{"id":1218,"date":"2020-04-27T13:24:49","date_gmt":"2020-04-27T11:24:49","guid":{"rendered":"https:\/\/cbrell.de\/blog\/?p=1218"},"modified":"2021-12-15T21:28:36","modified_gmt":"2021-12-15T20:28:36","slug":"informationssicherheitsmanagement","status":"publish","type":"post","link":"https:\/\/cbrell.de\/blog\/informationssicherheitsmanagement\/","title":{"rendered":"Informationssicherheitsmanagement"},"content":{"rendered":"

Informationssicherheitsmanagement sorgt daf\u00fcr, dass die Daten – das R\u00fcckgrat der Unternehmen – verf\u00fcgbar sind, der Zugriff darauf funktioniert und die Prozesse den rechtlichen Rahmenbedingungen gen\u00fcgen.<\/em> Insbesondere wenn eine eigene IT-Infrastruktur im Unternehmen betrieben wird, ist Informationssicherheitsmanagement unabdingbar und geh\u00f6rt somit zum Methodenapparat der Wirtschaftsinformatik.
\nDabei gilt das nicht nur f\u00fcr Unternehmen, sondern auch f\u00fcr Beh\u00f6rden und andere Organisationen, z.B.<\/em> Vereine.<\/p>\n

Stand: 15.12.2021<\/p>\n

Der Beitrag Infornationssicherheitsmanagement ist Teil der Artikelserie „Methoden der Wirtschaftsinformatik von Null auf Hundert“<\/p>\n

Einen \u00dcberblick \u00fcber die Beitr\u00e4ge zu den Methoden finden Sie hier.<\/a><\/p>\n

Warum sollten Sie sich mit Informationssicherheit besch\u00e4ftigen?<\/h2>\n

Zwei Gr\u00fcnde sprechen f\u00fcr die Befassung mit Informationssicherheitsmanagement: Gesetzliche Verpflichtungen und Selbstschutz.<\/p>\n

Gesetzliche Verpflichtung<\/h3>\n

Der erste Grund: Gesetzliche Verpflichtungen legen es einigen Unternehmen nahe, sich mit Informationssicherheit zu besch\u00e4ftigen. Am 24.7.2015 wurde das IT-Sicherheitsgesetz und am 2.5.2016 die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S. 958ff.) ver\u00f6ffentlicht. Letzteres beschr\u00e4nkt das Anwendungsgebiet auf sogenannte Kritische Infrastrukturen (KRITIS). Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit elementarer Bedeutung f\u00fcr das staatliche Gemeinwesen, bei deren Ausfall oder Beeintr\u00e4chtigung nachhaltig wirkende Versorgungsengp\u00e4sse, erhebliche St\u00f6rungen der \u00f6ffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten w\u00fcrden. Zu den Kritischen Infrastrukturen geh\u00f6ren z.B. Versorgungsunternehmen und Krankenh\u00e4user.<\/p>\n

Selbstschutz<\/h3>\n

Der zweite Grund: Selbstschutz in Unternehmen. Die Verf\u00fcgbarkeit, die Vertraulichkeit und die Integrit\u00e4t (Korrektheit) der Daten sind f\u00fcr Unternehmen wichtige Aspekte.
\nInformationssicherheit ist f\u00fcr die meisten Unternehmen von elementarer Bedeutung. Informationssicherheitsmanagement, also das Bewerten, Steuern, Kontrollieren, Weiterentwickeln und die F\u00fchrungsaufgaben zur Informationssicherheit, ist wesentlich, um die Informationssicherheit zu erh\u00f6hen und Risiken in Unternehmen zu mindern.<\/p>\n

Was ist Informationssicherheit und was IT-Sicherheit?<\/h2>\n

Informationssicherheit hat den Schutz von Informationen jeglicher Art und Herkunft, also
\n– Informationen auf Papier
\n– Informationen in Rechnersystemen
\n– Informationen in den K\u00f6pfen der Menschen.
\nals Ziel.
\nIT-Sicherheit besch\u00e4ftigt sich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.
\nSo gesehen umfasst Informationssicherheit die IT-Sicherheit, Informationssicherheit ist der \u00fcbergeordnete Begriff (vgl. Abb. 4-1).
\nInformationssicherheitsmanagement legt die organisatorischen und technischen Ma\u00dfnahmen fest, die das Risiko senken.<\/p>\n

\"Zusammengang<\/a><\/p>\n

Abb. 1 Zusammengang zwischen Informationssicherheit und IT-Sicherheit<\/em><\/p>\n

Informationen sind wichtige Werte f\u00fcr Unternehmen und Sie m\u00fcssen sie angemessen sch\u00fctzen. Viele Informationen werden mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. Es hat sich gezeigt, dass Optimierung des Informationssicherheitsmanagements effektiver ist als lediglich Investitionen in Sicherheitstechnik.<\/p>\n

Was ist Risiko?<\/h2>\n

Risiko ist das, was es im Unternehmen zu mindern gilt. Um Risiko zu mindern, m\u00fcssen Sie es zuvor bestimmen und bewerten. Eine Bewertung gelingt dann einfach, wenn Sie das Risiko in Form eines Geldbetrages pro Zeit ausdr\u00fccken. Risiko ist definiert als
\nRisiko = Schadensh\u00f6he (in \u20ac) x Schadenseintrittswahrscheinlichkeit (in Ereignis pro Zeiteinheit.)<\/strong>
\nBeispiel \u201eWordpress-Attacke\u201c:
\nF\u00fcr die Wiederherstellung eines komplett zerst\u00f6rten WordPress-Blogs sch\u00e4tzen Sie einen Zeitaufwand von 9 Personentagen bei einem Stundenlohn von 65 \u20ac. Das entspricht einem Schaden von 9*8*65=4680\u20ac. Ebenso vermuten Sie, dass ein solch zerst\u00f6rerischer Angriff (oder ein Fehler, der den Blog zerst\u00f6rt) alle drei Jahre einmal vorkommt. Damit betr\u00e4gt das Risiko 4680\/3=1560\u20ac pro Jahr.
\nOft m\u00fcssen Sie noch Reputationsverluste hinzukalkulieren, die sich allerdings nur schwer in Geldbetr\u00e4gen sch\u00e4tzen lassen.<\/p>\n

Wie k\u00f6nnen Sie Risiko senken?<\/h2>\n

Es ist betriebswirtschaftlich nicht sinnvoll, mehr f\u00fcr Ma\u00dfnahme zur Risikominimierung zu investieren, als sie Erfolg bringt.
\nBeispiel \u201eBackup WordPress\u201c: Als Beispiel sei der Kauf eines Systems genannt, das regelm\u00e4\u00dfig Backups des WordPress Blogs erzeugt, so dass Sie das System in drei Stunden reparieren k\u00f6nnen. Solch ein System mag 800 \u20ac kosten. Das Risiko nach Beschaffung und Einrichtung des Systems ist nun 3*65\/3=65\u20ac pro Jahr. Somit bringt das System schon im ersten Jahr eine Risikosenkung von 1560-65=1495\u20ac, Sie haben die 800\u20ac also schon im ersten Jahr wieder \u201eraus\u201c.
\nEs gibt grunds\u00e4tzlich zwei M\u00f6glichkeiten, Risiko zu senken:
\n\u2022 erstens durch Senkung der Schadensh\u00f6he wie im Beispiel und
\n\u2022 zweitens durch Senkung der Schadenseintrittswahrscheinlichkeit. Die Schadenseintrittswahrscheinlichkeit kann prinzipiell nicht auf 0 gesenkt werden. Eine Senkung der Schadenseintrittswahrscheinlichkeit k\u00f6nnte im Beispiel durch Deaktivierung der Kommentarfunktionen in WordPress erfolgen.<\/p>\n

Welche Einfallstore gibt es f\u00fcr Bedrohungen?<\/h2>\n

F\u00fcr einen potenziellen Angriff auf die Informationssicherheit gibt es grunds\u00e4tzlich drei Einfallstore (Abb. 4-2):
\n1. Maschinen
\n2. Dinge und R\u00e4ume
\n3. Menschen
\nDabei ist der Mensch ein wichtiges und empfindliches Einfallstor.<\/p>\n

Maschine<\/h3>\n

Das ist das, was man sich klassisch unter IT-Sicherheit vorstellt. Ein Angreifer (Hacker) versucht z.B. mit Schadsoftware eine Festplatte auszulesen oder Netzdienstleistungen zu nutzen.<\/p>\n

Dinge und R\u00e4ume<\/h3>\n

Oft gibt es es ganz einfach Wege , Informationen auszusp\u00e4hen. Auf dem Tisch liegende Aktenordner oder in den Papierkorb geworfene Entw\u00fcrfe (oder Kontoausz\u00fcge am Kassenautomaten) k\u00f6nnen sch\u00fctzenswerte Informationen offenbaren.<\/p>\n

Mensch<\/h3>\n

Menschen sind ein dankbares Einfallstor. Oft werden Menschen manipuliert, um ein Eindringen in Computersysteme einfacher zu erm\u00f6glichen. Das zielgerichtete und systematische Vorgehen zur Manipulation von Menschen nennt man Social Engineering. Je mehr eine Angreifer \u00fcber einen Menschen wei\u00df, desto gezielter kann der Angreifer vorgehen.<\/p>\n

\"Drei<\/a><\/p>\n

Abb. 2 Drei Einfallstore der Informationssicherheit<\/em><\/p>\n

Social Engineering im Detail<\/h2>\n

Das Ziel des Social Engineering ist die zwischenmenschliche Beeinflussungen, um bei Personen bestimmtes Verhalten hervorzurufen. So sollen sie zum Beispiel vertrauliche Informationen preisgeben, ein Produkt kaufen oder Finanzmittel freigeben.
\nSocial Engineers spionieren das pers\u00f6nliche Umfeld ihres Opfers aus, t\u00e4uschen Identit\u00e4ten vor oder nutzen Verhaltensmuster wie Autorit\u00e4tsh\u00f6rigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Oft dient Social Engineering der Vorbereitung des Eindringens in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann von Social Hacking.
\nEs gibt drei Unterarten des Social Engineerings: Computer Based Social Engineering, Human Based Social Engineering, Reverse Social Engineering.<\/p>\n

Computer Based Social Engineering<\/strong><\/h3>\n

Beim \u201eComputer-Based Social Engineering\u201c werden erforderliche Informationen mit technischen Hilfsmitteln beschafft. Die Hilfsmittel k\u00f6nnen manipulierte Internetseiten, Mailanh\u00e4nge mit Links oder Schadprogrammen oder Popup-Fenster mit Eingabefeldern sein.<\/p>\n

Human Based Social Engineering<\/strong><\/h3>\n

Beim \u201eHuman-Based Social Engineering\u201c beschafft ein Angreifer Informationen auf nicht-technischem Weg \u00fcber die soziale Ann\u00e4herung an Personen. So gibt der sch\u00fcchterne Programmierer einer professionellen Angreiferin, die sich als an ihm als Person interessiert ausgibt, vielleicht Informationen \u00fcber sein Programmsystem preis.<\/p>\n

Reverse Social Engineering<\/strong><\/h3>\n

Ein Mitarbeiter im Unternehmen wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer zu \u00fcbermitteln. Zum Beispiel kann sich ein Angreifer als Supportmitarbeiter ausgeben und hinterl\u00e4sst f\u00fcr Probleme seine Kontaktdaten. Danach provoziert der Angreifer ein Problem mit dem Ziel, dass das Opfer ihn kontaktiert und ihm f\u00fcr die Problembehebung Zugang zu seinem Computersystem gew\u00e4hrt.<\/p>\n

Welche Ziele hat das Informationssicherheitsmanagement?<\/h2>\n

Informationssicherheitsmanagement verfolgt drei sogenannte Schutzziele:
\n1. Schutz der Verf\u00fcgbarkeit.<\/strong> Das hei\u00dft, alle Informationen sind zur rechten Zeit am rechten Ort.
\n2. Schutz der Vertraulichkeit<\/strong>. Das hei\u00dft, nur die Menschen, die \u201ezust\u00e4ndig\u201c sind, erhalten Zugang zu den Informationen.
\n3. Schutz der Integrit\u00e4t.<\/strong> Das bedeutet, dass die Daten in einem vollst\u00e4ndigen und korrekten (richtigen) Zustand sind.
\nDie Schutzziele sind ein wesentliches Konstrukt des IT-Grundschutzes des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik.<\/p>\n

Was ist ein Informationssicherheitsmanagementsystem?<\/h2>\n

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 hilft, die Sicherheit im Unternehmen geordnet und nachpr\u00fcfbar zu erh\u00f6hen. Ein ISMS definiert dazu Regeln und Methoden, um Informationssicherheitsmanagement einzuf\u00fchren und zu betreiben. Ein ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz \u2013 die Initiative geht also von der Unternehmensf\u00fchrung aus. Die Neueinf\u00fchrung eines ISMS ist in der Regel ein Projekt<\/a>. Das ISMS \u201eam Leben zu erhalten\u201c und den sich wandelnden Gegebenheiten anzupassen, ist ein st\u00e4ndiger Verbesserungsprozess und folgt dem PDCA-Zyklus.<\/p>\n

Wie entwickeln Sie ein Informationssicherheitsmanagementsystem?<\/h2>\n

Sicherheitsleitlinien<\/h3>\n

Oft beziehen Sie einen externer Dienstleister, der auf die Erstellung und die Konzeption von ISMS spezialisiert ist, in die Entwicklung eines ISMS mit ein. Die Einf\u00fchrung eines ISMS startet mit der Definition von Sicherheitsleitlinien (engl. policy) durch die Gesch\u00e4ftsf\u00fchrung. Der Dienstleister ber\u00e4t die Gesch\u00e4ftsf\u00fchrung dabei. Die Sicherheitsleitlinien sind elementar, da sie alle weiteren Schritte beeinflussen. Daher sind die Leitlinien idealerweise S.M.A.R.T formuliert. S.M.A.R.T hei\u00dft: Spezifisch und konkret, mess- und nachpr\u00fcfbar, akzeptabel, realistisch und terminiert, also mit einem Zeitpunkt versehen. Leitlinien haben in Unternehmen allerdings zuweilen einen \u201epolitischen\u201c Charakter, sind also in der Praxis weicher formuliert.<\/p>\n

Informationsverbund<\/h3>\n

Sie erfassen alle Ger\u00e4te, Anwendungen, Menschen und R\u00e4ume, f\u00fcr die das ISMS gelten soll. Die Zusammenstellung ist der sogenannte Informationsverbund. Zur Visualisierung des Informationsverbundes eignet sich eine Topologie<\/a>.<\/p>\n

Risikobewertung<\/h3>\n

Nicht alles ist gleich sch\u00fctzenswert. Um das Risiko bewerten zu k\u00f6nnen, ist im n\u00e4chsten Schritt der Schutzbedarf f\u00fcr jede Komponente des Informationsverbundes festzustellen.
\nNun k\u00f6nnen Sie Ma\u00dfnahmen zur Senkung der Risiken planen und umsetzen (implementieren).<\/p>\n

Ma\u00dfnahmen und Evaluation<\/h3>\n

Die \u00dcberpr\u00fcfung, ob die Ma\u00dfnahmen in geeigneter Weise die Informationssicherheit erh\u00f6hen, erfolgt zum Schluss. Das kann z.B. durch Simulationen von Angriffen (\u201eethical hacking\u201c) oder durch \u00dcbungen \u00e4hnlich einer Brandschutz\u00fcbung erfolgen. Hilfreich ist zudem eine Zertifizierung. Oft ist das Beratungsunternehmen, das zu Beginn mit einbezogen wird, auch Zertifizierer.
\nNach einer gewissen Zeit, beispielsweise alle zwei Jahre, sollten Sie \u00fcberpr\u00fcfen, ob das ISMS noch den Bedarfen des Unternehmens gen\u00fcgt. Ggf. Sind Anpassungen der Leitlinie, der Regelungen und der Ma\u00dfnahmen erforderlich. Dies entspricht einem kontinuierliche. Verbesserungsprozess. Der Ablauf zur Einrichtung und zum Erhalt eines ISMS ist in Abb. 4-3 dargestellt.<\/p>\n

\"Der<\/a><\/p>\n

Abb. 3 Der Weg zum Informationssicherheitsmanagementsystem<\/em><\/p>\n

Wichtig ist: Anfangen<\/h2>\n

Den gr\u00f6\u00dften Zuwachs an Informationssicherheit bzw. die gr\u00f6\u00dfte Risikoreduktion erreichen Unternehmen bei der anf\u00e4nglichen Einrichtung des Informationssicherheitsmanagements. Insbesondere zeigt sich, dass Ma\u00dfnahmen in Form von organisatorischen Regelungen oft wirksamer und effizienter sind als technische Schutzma\u00dfnahmen. Schulung und Sensibilisierung der Mitarbeitenden werden \u201emehr bringen\u201c als ein Virenscanner.<\/p>\n

Warum Informationssicherheit nicht umsonst ist \u2013 das Spannungsdreieck<\/h2>\n

Ma\u00dfnahmen zur Senkung des Risikos sind meist mit Verhaltenseinschr\u00e4nkungen verbunden. Wenn beispielsweise B\u00fcrot\u00fcren verschlossen und PCs mit einem Passwort gesichert werden m\u00fcssen, ist dies erst einmal unbequem. Ebenso werden Sicherheitsma\u00dfnahmen auch Kosten verursachen, z. B. in Form von Brandschutzt\u00fcren oder redundanten Computersystemen. Informationssicherheit wird sich also immer in einem Spannungsdreieck wie in Abb. 4-4 bewegen. Im privaten Umfeld wird die Bequemlichkeit Vorrang haben, im Unternehmen balancieren Sie zwischen hoher Sicherheit und geringen Kosten.<\/p>\n

\"Spannungsdreieck<\/a><\/p>\n

Abb. 4 Spannungsdreieck der Informationssicherheit<\/em><\/p>\n

Was bedeuten IT-Security-Awareness und IT-Security-Literacy?<\/h2>\n

Hinter den beiden Anglizismen Awareness und Literacy verbergen sich grundlegende Eigenschaften von Menschen: Ver\u00e4nderungen werden oft abgelehnt. Denn bei vielen fehlt die Einsicht, dass das eigene Verhalten zur Informationssicherheit im Unternehmen beitr\u00e4gt. Das kann zum einen an geringen Grundkenntnissen (Literacy \u2013 zu deutsch Belesenheit) \u00fcber Informationssicherheit und zum anderen an der unzureichenden Wertsch\u00e4tzung (Awareness) des Themas liegen. Die Erh\u00f6hung der Literacy und der Awareness sind wesentlicher Bestandteil der organisatorischen Ma\u00dfnahmen zur Erh\u00f6hung der Informationssicherheit.<\/p>\n

Ver\u00e4nderungsbereitschaft und Gamification<\/h2>\n

Ein Argument von Mitarbeitern, die die Einschr\u00e4nkungen der Bequemlichkeit durch Informationssicherheit nicht m\u00f6gen, ist: \u201eWas soll mein Verhalten schon f\u00fcr einen Beitrag leisten? IT-Sicherheit ist doch Sache der IT-Abteilung \u2026\u201c Hier anzusetzen hei\u00dft u.a. Schulung der Mitarbeiter. Die Motivation und die Bereitschaft der Mitarbeiter, sich an Schulungsma\u00dfnahmen und \u2013 wichtiger noch \u2013 an Ver\u00e4nderungsprozessen zu beteiligen, wird nicht immer hoch sein. Hier kann ein passendes Gamification-Konzept unterst\u00fctzend wirken. Gamification<\/a> bedeutet, mit gezielt und punktuell eingesetzten spielerischen Aspekten die Motivation zu einer Verhaltens\u00e4nderung zu erh\u00f6hen.<\/p>\n

Beispiel: Awareness schaffen<\/h3>\n

Mit der Weitergabe der eigenen Daten – was durchaus unabsichtlich geschehen kann – erh\u00e4lt ein Angreifer im Zweifelsfall die Informationen, die er f\u00fcr einen Sozial-Engineering-Angriff braucht. Und heute ist die Privatheit der eigenen Daten zunehmend bedroht, sei es durch das Datensammeln und -verkn\u00fcpfen der sozialen Netzwerke oder aber auch durch \u00dcberwachungskameras, jetzt aktuell Videokonverenzsysteme und Handyfotos von Menschen, die ihr Denunziantentum ausleben. Eine Kunskampagne namens CV Dazzle kann hier auf eindrucksvolle Weise das „Austricksen“ von visueller Aussp\u00e4hung aufzeigen: https:\/\/www.fluter.de\/cv-dazzle-anti-ueberwachung-makeup-harvey<\/a><\/p>\n

IT-Sicherheit – aktuelle Presseberichterstattung<\/h2>\n

Stand Dezember 2021 verwendet die Presse oft \u00dcberschriften mit „Cybersecurity“, „Cyberattacke“, „IT-Sicherheit“. Dass es sich letztendlich durch gezieltes Informationssicherheitsmanagement reduzierbare Bedrohungslagen handelt, wird nicht offensiv reflektiert. Ein Umdenken und eine andere Wortwahl k\u00f6nnten zur Wertsch\u00e4tzung (Aweareness) beitragen.<\/p>\n

\"Info-Grafik:<\/a><\/p>\n

Abb. 5: Handelsblatt vom 14.12.2021: IT-Sicherheitsvorf\u00e4lle – Zahl der Meldungen von Betreibern kritischer Infrastrukturen (Kritis)<\/p>\n

\"Artikel<\/a><\/p>\n

Abb. 6: Handelsblatt vom 14.12.2021: Cybersecurity – Sicherheitsl\u00fccke bedroht gro\u00dfe Teile des Internets<\/p>\n

Quellen und Links<\/h2>\n

[1] Abts\/M\u00fclder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011, S. 465-467, 471-472, 481-482, 488-489<\/p>\n

[2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De Gruyter, Berlin. 12. Auflage. S. 381 -436<\/p>\n

[3] www.bsi.bund.de<\/a>, insbesondere
\n\u201eBSI-Standard 100-1: Managementsysteme f\u00fcr Informationssicherheit (ISMS)\u201c<\/p>\n

[4] Kritische Infrastrukturen
\nhttps:\/\/www.bbk.bund.de\/DE\/AufgabenundAusstattung\/KritischeInfrastrukturen\/kritischeinfrastrukturen_node.<\/a>html<\/a><\/p>\n

Video-Vortrag auf youtube: https:\/\/youtu.be\/Sfs-plMfB1s<\/strong><\/p>\n