Die jüngste Schlagzeile in den Medien lautete: 18 Millionen gestohlene E-Mail-Adressen samt Passwörter. Ein neuer Höhepunkt im Cyberwar und dem Kampf um das wichtigste Gut in unserer globalen Wirtschaftswelt – Informationen. Fast täglich können wir die Meldungen über entwendete oder verlorene Datensätze lesen und hören. Experten raten seit Langem zu einem besseren Schutz sensibler Daten und das im privaten wie im organisatorischen Umfeld gleichermaßen. Doch gerade Unternehmen tun sich schwer, im Vorfeld geeignete Maßnahmen für mehr Informationssicherheit in den eigenen Reihen zu etablieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt hierzu: "Verschiedene Umstände können dazu führen, dass in einer Institution oder auch in Teilen einer Institution keine Akzeptanz für Informationssicherheit vorhanden ist, und damit auch keine Einsicht in die Notwendigkeit besteht, Sicherheitsmaßnahmen auf- und umzusetzen." Gründe hierfür sind nach Ansicht des BSI neben einer mangelnden Unternehmenskultur auch Vorgesetzte, die vielfach nicht als gutes Beispiel in puncto Informationssicherheit vorangehen.
Informationssicherheitsmanagement ist Chefsache
Um Nachlässigkeiten beim wichtigen Thema Informationssicherheit zukünftig stärker vorzubauen, nimmt die Ende 2013 durchgeführte Novellierung des ISO-Standards 27001 das Top-Management stärker in die Pflicht. Konkret heißt das für Entscheider den Gesamtprozess eines Informationssicherheitsmanagement-Systems (ISMS) zu überwachen – auch in Bezug auf die Wirksamkeit der Maßnahmen. Demensprechend müssen Unternehmenslenker verstärkt auf einen funktionierenden und zukunftsgerichteten ISMS-Prozess achten und mit hierzu notwendigen Ressourcen ausstatten. Ein Punkt, der vor allem große und international aufgestellte Konzerne vor teils erhebliche Herausforderungen stellt. Gerade das weltweite Ansteigen von Datenkriminalität und die damit einhergehende Bedrohung für die Informationssicherheit führt zu Risiken im sensiblen Bereich der Informationsinfrastrukturen. Diese besser durch die Chefetage zu kontrollieren und mit einer expliziten Chancenbetrachtung zu versehen ist ein Hauptaugenmerk der ISO-27001-Novellierung.
ISMS-Einsatz in der Praxis
Beispielsweise suchte Unify (ehemals Siemens Enterprise Communications) bei der Implementierung und Konfiguration seiner ISMS-Lösung in die hauseigene System- und Organisationslandschaft den inhaltlichen Abgleich des Unify-Regelwerks mit ISO 27001. Aufgrund des weltweiten Rollouts des Informationssicherheitsmanagement-Systems in rund 45 Ländern verfolgte das Projektteam eine klar festgelegte Kommunikationsstrategie mit Informationsschreiben an die Ansprechpartner in den Ländervertretungen des weltweit agierenden Unternehmens für Kommunikationssoftware und -services.
Die Blickrichtung galt innerhalb der Unify-Organisation dem Schutz unternehmenskritischer Informationen. Demensprechend umfasste die Zielsetzung ein qualitatives Mehr an Datenschutz, Informationssicherheit und Kontinuitätsmanagement sowie eine standardisierte und revisionssichere Prozessabbildung in der Gesamtorganisation mit 10.000 Mitarbeitern. "Unsere strategischen Ziele liegen vor allem darin, Geschäftsschädigungen zu minimieren, Sicherheitsvorfällen vorzubeugen und Vorsorge zu treffen, sodass es nur zu einer berechtigten Nutzung von Systemen und Informationen kommt", erklärt Werner Schwingenschlögl, Information Security Officer von Unify.
Excel und E-Mail nicht revisionssicher
Die Verantwortlichen bei Unify erkannten, dass die mit eigenen Bordmitteln eingesetzte Excel-Lösung und E-Mail-Abfrage den modernen Anforderungen in puncto revisionssicherer Dokumentation nicht mehr genügte. Zudem war der Arbeitsaufwand mit der hauseigenen Lösung überproportional hoch. Außerdem erfolgt der gesamte Informationsverarbeitungsprozess nicht nur in der Unify Organisation, sondern auch in Zusammenarbeit mit Dritten, wie Lieferanten, Partnern und Kunden. Und dies erfordert ein zentrales System zur Abbildung des kompletten Prozesses der Informationssicherheit.
Interne und externe Standards im Fokus
In einem internen Projekt sondierte das globale Informationssicherheitsmanagement den Markt auf der Suche nach einer geeigneten Lösung. Wichtig war den Verantwortlichen eine standardisierte Lösung inklusive Datenaustausch mit Subsystemen sowie ein flexibler Abgleich verschiedener Kataloge und Normen mit dem Unify-Regelwerk.
Aufgrund des flexiblen Gesamtpaketes von avedos mit maßgeschneiderten Integrationsmöglichkeiten fiel die Wahl auf die Lösung risk2value von avedos. Bei der Entscheidung für avedos spielte das integrierte Kontrollsystem für Unternehmensregelwerke mit weitreichenden Dokumentationsmöglichkeiten eine wesentliche Rolle. Für Unify war an dieser Stelle entscheidend, dass die Lösung ein Mapping zwischen den Unify-Controls und der ISO Norm 27001 zulässt.
Nach einer rund zehnwöchigen Planung und Implementierung durch ein gemeinsames Projektteam aus Unify und avedos Mitarbeitern, ging risk2value Mitte 2012 in den Regelbetrieb. Einer der Knackpunkte bei der Implementierung und Konfiguration der Lösung in die System- und Organisationslandschaft von Unify war der inhaltliche Abgleich des Unify Regelwerks mit der ISO Norm 27001.
Ein System, ein Datenbestand, alles auf einen Blick
Dank risk2value ist Unify in der Lage die Daten revisionssicher, mandantenfähig und zugleich mit flexiblen Dokumentationsmöglichkeiten zu bearbeiten. Unterstützend wirkt in diesem Kontext ein integriertes workflowbasiertes Maßnahmen- und Aktivitätsmanagement, das mit dem Unify-eigenen Regelwerk eng verzahnt ist. Sämtlichen Funktionen – von der Informationssicherheit bis zum Business Continuity Management – ist in jedem Land ein Ansprechpartner zugeordnet, der in regelmäßigen Abständen an das globale Informationssicherheitsmanagement berichtet.
Die Auswertungen finden auf Basis von webbasierten Standardberichten und Excel beziehungsweise PIVOT-Tabellen statt und werden in Listen und Spider-Grafiken für die Führungsebene aufbereitet.
[Bildquelle: © ra2 studio - Fotolia.com]
