Ein Informationssicherheitsmanagementsystem – Halleluja. Die deutsche Sprache bietet vielerlei Möglichkeit, lange Wörter zu bilden und dann gleichsam Abkürzungen zu erschaffen. Ich gehöre sprachlich noch der „alten“ Generation an. Weit bevor man sich über das Anhängen von „INNEN“ oder diverse Rechtschreibreformen politisch mit dem geschriebenen sowie gesprochenem Wort auseinandergesetzt hat oder wie heute auseinandersetzen musste. Dies nur vorweg. Die folgenden Abschnitte sollen einen groben Überblick über das Monsterwort im Titel – kurz ISMS – verschaffen und das so abstrakt wie möglich.

Prolog

Wie starte ich nun? Neulich fragte mich mein Vater, was ich denn so bei Braintower mache. Man muss dazu sagen, dass er schon etwas knapp über 80 ist. Zunächst fiel es mir schwer ihm zu erklären, dass ich für die Aufrechterhaltung der Informationssicherheit verantwortlich bin. Als KFZ-Mechaniker hat man es da einfacher zu erklären, was man so den lieben langen Tag tut… Naja. Zurück zu meinem Vater. Ich versuchte es anhand eines für ihn greifbaren Beispiels herzuleiten. Ich sagte: Das System baut auf drei Säulen der Integrität, der Verfügbarkeit und der Vertraulichkeit auf. Stell Dir vor Du sprichst mit Deiner Nachbarin. Diese soll ihren Mann informieren, was in Deiner Abwesenheit zu tun ist. Sie soll ihm ausrichten, dass er während Deines Wochenendurlaubs auf das Haus achtet und sich um bestimmte Dinge kümmert. Der Nachbar soll: den Hund füttern und 3 x am Tag ausführen, die Pflanzen gießen (außer die Orchidee), und die Post aus dem Kasten nehmen und im Haus auf die Theke legen. Zudem vertraust Du ihm an, dass im Haus Bargeld vorhanden ist und daher die Haustür stets abgesperrt sein muss. Nun ist der Wochenend-Trip vorbei und Du kommst nach Hause. Die Haustür steht offen und es kommt ein fremder Mann raus, der offensichtlich mit dem Trinken eines guten Weines aus dem Keller beschäftigt ist, der Hund ist weg, die Pflanzen vertrocknet, die Orchidee ertrunken und das Bargeld unauffindbar. Was ist nun schiefgelaufen. Die Information wurde ja, korrekt weitergegeben und das unter Zeugen (die Frau vom Nachbarn). Nun soll das aufgeklärt werden und der Nachbar muss Rede und Antwort stehen. Du fragst ihn zunächst, was seine Frau ihm ausgerichtet hat. Er sagt: Meine Frau sagte mir, du fährst übers Wochenende weg. Ich solle die Blumen gießen, aber nur die Orchidee! Den Hund soll ich 3 x am Tag rauslassen. Absperren konnte ich nicht, ich hatte keinen Schlüssel. Die Post hab ich aufgemacht und sortiert. Am Rande hörte ich mit wie meine Frau mit Frau Schlüter aus der 11 telefoniert hat. Da ging es um Bargeld und was weiß ich noch alles.

So viel dazu. Was heißt das nun? Die ursprüngliche Information wurde vermeintlich weitergegeben. Anscheinend wurden jedoch alle Grundsätze der Informationssicherheit verletzt. Vertraulichkeit: Die Nachbarin hat Informationen (bezüglich des Bargelds) mit unbeteiligten Dritten geteilt. Verfügbarkeit: Die Übergabe der Information erfolgte mündlich und ohne Nachweis. Integrität: die Nachbarin hat die ursprüngliche Information zum Teil gar nicht oder auch falsch weitergegeben. Jetzt nehmen wir an, Du wärst der Sicherheitsbeauftragte. Um zukünftig solche „Vorfälle“ zu vermeiden, kann man Maßnahmen ergreifen. Verfügbarkeit (in diesem Fall Dokumentation): die Aufgaben des Nachbarn schriftlich festhalten. Eine Kopie behalten und verwahren. Die Information direkt übergeben. Auf die Vertraulichkeit der Information hinweisen. Die Übergabe des Schlüssels durch den Nachbarn quittieren lassen. Das Bargeld nicht erwähnen. Grundsätzlich könnte man auch beleuchten, ob der Nachbar überhaupt der richtige für den „Job“ ist!

Und darum geht es im ISMS. Mögliche Gefahren und Risiken vorab erkennen und Maßnahmen / Richtlinien oder ähnliches installieren, anwenden und abschließen prüfen, ob diese erfolgreich waren.

Informationssicherheit bei Braintower

Was bedeutet nun Informationssicherheit für die Braintower? Macht das nicht eh jedes Unternehmen bzw. wird dies durch die eingesetzten IT-Systeme erzwungen? Könnte man meinen. Dem ist aber nicht so. Wie andere Systeme (z. B. das Sonnensystem, System of a down, diverse Glaubenssysteme etc.) besteht das ISMS aus einer Vielzahl von einzelnen Komponenten vergleichbar mit einem Fahrzeug. Gibt es dort nur einen Motor, nur die Bremsen oder nur ein statt vier Räder, wird es mit der Fortbewegung schwierig. Alle Bauteile tragen zum Gesamtsystem „Fahrzeug“ bei und müssen betriebsbereit sein. Analog zum Fahrzeug unterliegt das ISMS im Rahme der ISO27001 Zertifizierung auch einer TÜV-Prüfung. Nur das hier nicht geschaut wird, welche Lager ausgeschlagen sind oder ob das Abgassystem undicht ist. Da man das ISMS schlecht auf eine Bühne heben kann und mit einer Taschenlampe ebenso wenig Schadstellen ausgeleuchtet werden können, umfasst die Prüfung des Systems mehrere Komponenten. Die ISO27001 gliedert sich – ganz grob – in zwei Bereiche. Die Normkapitel und die Anhänge. Innerhalb der Normkapitel wird aufgezeigt, welche Basis geschaffen werden muss, um dann die in den Anhängen vorgeschlagenen Hinweise zur Implementierung umsetzen zu können.

Das ISMS soll strukturiere Vorgehensweisen bei eintretenden oder auch möglicherweise eintretenden Ereignissen anbieten. Die Mitarbeiter müssen wissen, wo diese Informationen zu finden sind und wie sie mit der dokumentierten Information umgehen. Das ISMS unterliegt einem stetigen Verbesserungsprozess. Innerhalb des ISMS werden alle getroffenen Regelungen, dokumentieren Richtlinien oder Maßnahmen regelmäßig auf deren Wirksamkeit und Aktualität hin überprüft.

Fazit

Und so schließt sich der Kreis. Das ISMS ist ein fester Bestandteil der Braintower Technologies GmbH und kann nicht losgelöst existieren. Es ist auf die Mithilfe aller Mitarbeiter und sonstiger beteiligter Dritter (Lieferanten, Kunden etc.) angewiesen. Das Braintower ISMS gibt den Mitarbeitern und allen an der Unternehmung beteiligten Parteien die Sicherheit, die Informationssicherheit im Rahmen unseres stetigen Verbesserungsprozesses auf die sich ebenfalls im stetigen Wandel befindlichen Gefahren und Risiken (Malware, Ransomware uvm.) einzustellen und diesen gut gerüstet zu begegnen.

Daten sind im heutigen Informationszeitalter ein wichtiges, wenn nicht gar das wichtigste Gut. Und wie die Informationen und Werte in den Postkutschen in den vergangenen Jahrhunderten, so müssen wir die uns anvertrauten Informationen so gut wir können schützen und bewahren.

So klappt es dann auch mit dem Nachbarn 

Epilog

Dies ist seit über 40 Jahren mein erster Blogbeitrag. Ich hoffe, ich konnte das Thema für die Newbies unter Euch etwas beleuchten und näher bringen. Ich freue mich auf die ein oder andere Fortsetzung. Bis dahin

Live long and prosper

Your Braintower ISB aka Agent M.

Martin Weidig

Martin Weidig

Projektmanager

Gefällt dir der Artikel? Bitte teile ihn!
Share on Facebook
Facebook
0Share on LinkedIn
Linkedin
Email this to someone
email
Tweet about this on Twitter
Twitter