Informationssicherheit

Technischer Fortschritt und branchenspezifische Anforderungen machen IT- und Informationssicherheit in Unternehmen dringender denn je. Zentrales Instrument zur Erfüllung aller relevanter Standards wie z.B. ISO 27001/27002, BSI-IT-Grundschutz, CISIS12® oder TISAX® ist das Informationssicherheitsmanagementsystem (ISMS). 

Ein Informationssicherheitsmanagementsystem(ISMS) dient der Sicherheit aller Informationen und Daten im Unternehmen. Denn Daten bilden in der Ära von Digitalisierung, Künstlicher Intelligenz und Smart Devices immer mehr den entscheidenden Unterschied in der Wettbewerbsfähigkeit der Unternehmen. Auch basieren immer mehr Geschäftsmodelle vornehmlich auf dieser Grundlage.

Risikomanagement

Für Banken besteht mit den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den bankaufsichtlichen Anforderungen an die IT (BAIT) die Notwendigkeit, IT-Systeme und IT-Prozesse sicher zu gestalten.

Informationssicherheitsbeauftragter

Der Informationssicherheitsbeauftragte ist verantwortlich für alle Belange der Informationssicherheit innerhalb des Unternehmens. Er berät die Geschäfts- oder Behördenleitung bei der Einhaltung von aufsichtsrechtlichen und gesetzlichen Pflichten und unterstützt bei der Umsetzung.

Auslagerung des Informationssicherheitsbeauftragten

Im Rahmen der Auslagerung des Informationssicherheitsbeauftragten unterstützen unsere Mitarbeiterinnen und Mitarbeiter Ihre Bank insbesondere bei folgenden Aufgaben:

Unterstützung der Geschäftsleitung

Unterstützung der Geschäftsleitung der Informationssicherheitsleitlinie sowie Beratung in allen Fragen der Informationssicherheit. 

Informations-sicherheitsrichtlinien

Erstellung von Richtlinien und Regelungen sowie die Kontrolle ihrer Einhaltung.

Informations-
sicherheitsprozess

Überwachung des Informationssicherheitsprozesses im Unternehmen und gegenüber IT-Dienstleistern. 

Informations-sicherheitskonzept

Einbezug gängiger Standards wie ISO 2700X, BSI Grundschutz oder LFO (SiMaKat) sowie CISIS12 und TISAX®.

Analysen

Analysen von Struktur-, Schutzbedarfs und Schutzniveau.

Notfallkonzept

Unterstützung bei der Erstellung und Fortschreibung des Notfallkonzepts hinsichtlich der IT-Belange.

Maßnahmen

Initiierung, Realisierung und Überwachung von Maßnahmen zur IT-Sicherheit. 

Projektbeteiligung

Unterstützung bei Projekten im Unternehmen mit IT-Relevanz.

Ansprechpartner

Ansprechpartner für Fragen der Informationssicherheit innerhalb des Unternehmens und für Dritte.

Informationssicherheitsvorfälle

Untersuchung von Vorfällen und Abstimmung mit den Fachbereichen des Unternehmens sowie deren Reporting an die Geschäftsleitung.

Berichterstattung

Regelmäßiges Reporting gegenüber der Geschäftsleitung zu IT-Sicherheit, Risikoanalyse und Veränderungen der Risikosituation. 

Schulungen

Durchführung zielgruppenorientierter Sensibilisierungs- und Schulungsmaßnahmen zum Thema Informationssicherheit.

Ihre Vorteile durch Auslagerung

Aufsichtsrechtlich angemessene Umsetzung.

Praxisorientierung durch den Einsatz externer Spezialisten, deren Fachkunde regelmäßig bestätigt wird.

Effiziente Vorgehensweise durch den Einsatz eines für Sie passenden Dokumentationstools sowie verschiedener Audittools.

Synergieeffekte durch einen der größten Mehrmandantendienstleister für Informationssicherheit und Datenschutz.

Entlastung Ihrer Mitarbeitenden von administrativen Tätigkeiten.

Einsparung von aufwendigen Fortbildungsmaßnahmen für Ihr Unternehmen.

Zeitersparnisse und damit Zeitreserven für Ihr Kerngeschäft und Ihre Kunden.

Informationssicherheits-Managementsystems (ISMS) in KMUs und
öffentlicher Verwaltung

Das Compliance Informations-Sicherheitsmanagement System in 12 Schritten (CISIS12) ist ein Information Security Management System (ISMS), das vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben wird. Es umfasst die Beschreibung des Standards, eine Norm, ein Handbuch zur Einführung und einen Baustein und Maßnahmenkatalog. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. CISIS12 unterscheidet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit in den Modalitäten "kann", "soll", "muss". Es ergänzt den bereits seit mehreren Jahren etablierten Standard ISIS12 um eine zusätzliche Schicht mit Compliance-Aspekten und gibt somit der Version 3 ihren neuen Namen CISIS12.

Die Schritte sind:

 

  • Leitlinie erstellen und Ziele definieren
  • Sensibilisieren
  • ISMS-Team
  • Dokumentation
  • ITSM-Prozesse
  • Compliance / Prozesse / Anwendungen
  • Infrastruktur
  • Risiko (neu)
  • IST-SOLL-Vergleich
  • Umsetzung
  • Audit intern (neu)
  • Revision

Die Schritte werden kontinuierlich im PDCA-Zyklus durchlaufen.

 

Um einen vollumfänglichen ISMS-Standard zu etablieren, wird in CISIS12 die Prozesssicht in den Vordergrund gestellt.

 

Einige wichtige Prozesse bei CISIS12 sind:

 

  • Risikomanagementprozess: Der Risikomanagementprozess ist der Kernprozess des ISMS und umfasst die Identifizierung, Bewertung und Behandlung von Risiken im Zusammenhang mit der Informationssicherheit. Dieser Prozess hilft dabei, potenzielle Bedrohungen und Schwachstellen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.
  • Incident-Managementprozess: Der Incident-Managementprozess umfasst die Meldung, Analyse und Behebung von Sicherheitsvorfällen. Hierbei geht es darum, schnell und effektiv auf Bedrohungen oder Angriffe zu reagieren, um Schäden zu minimieren.
  • Change-Managementprozess: Der Change-Managementprozess regelt die Umsetzung von Änderungen an IT-Systemen oder Prozessen, um sicherzustellen, dass diese Änderungen keine negativen Auswirkungen auf die Informationssicherheit haben.
  • Kontinuierlicher Verbesserungsprozess: Der kontinuierliche Verbesserungsprozess (KVP) umfasst die ständige Überprüfung und Verbesserung der ISMS-Prozesse, um sicherzustellen, dass sie den sich ändernden Anforderungen und Bedrohungen gerecht werden.
  • Schulungs- und Sensibilisierungsprozess: Der Schulungs- und Sensibilisierungsprozess umfasst Schulungen und Awareness-Kampagnen, um das Sicherheitsbewusstsein und -wissen der Mitarbeiter zu verbessern.
  • Überwachungs- und Messprozess: Der Überwachungs- und Messprozess umfasst die Überwachung der Umsetzung der ISMS-Prozesse sowie die Messung und Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen.

Diese Prozesse sind eng miteinander verknüpft und bilden zusammen ein umfassendes System zur Gewährleistung der Informationssicherheit in einer Organisation.

 

 

TISAX® - Informationssicherheits-Management-System (ISMS) in der Automobilindustrie

TISAX® (Trusted Information Security Assessment Exchange) definiert die Pflichtanforderungen an ein Informationssicherheits-Management-System (ISMS) sowie die datenschutzrechtlichen Mindestanforderungen in der Automobilindustrie. Hierbei orientieren sich die Anforderungen an das ISMS im Sinne der ISO-27001. Datenschutzrechtlich liegt eine ähnliche Grundlage, wie aus der Datenschutz-Grundverordnung (DSGVO) bekannt, vor.

Vor dem Hintergrund sind Unternehmen, welche einen externen Datenschutzbeauftragten bestellt haben, in der Regel für den datenschutzrechtlichen Teil eines TISAX Assessments bereits gewappnet. 

 

Grundsätzlich kann man also festhalten, dass es sich bei dem TISAX Assessment um eine Informationssicherheits-, Datenschutz- und Compliance-Überprüfung bzw. Gutachten handelt, das sich an dem branchenspezifischen Standardkatalog VDA-ISA orientiert, welcher durch den Verband der Automobilindustrie (VDA) veröffentlicht wird. Die ENX Association managt und überwacht dabei die Qualität der Durchführung und die Ergebnisse der TISAX Assessments, die für den Erhalt einer Informationssicherheitszertifizierung der Automobilindustrie notwendig ist.

 

Bei der ENX Association handelt es sich einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbände. Die TISAX Überprüfung betrifft also die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß DSGVO. Die Prüfung dieser Thematiken innerhalb des Unternehmens erfolgt in der Regel durch externe TISAX Prüfdienstleister, wobei die ENX Association als Governance-Organisation agiert. 

 

Eine TISAX Zertifizierung bietet Unternehmen neben der Reduktion von bestehenden Risiken durch gesteigerte Sicherheitsstandards viele weitere Vorteile wie etwa Transparenz und eine höhere Vertrauenswürdigkeit für Kunden und Geschäftspartner. Die TISAX Zertifizierung ist zudem weltweit anerkannt, wodurch diese auch fürs Marketing von Bedeutung sein kann.

 

Des Weiteren werden durch die Umsetzung der TISAX Vorgaben bei einem entsprechendem Audit generell die IT entlastet und laufende Aufwände und Kosten durch erleichterte Tagesabläufe der implementieren standardisierten Prozesse reduziert. Da diese als Voraussetzung für die Zusammenarbeit mit der Automobilindustrie angesehen werden, bestätigt die TISAX Zertifizierung deren Sicherheitsniveau und Qualitätsstandards. Außerdem werden dadurch teure und aufwändige Mehrfachprüfungen verhindert, da ein Audit nach den TISAX Vorgaben nur noch alle drei Jahre durchgeführt werden muss. So können bspw. Ersparnisse bei den sonst üblichen, mehrfach im Jahr durchgeführten Lieferantenaudits erzielt werden. Es lässt somit festhalten, dass eine TISAX Zertifizierung einen Wettbewerbsvorteil generieren kann.

 

Eine TISAX Zertifizierung ist zwar nicht gesetzlich verpflichtend, jedoch eine notwendige Bedingung für die Zusammenarbeit mit Unternehmen der Automobilindustrie. Eine fehlende Zertifizierung des Unternehmens oder der Entzug dieser kann jedoch auch einige Konsequenzen mit sich führen. Auch können mögliche Verstöße gegen die DSGVO (bspw. aus Art. 32 Abs. 1 lit. b) DSGVO i. V. m. Art. 39 DSGVO) durch den datenschutzrechtlichen Teil des TISAX präventiv unterbunden werden. Eine Nichterfüllung der TISAX-Standards führt in erster Linie dazu, dass ein Unternehmen für Automobilhersteller und -lieferanten als nicht mehr beauftragungsfähig gilt, da die meisten eine Zertifizierung voraussetzen. Auch werden bestehende Beauftragungen sukzessiv auf die TISAX-Konformität überprüft. So kann ein Nichtvorhandensein der TISAX Zertifizierung einen existenzbedrohenden Faktor für das Unternehmen darstellen. Ein Verstoß gegen datenschutzrechtliche Bestimmungen wie Art. 32 Abs. 1 lit. b) DSGVO können gem. Art. 83 Abs. 4 DSGVO zu Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen sowie Reputationsschäden verursachen. Eine TISAX Zertifizierung ist somit ein relevanter Wettbewerbsfaktor, wobei es auch von Bedeutung ist, sich proaktiv zu zertifizieren.

Ihre Vorteile

Aufbau eines Managementsystems mit kontinuierlicher Sicherung und Verbesserung Ihres Informationssicherheits-Niveaus

Möglichkeit der Erweiterung des CISIS12-Standards auf große ISO-Standards (ISO2700X)

Effiziente Vorgehensweise durch den Einsatz eines Dokumentationstools sowie verschiedener Audittools

Erstellung eines individuellen Sicherheitskonzepts 

für Ihr Unternehmen

Mitgliedschaft im IT-Sicherheitscluster: https://www.it-sicherheitscluster.de/

Unterstützung bei Förderprogrammen für Unternehmen bis 50 Mitarbeitende: https://www.digitalbonus.bayern/

Thomas Kraus
Geschäftsfeldverantwortlicher Informationssicherheit