IT-Sicherheit ist in Unternehmen und Behörden existenziell, da im Fall von massiven Beeinträchtigungen bis zu Ausfällen der Systeme der Geschäftsbetrieb gestört werden und bis zum Erliegen kommen kann. Seit den Enthüllungen von Edward Snowden und die damit verbundenen Konsequenzen für die IT-Sicherheit ist das Bewusstsein für den Schutz von Unternehmensdaten in den Vordergrund gerückt.

 

Die Werdenfels Management Consulting berät Unternehmen bei der Einführung und Aktualisierung der Informationssicherheit. Wir prüfen dabei alle Prozesse und IT-Systeme systematisch mit bewährten Instrumenten und Methoden.

 

1.    Informationssicherheit-Managementsystem

 

Typischerweise beginnen wir mit der Untersuchung des Managementsystems für Informationssicherheit (ISMS). Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Zu einem ISMS gehören folgende grundlegende Komponenten:

 

·         Management-Prinzipien

·         Ressourcen

·         Mitarbeiter

·         Sicherheitsprozess (Leitlinie zur Informationssicherheit, Sicherheitskonzept , Informationssicherheitsorganisation)

 

2.    IT-Grundschutz

 

Auch die Prüfung und Einführung des IT-Grundschutz um einen vernünftigen Informationsschutz und eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen zählt zu unseren Beratungsaufgaben.

 

Hierbei ist es aber wichtig, sich nicht nur auf die Sicherheit von IT-Systemen zu konzentrieren, da Informationssicherheit nicht nur eine Frage der Technik ist, sondern auch stark von den organisatorischen und personellen Rahmenbedingungen abhängt. Die Sicherheit der Betriebsumgebung, die Verlässlichkeit von Dienstleistungen, der richtige Umgang mit zu schützenden Informationen und viele andere wichtige Aspekte dürfen auf keinen Fall vernachlässigt werden.

 

Die potentiellen Schäden lassen sich verschiedenen Kategorien zuordnen.

 

·         Verlust der Verfügbarkeit

·         Verlust der Vertraulichkeit

·         Verlust der Integrität

 

Wir nutzen die Bausteine des IT-Grundschutz-Katalogs, wie ein effizientes Informationssicherheitsmanagement aussehen sollte und welche Organisationsstrukturen dafür sinnvoll sind. Die Bausteine nach dem IT-Grundschutz sind wie folgt gruppiert:

 

·         Übergreifende Aspekte der Informationssicherheit

·         Sicherheit der Infrastruktur

·         Sicherheit der IT-Systeme

·         Sicherheit im Netz

·         Sicherheit in Anwendungen

 

 

3.    Erstellung des Sicherheitskonzepts

 

In der Sicherheitskonzeption dokumentieren wir für das Unternehmen die vorhandenen und umzusetzenden Änderungen an Geschäftsprozessen, Anwendungen und IT-Systemen, sowie  die Einführung organisatorischer, personeller, infrastruktureller und technischer Standard-Sicherheitsmaßnahmen. Ein wichtiger Bestandteil ist die Schutzbedarfsfeststellung.

 

a.     Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es, zu ermitteln, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen.

 

 

b.     Risikoanalyse

 

Wir führen die Risikoanalyse im Kontext der Informationssicherheit durch, um relevante Gefährdungen für den Informationsverbund zu identifizieren und die daraus möglicherweise resultierenden Risiken abzuschätzen. Das Ziel ist es, die Risiken durch angemessene Gegenmaßnahmen auf ein akzeptables Maß zu reduzieren, die Restrisiken transparent zu machen und dadurch das Gesamtrisiko systematisch zu steuern.

 

Unsere Risikoanalyse beinhaltet folgende Arbeitsschritte:

 

·         Erstellung der Gefährdungsübersicht

·         Ermittlung zusätzlicher Gefährdungen

·         Gefährdungsbewertung

·         Maßnahmenauswahl zur Behandlung von Risiken

 

 

4.    Notfall Management

 

Das Notfallmanagement eines Unternehmens ist ein komplexer Prozess, der sowohl die Notfallvorsorge, die Notfallbewältigung wie auch die Notfallnachsorge umfasst. Um einen solchen Prozess etablieren und aufrechterhalten zu können, ist ein effizientes Managementsystem notwendig.

 

Der Notfallmanagement-Prozess besteht aus den folgenden Phasen:

 

·         Initiierung und Konzeption des Notfallmanagements

·         Umsetzung des Notfallvorsorgekonzepts

·         Notfallbewältigung

·         Tests des Notfallmanagements

·         Aufrechterhaltung und kontinuierliche Verbesserung des Notfallmanagement-Prozesses