO-Standards 27001 das Top-Management stärker in die Pflicht. Konkret heißt das für Entscheider den Gesamtprozess eines Informationssicherheitsmanagement-Systems (ISMS) zu überwachen – auch in Bezug auf die Wirksamkeit der Maßnahmen. Demensprechend müssen Unternehmenslenker verstärkt auf einen funktionierenden und zukunftsgerichteten ISMS-Prozess achten und mit hierzu notwendigen Ressourcen ausstatten. Ein Punkt, der vor allem große und international aufgestellte Konzerne vor teils erhebliche Herausforderungen stellt. Gerade das weltweite Ansteigen von Datenkriminalität und die damit einhergehende Bedrohung für die Informationssicherheit führt zu Risiken im sensiblen Bereich der Informationsinfrastrukturen. Diese besser durch die Chefetage zu kontrollieren und mit einer expliziten Chancenbetrachtung zu versehen ist ein Hauptaugenmerk der ISO-27001-Novellierung.

ISMS-Einsatz in der Praxis

Beispielsweise suchte Unify (ehemals Siemens Enterprise Communications) bei der Implementierung und Konfiguration seiner ISMS-Lösung in die hauseigene System- und Organisationslandschaft den inhaltlichen Abgleich des Unify-Regelwerks mit ISO 27001. Aufgrund des weltweiten Rollouts des Informationssicherheitsmanagement-Systems in rund 45 Ländern verfolgte das Projektteam eine klar festgelegte Kommunikationsstrategie mit Informationsschreiben an die Ansprechpartner in den Ländervertretungen des weltweit agierenden Unternehmens für Kommunikationssoftware und -services.

Die Blickrichtung galt innerhalb der Unify-Organisation dem Schutz unternehmenskritischer Informationen. Demensprechend umfasste die Zielsetzung ein qualitatives Mehr an Datenschutz, Informationssicherheit und Kontinuitätsmanagement sowie eine standardisierte und revisionssichere Prozessabbildung in der Gesamtorganisation mit 10.000 Mitarbeitern. "Unsere strategischen Ziele liegen vor allem darin, Geschäftsschädigungen zu minimieren, Sicherheitsvorfällen vorzubeugen und Vorsorge zu treffen, sodass es nur zu einer berechtigten Nutzung von Systemen und Informationen kommt", erklärt Werner Schwingenschlögl, Information Security Officer von Unify. 

Excel und E-Mail nicht revisionssicher

Die Verantwortlichen bei Unify erkannten, dass die mit eigenen Bordmitteln eingesetzte Excel-Lösung und E-Mail-Abfrage den modernen Anforderungen in puncto revisionssicherer Dokumentation nicht mehr genügte. Zudem war der Arbeitsaufwand mit der hauseigenen Lösung überproportional hoch. Außerdem erfolgt der gesamte Informationsverarbeitungsprozess nicht nur in der Unify Organisation, sondern auch in Zusammenarbeit mit Dritten, wie Lieferanten, Partnern und Kunden. Und dies erfordert ein zentrales System zur Abbildung des kompletten Prozesses der Informationssicherheit.

Interne und externe Standards im Fokus

In einem internen Projekt sondierte das globale Informationssicherheitsmanagement den Markt auf der Suche nach einer geeigneten Lösung. Wichtig war den Verantwortlichen eine standardisierte Lösung inklusive Datenaustausch mit Subsystemen sowie ein flexibler Abgleich verschiedener Kataloge und Normen mit dem Unify-Regelwerk.

Aufgrund des flexiblen Gesamtpaketes von avedos mit maßgeschneiderten Integrationsmöglichkeiten fiel die Wahl auf die Lösung risk2value von avedos. Bei der Entscheidung für avedos spielte das integrierte Kontrollsystem für Unternehmensregelwerke mit weitreichenden Dokumentationsmöglichkeiten eine wesentliche Rolle. Für Unify war an dieser Stelle entscheidend, dass die Lösung ein Mapping zwischen den Unify-Controls und der ISO Norm 27001 zulässt.

Nach einer rund zehnwöchigen Planung und Implementierung durch ein gemeinsames Projektteam aus Unify und avedos Mitarbeitern, ging risk2value Mitte 2012 in den Regelbetrieb. Einer der Knackpunkte bei der Implementierung und Konfiguration der Lösung in die System- und Organisationslandschaft von Unify war der inhaltliche Abgleich des Unify Regelwerks mit der ISO Norm 27001.

Ein System, ein Datenbestand, alles auf einen Blick

Dank risk2value ist Unify in der Lage die Daten revisionssicher, mandantenfähig und zugleich mit flexiblen Dokumentationsmöglichkeiten zu bearbeiten. Unterstützend wirkt in diesem Kontext ein integriertes workflowbasiertes Maßnahmen- und Aktivitätsmanagement, das mit dem Unify-eigenen Regelwerk eng verzahnt ist. Sämtlichen Funktionen – von der Informationssicherheit bis zum Business Continuity Management – ist in jedem Land ein Ansprechpartner zugeordnet, der in regelmäßigen Abständen an das globale Informationssicherheitsmanagement berichtet.

Die Auswertungen finden auf Basis von webbasierten Standardberichten und Excel beziehungsweise PIVOT-Tabellen statt und werden in Listen und Spider-Grafiken für die Führungsebene aufbereitet.

 

[Bildquelle: © ra2 studio - Fotolia.com]

 

 



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...