Lade Inhalt...

Informationssicherheit: Implementierung eines zertifizierten ISMS nach ISO27001 für IT-Dienstleister

Seminararbeit 2012 20 Seiten

Informatik - IT-Security

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung in das Thema
1.1 Betriebswirtschaftliche Bedeutung der Informationssicherheit
1.2 Motivation und Problemstellung

2 Themenrelevante Grundlagen
2.1 Definition von Informationssicherheit
2.2 Gesetzliche Anforderungen

3 Standards zur Umsetzung von Informationssicherheit in Unternehmen
3.1 Die ISO 2700x Familie
3.2 Komplementäre Standards

4 ISMS Einführung nach ISO/IEC 27001 für IT-Dienstleister
4.1 Vorgehen zur Planung
4.2 Maßnahmen umsetzen
4.3 Umsetzung prüfen und kontinuierliche Verbesserung
4.4 Zertifizierung des ISMS

5 Fazit

Abbildungsverzeichnis

1 PDCA Zyklus zur kontinuierlichen Verbesserung

Tabellenverzeichnis

1 Gesetzliche Anforderungen an die Informationssicherheit

2 Die ISO(IEC 2700x Familie

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung in das Thema

1.1 Betriebswirtschaftliche Bedeutung der Informationssicherheit

“An allem Unfug, der passiert, sind nicht etwa nur die Schuld, die ihn tun, sondern auch die, die ihn nicht verhindern!“ (Kästner 2006, S.45)

Dieses Zitat von Erich Kästner verdeutlicht die Situation und Bedeutung der Informati- onssicherheit für Unternehmen in der heutigen Zeit. Durch die kontinuierliche Weiterent- wicklung der Informationstechnologie (IT) in den letzten Jahrzehnten wurden Unterneh- men völlig neue Möglichkeiten eröffnet. Als treibende Kraft des Wirtschaftsaufschwungs, wie die IT Anfang der neunziger Jahre proklamiert wurde, erlaubte sie wesentliche Ver- besserungen der Produktivität und der Kosteneffizienz (Veselka 2008, S.12). Ohne die notwendige Sicherheit und zuverlässige Verfügbarkeit der IT wäre eine Vielzahl von be- trieblichen Geschäftsprozessen nicht mehr möglich. Nach Buchsein et al. prägt die Quali- tät, Funktionalität und Leistungsfähigkeit dieser IT-Sicherheit maßgeblich das innere und äußere Erscheinungsbild der gesamten Organisation, was insbesondere die Relevanz für IT- Dienstleistungsunternehmen hervorhebt (Buchsein, Victor, Günther & Machmeier 2008, S.12). Außerdem existieren eine Vielzahl von gesetzlichen Vorgaben, wie das Bundesdaten- schutzgesetz (BDSG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder die Grundsätze zur Datenüberlassung und Prüfbarkeit digitaler Unterla- gen (GdPDU), die effektive und effiziente Maßnahmen für eine adäquate und zuverlässige Informationssicherheit voraussetzen (Speichert 2007, S.336ff).

Ziel bei der Einführung von standardisierten Sicherheitskonzepten ist die Komplexi- tätsreduktion dieser Anforderungen. Nach einer aktuellen Studie der Universität Regens- burg in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnolo- gie (BSI) ist mit 59% die Norm ISO/IEC 27001 (nach IT-Grundschutz) der bei deut- schen Unternehmen am weitest verbreitete Standard zur Ausrichtung von IT-Sicherheit (Tötök 2010, S.5). Dieses Ergebnis wird von einer international durchgeführten Untersu- chung unterstrichen, wonach 67% aller Unternehmen sich an dieser ISO-Norm bei Kon- zepten für die Informationssicherheit orientieren (van Kessel 2011, S.23). Als international anerkannter Standard kann dieser sowohl bei kommerziellen Unternehmen, als auch öf- fentlichen Behörden und gemeinnützigen Organisationen zielgerichtet umgesetzt werden (o.V. 2005a, S.7). Aufgrund der hohen Verbreitung des ISO-Standards, soll die Umset- zung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 im Folgenden untersucht werden.

1.2 Motivation und Problemstellung

Aufgrund der zunehmenden Bedeutung der IT für Unternehmen und der zunehmenden Zahl an gesetzlich und branchenspezifisch verbindlichen Verordnungen (IT-Compliance), nimmt die Bedeutung des Sicherheitsaspektes kontinuierlich zu. Generell kann zwischen der Bedeutung für die Privatwirtschaft und den öffentlichen Bereich unterschieden werden. Private Unternehmen sind grundsätzlich bei der Wahl von Standards freier als staatsnahe Behörden und Einrichtungen. Neben denen noch in Abschnitt 2.2 vorgestellten gesetzli- chen Rahmenbedingungen werden nach Ehmann folgende Vorteile für eine ISO/IEC 27001 Ausrichtung der Informationssicherheit für private Unternehmen genannt:

- „Bei der ISO/IEC handelt es sich um eine international anerkannte IT Zertifizierung, somit ist bei der zunehmenden Globalisierung ein Wettbewerbsvorteil gegeben
- Das ISO Rahmenwerk fördert ein deutlich erhöhtes Bewusstsein für Informationssicherheit, da die IT Sicherheit im Unternehmen messbar und mit Wettbewerbern vergleichbar gemacht wird
- (Neu-)Kunden können darauf vertrauen, dass bei einem bestehenden IT Zertifikat ihre Informationen im Unternehmen sicher und geschützt sind; dies ist für ITDienstleistungsunternehmen zunehmend relevant
- Ein IT Zertifikat für Informationssicherheit ist zunehmend wettbewerbsentscheidend bei einer privaten Auftragsvergabe
- Mit der ISO 27001 Zertifizierung demonstriert ein Unternehmen, dass die entsprechenden Gesetze und Verordnungen befolgt werden“ (Ehmann 2010, S.24)

Durch die Vergleichbarkeit von Leistungen sind Behörden und Einrichtungen des öf- fentlichen Dienstes an das Beschaffungsrecht gebunden, durch welches die Chancengleich- heit der technischen Anforderungen der Bieter gefordert wird (Köhler 2012, §97). Die ISO-Norm 2700x1 bietet hier nicht nur eine europäische sondern auch eine international allgemeingültige Grundlage, auf der Maßnahmen und Leistungen vergleichbar sind. „Ei- ne nicht zu unterschätzende Bedeutung für die Durchsetzung von Zertifizierungsmodellen kommt dem öffentlichen Beschaffungsrecht und hier insbesondere den für diesen gültigen europäischen Richtlinien zu“ (Kersten & Klett 2008, S.6f). Zur Einhaltung des Wett- bewerbsprinzips bei Ausschreibungen von technischen Projekten werden hier Standards gefordert, die es ermöglichen, nationale und europäische Normen vergleichbar umzusetzen.

Wenn ein öffentlicher Auftraggeber bei einer europäischen oder internationalen Ausschreibung beispielsweise nur den deutschen IT-Grundschutz nach BSI einfordert, würde dies ein Handelshindernis darstellen und einen anderen ausländische Bieter diskriminieren. Soll also die Ausschreibung die Zulassungskriterien für das europäische Beschaffungsrecht erfüllen, ist eine Verwendung und Vergleichbarkeit durch international anerkannte ISO/IEC 27001 somit angeraten (Kersten & Klett 2008, S.8f).

2 Themenrelevante Grundlagen

2.1 Definition von Informationssicherheit

Das oberstes Ziel der Informationssicherheit wird in der Gewährleistung der vollumfänglichen Absicherung von gespeicherten Informationen gesehen. Um die Informationssicherheit zu charakterisieren, werden folgende drei primäre Merkmale als Schutzziele definiert (Gründer & Schrey 2007, S.12f):

- Durch die Vertraulichkeit (engl. Confidentiality) soll sichergestellt werden, das auf die Informationen nur von berechtigten Prozessen sowie anderen IT-Systemen zugegriffen werden kann
- Die Integrität (engl. Integrity) stellt sicher, dass die Informationen nicht manipuliert werden können. Insbesondere bedeutet dies, dass die gespeicherten Daten nicht durch unbefugte und unbeabsichtigte Manipulation verändert wurden
- Unter der Verfügbarkeit (engl. Availability) wird festgelegt, dass die Informationen gemäß den Compliance-Vorgaben des Unternehmens zur Verfügung stehen

Die Informationen sind für ein Unternehmen erst dann als sicher einzustufen, wenn ihre Vertraulichkeit, Integrität und Verfügbarkeit definiert wurde und diese im geforderten Maße gewährleistet werden kann (Brunnstein 2006, S.9). Ergänzend zu diesen drei Hauptmerkmalen der Informationssicherheit werden teilweise noch weitere Sekundärmerkmale gefordert (Gründer & Schrey 2007, S.12f):

- Nachvollziehbarkeit (engl. Traceability): Informationen lassen sich einer bestimmten Person oder einem Prozess verbindlich zuordnen
- Authentizität (engl. Authenticity): Die Identität einer Person lässt sich zweifelsfrei nachweisen
- Verbindlichkeit (engl. Non-Repudiation): Nicht Abstreitbarkeit, dass die Information zu einem bestimmten Geschäftszweck gesendet wurde

In wie weit auch die sekundären Merkmale einer Beachtung bedürfen hängt von den Schutzzielen des Unternehmens ab (Pohlmann & Blumberg 2006, S.306).

2.2 Gesetzliche Anforderungen

Der Stellenwert für die Informationssicherheit variiert in Unternehmen unterschiedlicher Branchen, was primär mit dem unterschiedlichen Umfang der Informationsverarbeitung und -nutzung zusammenhängt (Gründer & Schrey 2007, S.15).

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Gesetzliche Anforderungen an die Informationssicherheit (eigene Darstellung)

So haben beispielsweise Banken, Versicherungen und Finanzdienstleister besonders ho- he Anforderungen an Verfügbarkeit und Sicherheit ihrer Informationen. Unternehmen aus dem Bereich wie Luft- und Raumfahrt sowie Energieversorgung haben eine so ge- nannte „Null-Fehler“ Toleranz bezüglich eines noch so kleinen Systemausfalls (Gründer & Schrey 2007, S.15). Kleinere und mittlere Unternehmen haben oftmals nicht so hohe An- sprüche an die primären Ziele der Informationssicherheit.

[...]

Details

Seiten
20
Jahr
2012
ISBN (eBook)
9783656169529
ISBN (Buch)
9783656170143
Dateigröße
512 KB
Sprache
Deutsch
Katalognummer
v192088
Note
1,3
Schlagworte
IT Security Informationssicherheit ISO27001 ISMS IT Grundschutz BSI ISO

Autor

Teilen

Zurück

Titel: Informationssicherheit: Implementierung eines zertifizierten ISMS nach ISO27001 für IT-Dienstleister