Inhalt

• Informationssicherheit - Schutz und Zukunftssicherung zugleich
• Fakten und Zahlen
• Informationssicherheit und Outsourcing leicht gemacht
• White Papers
• Jobs
• Impressum

Informationssicherheit - Schutz und Zukunftssicherung zugleich

Angaben z.B. zu technischen Spezifikationen, Produktionseinrichtungen und -prozessen, Erfindungen, Personal, Kunden, Unternehmenszielen und -strategien sind Unternehmenswerte, die für eine erfolgreiche Geschäftstätigkeit kritisch sind. Dabei spielt es keine Rolle, ob diese Information in Papierform vorliegt, elektronisch versandt oder übertragen, gesprochen oder auf Photos, in Videos oder Filmen gezeigt wird. Einerseits muss diese Information im Unternehmensalltag für autorisierte Instanzen bei Bedarf effizient zugänglich und verwendbar sein. Andererseits gilt es ihre Vertraulichkeit, Richtigkeit und Vollständigkeit risikogerecht zu schützen.

Ausgangspunkt einer geführten Informationssicherheit z.B. nach dem zertifizierbaren international anerkannten Standard ISO/IEC 27001:2005 - Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) - ist daher eine systematische Risikobeurteilung aller Unternehmenswerte, die in Form von Information vorliegen. Dabei werden Risikoquellen wie Bedrohungen und Schwachstellen identifiziert, die Eintrittswahrscheinlichkeiten und die Schäden möglicher Ereignisse abgeschätzt und die daraus ermittelten Risiken mit unternehmensspezifischen Richtwerten verglichen, um die Bedeutung der Risiken für das Unternehmen zu bestimmen. Das Vorgehen ist bekannt vom Management anderer unternehmerischer Risiken.

Das Ergebnis der Risokobeurteilung steuert die Managementaktivitäten und -prioritäten, um vor den ermittelten Risiken adäquat zu schützen. Der Risikoansatz regelt auch, wie die in der ISO/IEC 27001:2005 beschriebenen Massnahmen umgesetzt werden müssen. Massnahmen jeglicher Art kommen also erst an zweiter Stelle. Nur so erreicht man eine unternehmensspezifische und risikogerechte Balance von Vertraulichkeit, Integrität und Verfügbarkeit für jeden einzelnen Unternehmenswert.

Informationssicherheit in einem Unternehmen kann man nicht durch ein einmaliges Projekt auf Dauer sicherstellen. Gemäss Standard steht daher ein kontinuierlicher Verbesserungsprozess nach dem Plan - Do - Check - Act (PDCA) Modell im Zentrum eines ISMS. Er hilft das System zu begründen, implementieren und betreiben, ständig zu überwachen und periodisch zu überprüfen, Schwachstellen zu identifizieren und zu beheben. Er hilft aber auch, die Informationssicherheit an die sich ändernden Anforderungen eines Unternehmens und des Umfeldes anpassen.

Für die erfolgreiche Einführung eines ISMS ist die sorgfältige Abstimmung mit den Unternehmenszielen, die Konsistenz mit der Unternehmenskultur sowie die Behandlung von Informationsrisiken im Rahmen des unternehmensweiten Risikomanagements von zentraler Bedeutung. Informationssicherheit muss aber auch erkennbar und verbindlich auf allen Führungsstufen, inkl. der operativen und strategischen Geschäftsführung, gefördert werden. Das umfasst die Bereitstellung von finanziellen Mitteln und Ressourcen für die nachhaltige Entwicklung des Sicherheitsbewusstseins aller Mitarbeiter, die Einführung von Massnahmen und Prozessen und zur Übernahme von Führungsaufgaben.

Fazit: Informationssicherheit betrachtet Information jeglicher Art und in jeglicher Form, die geschäftskritisch ist. Sie definiert damit den übergeordneten Rahmen für die IT-Sicherheit. Auch setzt sie die Leitplanken für den gesetzlich verlangten Datenschutz und die geforderten Massnahmen zur Datenarchivierung. Damit wird Informationssicherheit auch zu einem wichtigen Element einer ordnungsgemässen Unternehmensführung.

Heute sind weltweit fast 5,000 Unternehmen nach ISO/IEC 27001:2005 zertifiziert. Pro Jahr kommen etwa 1,000 Unternehmen dazu. Aber auch wenn eine Zertifizierung nicht das Ziel ist, profitiert ein Unternehmen. Schwachstellen im Umgang mit Information in der organisatorischen Struktur und den Geschäftsprozessen werden identifiziert und gemildert oder beseitigt. das Risikomanagement wird kritisch überprüft. Nicht zuletzt können dadurch auch unternehmerische Chancen bessere genutzt werden.

Lesen Sie die ausführliche Fassung dieses Artikels in der Dezemberausgabe des Schweizer Industriemagazins ``maschinenbau''.

Dr. habil. Karsten M. Decker

Fakten und Zahlen

• Compliance und Datenschutz treiben Informationssicherheit. Laut dem 10th Annual Global Information Security Survey von Ernst & Young aus dem Jahr 2007 ist die Einhaltung von Gesetzen, Verordnungen und Regulatorien für 64 Prozent (Vorjahr 56 Prozent) der befragten Manager Grund, sich mit Informationssicherheit zu beschäftigen. 58 Prozent (Vorjahr 47 Prozent) geben an, mit Datenschutz Wettbewerbsvorteile gewinnen zu wollen. Die Studie basiert auf der Befragung von annähernd 1,300 Organisationen in allen wichtigen Branchen in mehr als fünfzig Ländern von Mai bis August 2007.
  (Quelle: Ernst & Young, 2007)
• Mitarbeiter Hauptrisiko beim Datenmissbrauch. Nicht Hacker, sondern nachlässige Mitarbeiter tragen die Hauptverantwortung für Datenmissbrauch. Dies ist das Ergebnis einer Studie, die der Service-Management-Anbieter Compuware zusammen mit dem Ponemon Institute durchgeführt hat. Insgesamt gaben in Deutschland über 90 Prozent der Befragten an, in den letzten 24 Monaten seien ihnen am Arbeitsplatz mindestens einmal persönliche Daten abhanden gekommen. Fast drei Viertel aller Umfrageteilnehmer konnten zudem nicht mit Sicherheit sagen, ob wirklich alle Vorkommnisse aufgedeckt wurden. Rund 40 Prozent aller Fälle von Datenmissbrauch treten in Mainframe-Umgebungen auf.
  (Quelle: InfoWeek Online, 21. Oktober 2008)
• Es wird viel zu viel Geld für IT-Sicherheitsprodukte ausgegeben. Nach einer Studie der Marktforscher IDC werden im Jahr 2009 insgesamt fünf Prozent aller IT-Investitionen weltweit in Sicherheitsprodukte fliessen, insgesamt mehr als 45 Milliarden Euro. 2001 waren es noch elf Milliarden oder 1.5 Prozent. Für Art Coviello, den Chef von EMCs Sicherheitstochter RSA, ist das viel zu viel. Der RSA-Chef kritisiert die zahlreichen, oft isoliert vor sich hinwerkelnden Schutzmechanismen zur Absicherung der Unternehmensnetzwerke. All diese Produkte würden jeweils nur einen kleinen Teil der diversen Aufgaben - Firewall, Anti-Viren-Software, Data Leakage Prevention, etc. - erledigen und mangels Verknüpfung nicht effizient zusammen arbeiten. Coviello bemängelt auch, dass IT-Security-Lösungen bisher oft nur mit Hilfe des Faktors Angst anstatt realer Risiken verkauft worden seien.
  (Quelle: Computerzeitung.de, 28. Oktober 2008)
• Fraud as a Service: Online-Betrug als Dienstleistung. Bereits für 299 Dollar pro Monat bekommen Möchtegern-Kriminelle ein komplettes Paket bestehend aus Trojaner, Verteilung der Malware und Web-Hosting für die Ergebnisse der Trojaner-Aktivitäten geliefert. Das berichtet Uri Rivner, Leiter für New Technologies beim Security-Spezialisten RSA. Laut Rivner eröffnen sich somit auch technisch wenig talentierten Gaunern die Tore des schon seit längerem grassierenden Datendiebstahls - Kredikartendaten, Kontodetails, Logindaten, etc. - per Trojanischem Pferd. Fraud as a Service endet nicht beim einmaligen Bereitstellen des Servers und des speziell an die Anforderungen des Kunden angepassten Trojaners. Der Dienstleister übernimmt auch die laufende Aktualisierung der Malware, um eine Entdeckung durch Anti-Spyware-Software zu erschweren. Lediglich die Barabhebung von eventuell durch die Ergebnisse der Online-Raubzüge erbeuteten Geldbeträgen müsse der FaaS-Kunde selbst übernehmen.
  (Quelle: Computerzeitung.de, 30. Oktober 2008)

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

• Informationssicherheit - Schnelltest
• Outsourcing - Schnelltest
• Informationssicherheit - Selbstbewertung
• Outsourcing - Selbstbewertung

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

White Papers

• Ist Informationssicherheit ein technisches Problem?
  (Publiziert bei Securitymanager.de, Juni 2007)
• Basel II: Senkung der operationellen Risiken schafft Zugang zu günstigeren Krediten
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 5, Mai 2007)
• Informationssicherheit und Outsourcing: Fünf Trends für 2007
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 3, März 2007)
• Informationssicherheit: Luxus oder überlebenswichtig?
• Grid Computing - the European business perspective
  (Publiziert in EuropeanCEO, November - Dezember 2004; in Englisch)

Alle White Papers sind kostenlos.

Jobs

Suchen Sie eine neue Herausforderung? Können Sie auf eine langjährige erfolgreiche Berufstätigkeit als Linienverantwortlicher zurückblicken? Möchten Sie nicht nur beraten, sondern die von Ihnen erarbeiteten Konzepte auch verantwortlich umsetzen?

Zur Erweiterung unseres Teams freier Mitarbeiter suchen wir erfahrene Fachspezialisten mit Flair für das Geschäft und grosser Sozialkompetenz in den folgenden Bereichen:

• Informationssicherheit
• IT Service Management
• Internationales Projektmanagement
• Projektassistenz
• Public Relations und Event-Management

Bitte senden Sie Ihre Bewerbung an Dr. habil. Karsten M. Decker. Für Fragen steht Ihnen Karsten Decker auch unter der Telefon-Nr. +41 (41) 790-9080 zur Verfügung.

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.