ISMS erfolgreich implementieren - Hilfreiche Tools und Risiken

In Zeiten komplexer Cyberangriffe brauchen Unternehmen ein effektives Sicherheitskonzept (ISMS). Denn Industriespionage oder Sabotage kann für einige Unternehmen schmerzliche Folgen haben. Erfahren Sie hier, wie Sie Ihr Unternehmen effektiv schützen können.

Haben Sie bereits ausreichende Maßnahmen zum Schutz firmeninterner Daten getroffen? Im Interview verrät Stefan Menge, Experte für Informationssicherheit, wie Unternehmen ein ISMS erfolgreich implementieren können und welche Risiken sich dabei vermeiden lassen.

Definition von ISMS – Was verbirgt sich hinter der Abkürzung?

ISMS steht für den englischen Begriff “Information Security Management System” und umfasst alle Maßnahmen, die eingeleitet werden, um firmeninterne Daten zu schützen. Dabei handelt es sich nicht etwa um eine fertig einsetzbare Hardware, sondern um eine Systematik.

Ein ISMS ist und bleibt nur erfolgreich, wenn daran als ein Verbesserungsprozess kontinuierlich gearbeitet wird.

Informationssicherheit – Warum ist das Thema aktuell so brisant?

Das Thema der IT-Sicherheit erweiterte sich in den 90er Jahren auf den Begriff der Informationssicherheit. Bereits 2008 formulierten die Energienetzbetreiber als erste Branche bei den Kritischen Infrastrukturen in einem Whitepaper die “Anforderungen an sichere Steuerungs- und Telekommunikationssysteme”. Allerdings steht der Begriff ISMS erst seit dem Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 verstärkt im Fokus produzierender Unternehmen mit Automatisierungsanlagen. Vor dem Hintergrund immer häufiger auftretenden und immer komplexeren Cyberangriffen wird dies auch höchste Zeit.

Wer ist für die Implementierung von ISMS verantwortlich?

In der Geschäftsführungsetage könnte man auf die Idee kommen dieses Thema einem einzelnen ISMS-Beauftragten zu überlassen. Das funktioniert so aber nicht. Denn ein ISMS wird immer von einem ganzen Team implementiert.

Um ein ISMS aufzubauen, benötigt man die Expertisen von Beteiligten verschiedener Fachabteilungen. Denn diese wissen am besten, wie die Geschäftsprozesse anlaufen, welche Systeme sie nutzen und wo Schwachstellen vorhanden sind.

Natürlich wird zunächst ein verantwortlicher ISMS-Beauftragter durch die Geschäftsleitung benannt. Dieser koordiniert und dirigiert den gesamten ISMS-Prozess – aber die inhaltliche Arbeit muss durch die Fachverantwortlichen der jeweiligen Abteilung geleistet werden. Ein ISMS-Berater unterstützt diese Tätigkeiten, indem er die Themen strukturiert, Templates zur Bearbeitung zur Verfügung stellt sowie die Dokumentation in “einem Guss” zusammenstellt.

Der ISMS-Beauftragte darf keine operative Verantwortung für den Betrieb der Systeme haben. Denn er darf nicht in einen Interessenkonflikt zwischen Sicherheit und betrieblichen Erwägungen geraten.

Ein ISMS-Beauftragter muss darüber hinaus eine gewisses Standing besitzen, der seine Meinung im Fall der Fälle auch gegen den vordergründigen Mainstream des Unternehmens äußern und vertreten kann.

Projekt “ISMS initiieren” – Wie läuft das ab?

Zunächst definieren der ISMS-Beauftragte und die Geschäftsleitung den zu betrachtenden Untersuchungsbereich (auch “Scope” genannt). Hierin sollten die “Kronjuwelen” des Unternehmens enthalten sein, die eines besonders hohen Schutzes bedürfen. Das können z. B. Teile der Entwicklung oder Produktion sein. Je nach Größe des Untersuchungsbereichs dauert der Aufbau eines ISMS etwa 12-18 Monate.

KRITIS-Betreiber müssen sich den Prozess abschließend auditieren lassen. Auch alle anderen Unternehmen können ein Auditprozess durchlaufen, um sich den Standard für Informationssicherheit auch nach außen bestätigen zu lassen. Im Vergleich zur Vorbereitung des Untersuchungsbereiches ist dies zum Schluss der geringere Aufwand.

Welche Rolle spielen ISO27001 und andere Standards bei der Einführung?

Die ISO-27000er Reihe ist ein internationaler Standard, der den Aufbau eines ISMS definiert. ISO 27001 definiert den Prozess, der für die Einführung eines ISMS umzusetzen ist und auch eine Zertifizierung ermöglicht. Wie bei einer Checkliste werden Unternehmen u. a. zu relevanten Prüfpunkten untersucht und der Prozess mit geeigneten Sicherheitsmaßnahmen ausgestattet.

Es gibt darüber hinaus auch andere De-facto-Standards, die man zur Einführung eines Security-Management-Prozesses ansetzen kann. Die Umsetzung des BSI-Grundschutzes ist zum Beispiel für die Informationssicherheit bei Bundesbehörden verpflichtend und wird auch in der Privatwirtschaft geschätzt. Man kann aber sagen, dass sich der BSI-Grundschutz durchaus mit der ISO 27001 verbindet, wie etwa im BSI-Standard 200-1 zu erkennen ist.

Darüber hinaus gibt es z. B. noch den Standard IEC 62443, der technische Anforderungen enthält, welche Anwendung in Produktionsnetzwerken bzw. Automatisierungsanlagen finden.

Welche Risiken können bei einer ISMS-Implementierung auftauchen?

Das A und O für die Einführung eines ISMS ist neben der Budget- und Zeitplanung zunächst die klare Festlegung der Zielsetzung und Verantwortlichkeiten. Einer muss den “Hut aufhaben”. Wenn das geklärt ist, müssen wie bei jedem anderen Projekt ausreichend Entscheidunskompetenz und Mittel zur Verfügung stehen. Ein ISMS-Projekt besteht im Wesentlichen in der Initiierung eines wiederkehrenden Überprüfungsprozesses für Informationssicherheit. Dies kann unter Umständen länger dauern oder teurer werden als zuvor eingeplant. Wie bei jedem Projekt muss man auch hier Lösungen und Priorisierungen entwickeln für den Fall, dass weitere Mittel benötigt werden.

Ein weiteres Risiko, das ich sehe, ist die Verzettelung in der Risikoanalyse. Die Projektlaufzeit wird unnötig verlängert durch Diskussionen über Kleinigkeiten. Man sollte sich am Pareto-Prinzip orientieren: 80 Prozent der Risiken findet man relativ schnell in 20 Prozent der Zeit.

Denn eins ist klar: Alle Risiken wird man nie ausfindig machen können, 100-prozentiger Schutz ist eine Illusion. Viel wichtiger ist es, dass man die elementaren Risiken anpackt und den gesamten Prozess einmal durchläuft. Gemäß dem PDCA-Prinzip (Planen – Umsetzen – Kontrollieren – Handeln) können weitere Fehler gefunden und Verbesserungen kontinuierlich durchgeführt werden.

Welche ISMS-Tools können Sie empfehlen?

Wenn die abzusichernden Geschäftsprozesse definiert sind, kann ein Tool unterstützende Funktionen, wie z. B. die relevanten IT-Assets eines Netzwerkes identifizieren sowie deren kontinuierliche Überwachung übernehmen und sogar die Risikoanalyse strukturiert dokumentieren. So das Industrie Computer System IRMA aus dem Hause VIDEC.

IRMA sammelt Informationen über die Kommunikation in diesen Bereichen und protokolliert diese. Zugleich erkennt das System ungewöhnliche Verbindungen, sogenannte Anomalien und schlägt Alarm. Ein Beispiel für solche Anomalien können APT (“Advanced Persistent Threats”) sein. Dies sind Cyberangriffe, die Virenscanner und Firewalls umgehen können und bis zu 200 Tage ungestört Schäden im Netzwerk verursachen. Je früher man diese Gefahren erkennt, desto besser kann man reagieren.

Gerade ältere Automatisierungsanlagen reagieren empfindlich auf Scan-Vorgänge. Verständlicherweise ist in produzierenden Unternehmen die Skepsis groß vor Tools, die durch einen aktiven Eingriff die Verfügbarkeit der Netzkomponenten gefährden.

Denn ein aktiver Eingriff könnte die Produktionsanlage in einen unkontrollierten Zustand bringen. Die sicherheitstechnischen und wirtschaftlichen Schäden einer heruntergefahrenen Anlage können enorm sein. Darum wurde IRMA so konzipiert, dass ein passiver Eingriff ins Netzwerk erfolgt. Bestehende Netzwerke werden also nicht belastet und Produktionsvorgänge können unangetastet weiterlaufen.

Sie möchten die Informationssicherheit durch die Einführung eines ISMS gewährleisten? Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne.