Glossar        Wirtschaftsförderung       Downloads      Newsletter      Suche

Einführung eines Informationssicherheitsmanagementsystems

Herausforderung & Zielsetzung

Das Andreaswerk verfügt bereits über Prozesse im Bereich Informationssicherheit. Allerdings ändert sich die Bedrohungslage für Unternehmen aktuell und auch in Zukunft wird dies stetig der Fall sein, sodass hierauf mit einer kontinuierlichen Anpassung von Informationssicherheitsprozessen reagiert werden muss. Das Ziel des Projektes ist es deshalb, das Unternehmen bei der Einführung eines Informationssicherheitsmanagementsystems (ISMS) mit Hilfe von Prozessen, Dokumentation sowie digitalen Lerneinheiten zu unterstützen. Konkret soll der erste Zyklus eines ISMS gemeinsam geplant und durchgeführt werden. Hierbei soll der Betrachtungsbereich des ISMS zunächst auf die Verwaltung und Informationstechnik gelegt werden.

Projektbeschreibung

Das Mittelstand-Digital Zentrum Hannover hat das Andreaswerk e.V. aus Vechta im Rahmen eines Digitalisierungsprojektes bei der Einführung eines Informationssicherheitsmanagementsystems (ISMS) unterstützt. In der täglichen Arbeit unterstützt das Unternehmen Menschen mit Beeinträchtigungen sowie deren Familien. Das Ziel des Projektes war es, den ersten Zyklus eines ISMS mit Hilfe von Prozessen und Dokumentation im Unternehmen durchzuführen, um dieses dazu zu befähigen, die folgenden Zyklen eigenständig durchlaufen zu können und somit die Informationssicherheit schrittweise zu erhöhen. Hierzu wurden im ersten Schritt Grundlagen aus dem Bereich Informationssicherheit vermittelt. Anschließend wurde die Notwendigkeit des Themas durch das Management transparent den Mitarbeitenden dargelegt, bevor anschließend mit der operativen Arbeit begonnen wurde. Neben der Ermittlung der aktuellen organisatorischen und technischen Struktur des Unternehmens, waren ebenfalls die Durchführung einer Schutzbedarfsanalyse sowie die Erarbeitung von Richtlinien von elementarer Bedeutung. Die wichtigsten Projektergebnisse wurden in Form von Lernnuggets aufbereitet.

Das Andreaswerk fördert und betreut über 1.500 Menschen mit Beeinträchtigungen und deren Familien im Landkreis Vechta mit einem besonderen Fokus auf eine wohnortnahe Unterstützung.

Ausführlicher Projektbericht

Auch kleine und mittlere Unternehmen (KMU) sind zunehmend steigenden Bedrohungen in Bezug auf die Informationssicherheit ausgesetzt. Ein Informationssicherheitsvorfall kann zur Folge haben, dass Dienstleistungen nicht mehr angeboten werden oder die Produktion von Waren unterbrochen wird. Um sich als Unternehmen vor solchen Bedrohungen bestmöglich schützen zu können, bietet es sich an, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen. Ein ISMS betrachtet die Informationssicherheit ganzheitlich. Auch von Seiten der Gesetzgebung wird die Einführung eines ISMS indirekt gefordert, mit dem Ziel, die Informationssicherheit von Unternehmen zu erhöhen. So wird aktuell die europäische Richtlinie Netz- und Informationssysteme 2 (NIS-2) [1] in nationales Recht überführt. Sie definiert verschiedene Anforderungen, die sich in der Regel mit Hilfe eines ISMS umsetzen lassen.

Um ein ISMS im Unternehmen einführen zu können und im Anschluss kontinuierlich zu betreiben, ist es wichtig im ersten Schritt zu ermitteln, wie eine sinnvolle Umsetzung eines ISMS allgemein aussieht. In den darauffolgenden Schritten werden dann konkrete Maßnahmen umgesetzt.

Schritt 1: Allgemeine Vorgehensweise zur Einführung eines ISMS ermitteln

Ein ISMS ist ein Prozess, der nach dem PDCA-Zyklus ablaufen sollte. Der PDCA-Zyklus (Abbildung 1) besteht aus den vier verschiedenen Phasen Plan (Planen), Do (Durchführen), Check (Überprüfen) und Act (Verbessern), wobei nach Beendigung der vierten Phase wieder mit der ersten Phase begonnen wird. In den vier Phase sind folgende Aufgaben durchzuführen:

Plan: In dieser Phase wird geplant, welche Maßnahme, beispielsweise neu einzuführende Strategien oder die Verbesserung von aktuellen Prozessen, wie umgesetzt werden sollte.

Do: In der Do-Phase wird die zuvor ausgearbeitete Planung umgesetzt und es werden die hierfür benötigten Ressourcen zur Verfügung gestellt.

Check: In der dritten Phase wird überprüft, ob die Durchführung tatsächlich das Ziel der Planungsphase widerspiegelt oder Abweichungen festgestellt werden. Weiterhin wird überprüft, ob der aktuelle Prozess handhabbar ist oder Probleme aufgetreten sind, die in Zukunft vermieden werden können.

Act: In der vierten und letzten Phase des Zyklus, bevor dieser wieder von neuem beginnt, werden die in der Check-Phase überprüften Maßnahmen angepasst, sofern ein Bedarf ermittelt wurde.

 

 

 

Abbildung 1: PDCA-Zyklus

Schritt 2: Voraussetzungen schaffen

Damit ein ISMS im Unternehmen erfolgreich sein wird, sind verschiedene Voraussetzungen zu erfüllen. Die wichtigste Voraussetzung ist das Management Commitment. Dies beschreibt die aktive Unterstützung durch das Top-Management. Nur wenn das ISMS aktiv vom Top-Management ,gefördert und gelebt´ wird, kann eine Umsetzung gelingen. Neben der Etablierung des ISMS als Top-Down-Prozesses ist die Informationssicherheitspolitik und sind somit die verschiedenen Ziele eines ISMS zu definieren. Darüber hinaus sind die benötigten Ressourcen zur Verfügung zu stellen. Hierbei wird zwischen finanziellen Ressourcen und benötigten Personalressourcen unterschieden. Beide müssen in der erforderlichen Menge vorhanden sein, so dass das ISMS für die Unternehmensgröße passend umgesetzt werden kann. Eine zwingend benötigte Funktion ist beispielsweise der Informationssicherheitsbeauftrage (ISB), der sich operativ mit der Umsetzung und Koordinierung des ISMS-Prozesses beschäftigt.

Außerdem wird in diesem Schritt der Betrachtungsbereich definiert. Der Betrachtungsbereich beschreibt, welche Abteilungen zunächst durch ein ISMS geschützt werden sollen. Dieser sollte zunächst auf ausgewählte Abteilungen beschränkt sein, um exemplarisch in diesen einen effektiven Schutz umzusetzen und erste Erfahrungen mit dem ISMS zu sammeln. Im weiteren Verlauf sollte das ISMS dann um weitere Abteilungen ergänzt werden.

Schritt 3: Einführen eines ISMS

Nach den umgesetzten Voraussetzungen beginnt mit dem nächsten Schritt die Umsetzung des operativen ISMS. Hierfür wird allen Mitarbeitenden zunächst transparent die Informationssicherheitspolitik dargestellt. Dies geschickt in Form einer Informationssicherheitsleitlinie. Hierbei handelt es sich um ein Grundsatzdokument, das die Herangehensweise des Unternehmens an das Thema darstellt. Als Teil des ISMS-Prozesses wird diese ebenfalls kontinuierlich an die aktuellen Gegebenheiten – beispielsweise die aktuelle Bedrohungsanlage – angepasst. Konkret legt die Informationssicherheitsleitlinie folgendes fest:

  • Bedeutung und Stellenwert der Informationssicherheit
  • Verbindliche Prinzipien
  • Anzustrebendes Niveau der Informationssicherheit

 

Abbildung 2 zeigt exemplarisch den Aufbau einer Informationssicherheitsleitlinie.

Abbildung 2: Exemplarischer Aufbau einer Informationssicherheitsleitlinie

Neben der Informationssicherheitsleitlinie ist die Einführung von spezifischen Richtlinien für die Umsetzung eines ISMS entscheidend. Diese richten sich jeweils an bestimmte Abteilungen und Personen und sind auch nur für diese zugänglich. Thematisch beinhalten sie Verhaltensweisen und Vorschriften mit dem Ziel, ein einheitliches Sicherheitsniveau zu erreichen. Auch die Richtlinien werden kontinuierlich an die aktuellen Gegebenheiten angepasst. Beispielhafte Richtlinien sind folgende:

  • Umsetzung von starken und komplexen Passwörtern
  • Vorgehensweise bei einem Verdacht auf Social Engineering
  • Durchführen von Datensicherungen
  • Durchführen einer Risikoanalyse

 

Um das Thema Informationssicherheit nachhaltig im Unternehmen zu etablieren, ist es ebenfalls entscheidend, dass die Mitarbeitenden in diesem Bereich umfangreich geschult sind, da diese ein häufiges Angriffsziel darstellen. Es sind die Mitarbeitenden, die eine betrügerische Nachricht, beispielsweise eine erfolgreich zugestellte Phishing-Nachricht erkennen müssen und so das Unternehmen vor einem möglichen Schaden schützen. Damit Mitarbeitenden dies bestmöglich gelingt, müssen sie kontinuierlich über die aktuellen Bedrohungen informiert und geschult werden. Für die Ausarbeitung eines Schulungsprozesses, um notwendige Schulungen für Mitarbeitende zu planen und bereits durchgeführte Schulungen zu dokumentieren, eignet sich ebenfalls die Umsetzung einer Richtlinie.

Um konkrete Bedrohungen sowie deren Auswirkungen im Unternehmen, beispielsweise für den Betrieb von Werkstätten zu bewerten, ist die Durchführung einer Risikoanalyse umzusetzen. Priorität haben hierbei zunächst die wichtigsten Unternehmensprozesse. Diese werden ermittelt, in dem die vorhandenen Unternehmensprozesse in Schutzbedarfskategorien eingeteilt werden. Jedes Unternehmen hat die Möglichkeit die Schutzbedarfskategorien selbst einzuteilen, allerdings werden in der Regel die Schutzbedarfe normal, hoch und sehr hoch verwendet. Bei den ersten PDCA-Zyklen werden die Prozesse der sehr hohen Kategorienbearbeitet, anschließend die hohen und abschließend die normalen, bevor wieder von Neuem begonnen wird.

Nutzen für den Mittelstand​

Neben dem Andreaswerk stehen viele kleine und mittlere Unternehmen vor der Herausforderung, sich gegen Cyber-Angriffe zu schützen, um nicht eines Tages Opfer eines Angriffs auf die Informationssicherheit zu werden. Um Unternehmen bei dieser Herausforderung zu unterstützen, wurde im Rahmen dieses Digitalisierungsprojektes die Einführung eines ISMS beispielhaft durchgeführt und es wurden die notwendigen Grundlagen und Schritte in Form von Lernnuggets ausgearbeitet. Diese Lernnuggets ermöglichen es auch anderen Unternehmen, ebenfalls ein ISMS einzuführen und nachhaltig zu etablieren. Die Lernnuggets sind hier zu finden.

Literaturangaben

[1] Europäisches Parlament, Rat der Europäischen Union: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 2022. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555

Noch Fragen offen?

Unsere Projekte umfassen einen großen zeitlichen, organisatorischen und thematischen 
Umfang. Erfragen Sie die Details einfach beim Projektverantwortlichen. Wir leiten Sie gerne weiter! 

Das könnte Sie auch interessieren

Ihre Anmeldung zum
Arbeitskreis
„KI im Marketing”

Wir freuen uns, dass Sie sich für unser KI-Mentoring-Programm mit dem Fokus auf marketing interessieren. Bitte füllen Sie das folgende Formular aus, um sich für einen der Arbeitskreise zu registrieren. Wir prüfen Ihre Anfrage und melden uns schnellstmöglich zurück.

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Ihre Anmeldung zum
KI-Mentoring

Wir freuen uns, dass Sie sich für unser KI-Mentoring-Programm interessieren. Bitte füllen Sie das folgende Formular aus, um sich für einen der Arbeitskreise zu registrieren. Wir prüfen Ihre Anfrage und melden uns schnellstmöglich zurück.

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Bleiben Sie informiert!

Digitale Neuigkeiten, aktuelle Themen und kommende Termine monatlich in Ihr Postfach, mit unserem Newsletter!


Mit dem Absenden dieser Anmeldung stimme ich zu, dass meine Daten zum Zweck des Newsletterempfangs zu CleverReach übertragen werden. Nähere Informationen finden Sie in unserer Datenschutzerklärung

Frage zu Projekten stellen

Teilen Sie uns Ihre Kontaktdaten mit, wir melden uns schnellstmöglich bei Ihnen zurück!

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Die Mobile Fabrik anfragen

Teilen Sie uns Ihre Kontaktdaten mit, wir melden uns schnellstmöglich bei Ihnen zurück!

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Ihre Idee für ein Digitalisierungsprojekt

Sie haben eine konkrete Projektidee, mit der wir Ihren Betrieb bei der Digitalisierung unterstützen können? Teilen Sie uns Ihre Idee mit und wir melden uns umgehend bei Ihnen und besprechen alle weiteren Schritte.

Aus welcher Branche kommen Sie?
Welche Position bekleiden Sie im Unternehmen?
Wie viele Mitarbeitende beschäftigt Ihr Unternehmen?

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Kontaktformular

Teilen Sie uns Ihre Kontaktdaten mit, wir melden uns schnellstmöglich bei Ihnen zurück!

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Firmengespräch vereinbaren

Teilen Sie uns Ihre Kontaktdaten mit, wir melden uns schnellstmöglich bei Ihnen zurück!
Welche Position bekleiden Sie im Unternehmen?
Wie viele Mitarbeitende beschäftigt Ihr Unternehmen?

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Suche

Suche

Termin für Livevorführung vereinbaren

Teilen Sie uns Ihre Kontaktdaten mit, wir melden uns schnellstmöglich bei Ihnen zurück!

Mit Absenden der Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

Firmengespräch vereinbaren

Teilen Sie uns Ihre Kontaktdaten mit, wir melden uns schnellstmöglich bei Ihnen zurück!

Welche Position bekleiden Sie im Unternehmen?
Wie viele Mitarbeitende beschäftigt Ihr Unternehmen?

Mit dem Absenden dieser Anfrage erklären Sie sich mit unserer Datenschutzerklärung einverstanden.

Alle Angebote des Zentrums sind kostenfrei.

WordPress Cookie Hinweis von Real Cookie Banner