Wie Maschinen- und Anlagenbauer von der Einführung eines Informationssicherheits-Managementsystems (ISMS) profitieren

ISMS Einführung – Zeitverschwendung oder Absicherung für Ihre Zukunft?

Es ist ein Albtraum, wenn Cyberkriminelle Firmenserver lahmlegen oder erst gegen Lösegeld freigeben. Und diese Angriffe nehmen zu. Auf Netzwerkebene liegt Deutschland derzeit weltweit auf Platz 4 der Zielländer.

Das BSI empfiehlt Unternehmen daher, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, um sich zielgerichtet gegen Angriffe oder gravierende fehlerhafte Eingaben zu schützen. Denn einzelne isolierte Maßnahmen sind erfahrungsgemäß weder effektiv noch effizient. Erst ein ISMS sorgt dafür, dass alle technischen und organisatorischen Sicherheitsmaßnahmen präzise gesteuert und überwacht werden.

Bei der Einführung eines ISMS kann auf bewährte Modelle und Rahmenwerke wie die ISO 27001, den IT-Grundschutz (BSI) oder das CISIS12 zurückgegriffen werden.
Diese anerkannten Methoden stehen für Systeme, die Ihre IT-Systeme und das Wissen Ihrer Mitarbeiter möglichst effizient gegen Cyberangriffe und Industriespionage schützen.

Vorteile ISMS

Neben der Tatsache, dass Ihnen ein ISMS eine angemessene Informationssicherheit verschafft, leiten sich noch weitere Vorteile für Ihre Spedition ab.

So sorgt ein ISMS beispielsweise für mehr Transparenz in den Geschäftsprozessen. – Es ist eine Eigenschaft von Managementsystemen, dass sie Informationen bündeln, sortieren und visualisieren. Dadurch müssen Sie Daten nicht mehr aus verschiedenen Ablageorten zusammentragen, sondern haben diese über ein zentrales Dashboard im Blick und können sich diese zudem grafisch auswerten lassen.

Weiterhin erhöhen Sie Ihr Renommee bzw. erfüllen Anforderungen Ihrer Geschäftspartner. In der Automobilindustrie gehört eine Zertifizierung der Informationssicherheit schon seit langem zum guten Ton. Mit einem professionell aufgesetzten ISMS können Sie Nachfragen nach einer Zertifizierung Ihrer Spedition gelassen entgegensehen, da Sie die Voraussetzungen für eine Zertifizierung bereits erfüllen und sich dies nur noch durch ein Audit bestätigen lassen müssen.

Schließlich sorgt ein ISMS durch die transparenten und optimierten Strukturen für eine Kostenersparnis. Zudem schützt es das Unternehmen und seine Kunden vor finanziellen Schäden, die mit einem Ausfall von IT-Systemen verbunden sein können.

Mehr Transparenz in Ihren Geschäftsprozessen

Die Abläufe eines Unternehmens sind stetig im Wandel und müssen sich den Anforderungen von Kunden, neuen Chefs und der Gesetzgebung anpassen.

Gehen Sie gegen „Betriebsblindheit“ vor. Wir empfehlen Ihnen, die Gelegenheit zu nutzen, wenn Sie sich mit dem Thema Datensicherheit beschäftigen, und Ihre Prozesse zu analysieren. Die Effizienz eines Geschäftsprozesses steht in einem engen Zusammenhang mit dessen Datensicherheit. Mit einer Verbesserung Ihrer Geschäftsprozesse erreichen Sie häufig auch eine höhere Sicherheit für Ihre Daten.

Erhöhung Ihres IT-Sicherheitsniveaus

Unternehmen werden oft erst dann aktiv, wenn es einen konkreten Anlass gibt, beispielsweise einen externen Einfluss. Dahinter kann die Anforderung eines Kunden stecken oder aber ein Cyberangriff. Allerdings gilt ein Cyberangriff dann als besonders erfolgreich, wenn er unentdeckt bleibt, da es Angreifer vor allem auf Geschäftsdaten abgesehen haben. Die Nachrichten von Lösegeldforderungen, die es in die Presse schaffen, sind nur ein kleiner Teil des „Geschäfts“.

Für Sie als Geschäftsführer und Vorstand ist es wichtig zu wissen, dass ein unzureichendes Sicherheitsniveau auf Sie zurückfallen kann, da es Ihre gesetzliche Sorgfaltspflicht berührt. Demnach sichern Sie mit der Einführung eines ISMS nicht nur Ihre Daten ab, sondern auch sich selbst gegenüber Schadensersatzansprüchen.

Um Ihrer Nachweispflicht nachzukommen, gibt es mehrere unabhängige Zertifizierungsmöglichkeiten.

Warum sollten Sie einen ISB benennen?

Ein Informationssicherheitsbeauftragter (ISB) ist eine speziell geschulte Person, die gewährleistet, dass Ihre Informationen und IT-Systeme im Unternehmen ausreichend geschützt werden. Er ist verantwortlich für die Planung, Umsetzung, Prüfung und Verbesserung der Informationssicherheit.

Ein interner ISB muss diese Position nicht in Vollzeit ausfüllen, sondern kann weitere Funktionen im Unternehmen besetzen. Jedoch sollten Sie darauf achten, dass kein Interessenkonflikt entstehen kann. Auch wenn der Leiter Ihrer IT-Abteilung die Fachkenntnisse besitzt, um als ISB zu agieren, sollte diese Konstellation vermieden werden.

Typische Aufgaben eines ISB

Booster für die Außenwirkung

Ein erfolgreiches ISMS-Audit hat neben einer Selbstüberprüfung auch den Effekt, dass Sie einen aussagekräftigen Nachweis in Form eines Zertifikates erhalten. Damit weisen Sie nach, dass ein funktionierendes Informationssicherheitsmanagementsystem implementiert wurde.

Nicht nur Geschäftskunden, sondern auch Versicherungen und Banken honorieren zunehmend Nachweise der IT-Sicherheit.

Tipp: Binden Sie Ihr Zertifikat an prominenter Stelle auf Ihrer Website ein, um Neukunden direkt über die Qualität Ihrer Informationssicherheit zu informieren und Ihre Attraktivität als potenzieller Geschäftspartner zu betonen.

Es ist nach einer Zertifizierung zu bedenken, dass Unternehmensprozesse im Laufe der Zeit angepasst werden müssen und interne Abläufe anders gelebt werden können. Daher ist auf die Aktualität des ISMS-Zertifikates zu achten, um dessen Reputation in der Außenwirkung nicht zu schwächen.

Risikominimierung

Unternehmen des Maschinen- und Anlagenbaus sind aufgrund ihrer sensiblen Konstruktionspläne und ihrer engen Beziehungen zu den OEMs besonders attraktive Ziele für Hackerangriffe. Daher ist es für die Industrie von großer Bedeutung, die Risiken von Cyber-Angriffen zu minimieren.

  • Indem Geschäftsprozesse durchleuchtet werden, kommen nicht nur kritische Abhängigkeiten zum Vorschein, sondern auch alle schützenswerten Objekte werden ersichtlich.
  • Betriebsausfälle können durch vorbeugende Maßnahmen abgesichert werden
  • Eine gezielte Priorisierung der Sicherheitsmaßnahmen schont nicht nur die Nerven Ihrer Mitarbeiter sondern auch das Budget. Beispielsweise kann eine vermeintliche kostensparende „Bring-your-own-device“-Strategie durch fehlende Schutzmaßnahmen schnell zu einer Kostenfalle werden.
  • Durch Aktivierung eines kontinuierlichen Verbesserungsprozesses können sich Ihr ISMS und mit ihm Ihr IT-Sicherheitsniveau stetig weiterentwickeln. Planen Sie hierbei jährliche Audits ein und lassen Sie Ihr IT-Sicherheitsniveau von externen Fachleuten begutachten.
  • Die Entwicklung eines Notfallplans gibt Ihnen im Ernstfall das nötige Wissen und die Sicherheit, um die richtigen Schritte zu unternehmen.
  • Investieren Sie in Simulationen von Störungen und räumen Sie Ihrer IT genügend Zeit ein, um Systemausfälle oder Datenrücksicherungen ausführlich zu testen. Sie hoffen schließlich auch, dass die Feuerwehr bei Ihnen vor Ort für den Ernstfall ausreichend trainiert ist.

Betriebskostenreduktion

Insbesondere durch die Optimierung der internen Prozesse, die sich durch die Einführung eines ISMS ergibt, können Betriebskosten gespart werden. Diese Optimierungen resultieren durch den geordneten und effizienten IT-Betrieb. Eine wesentliche Rolle spielt dabei, dass Geschäftsprozesse nach der Implementierung eines ISMS mehr Transparenz erfahren.

Durch eine Inventarisierung ergibt sich eine erhöhte Transparenz der vorhandenen Systeme. Das IT-Sicherheitsniveau wird messbar.

  • Veraltete, ineffiziente Prozesse mit Medienbrüchen werden beseitigt
  • Digitalisierung führt zu effizienteren Geschäftsabläufen
  • Erhöhung der Systemverfügbarkeit
  • Zahl der kritischen Prozesse und Anwendungen sinkt
  • Verringerung der kritischen Prozesse kann sich positiv auf Versicherungsbeiträge auswirken, da ein reduziertes Schadenspotenzial vorliegt
  • frühzeitig etablierte Schutzmaßnahmen führen zu einem klügeren und wirksameren Reagieren auf Sicherheitsvorfälle
  • IT-Sicherheits-Schulungen sind ein wirksamer Hebel, um Sicherheitsvorfälle proaktiv zu verhindern

ISMS Methoden, Rahmenwerke

Bild: Aufbau ISMS S.8

Um die IT-Sicherheit strukturiert auf- und auszubauen, sollte auf Rahmenwerke zurückgegriffen werden. Diese wurden von anerkannten Fachleuten entwickelt und haben sich in der Praxis bereits vielfach bewährt.

Zu diesen Rahmenwerken zählen die ISO 27001, das IT-Grundschutz-Regelwerk des BSI oder das CISIS12.

Die ISO 27001 wird primär von Konzernen verwendet, die international tätig sind. Es handelt sich um einen sehr umfangreichen Katalog, der sich an den Geschäftsprozessen eines Unternehmens orientiert. Die Norm ist abstrakt und allgemein gehalten und eignet sich daher für alle Branchen und Organisationsarten. Im Gegenzug bleibt es dem Unternehmen selbst überlassen, auf welche Art und Weise die IT-Sicherheit umgesetzt wird.

Der BSI IT-Grundschutz ist technisch ausgerichtet. Das Rahmenwerk ist sehr detailliert und liefert konkrete Angaben zum Aufbau eines Informationssicherheitsmanagementsystems. Da mit diesem Katalog ein genaues Schema ausgearbeitet wurde, entfällt die Notwendigkeit einer vollständigen Risikoanalyse. Ebenfalls brauchen keine eigenen Maßnahmen entwickelt werden. Der Aufwand an zu prüfenden Fragestellungen ist jedoch deutlich höher als bei der ISO 27001.

Bei dem CISIS12 handelt es sich um einen schlanken Maßnahmenkatalog, der in 12 Schritten zum ISMS führt. Im Katalog wird zwar das „Was“, jedoch nicht das „Wie“ beschrieben. Hierfür verweist die Norm auf die anderen beiden Regelwerke (BSI IT-Grundschutz und ISO 27001).

Da unser Fokus auf mittelständischen Unternehmen liegt, sind wir auf IT-Grundschutz sowie CISI12 spezialisiert.

ISO 27001

BSI IT-Grundschutz nach 27001

CISIS 12

abstrakt

konkret

kompakt

generisch

maßnahmenorientiert

maßnahmenorientiert

Top-down-Ansatz

Bottom-up-Ansatz


Für internationale Zertifizierung

Nationaler Standard des BSI


Für alle Arten von Unternehmen geeignet

Für Unternehmen mit sensiblen Daten geeignet

Für KMU geeignet, ist aber skalierbar

Tabelle S.8

ISO 27001 nach BSI-Grundschutz

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat ein Konzept zum Schutz der Informationssicherheit veröffentlicht. Neben dem Leitfaden für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) wird jährlich eine Aktualisierung eines detaillierten Maßnahmenkataloges veröffentlicht.

Der IT-Grundschutz als mitwachsendes System kann in drei verschiedenen Formen implementiert werden: Basis-, Standard- und Kern-Absicherung.

Folgende Werke dienen zur Einführung des IT-Grundschutzes:

  • BSI-Standard 200-1: Meta-Perspektive, Allgemeine Informationen zum Aufbau eines ISMS
  • BSI-Standard 200-2: Vorgehensweise für die Einführung der Basis-, Standard- und Kern-Absicherung
  • BSI-Standard 200-3: Risikomanagement
  • BSI-Standard 200-4: Notfallmanagement
  • IT-Grundschutz-Kompendium: 900 Seiten Nachschlagewerk von Sicherheitsmaßnahmen

Die Einführung eines ISMS ähnelt aufgrund der fortlaufenden Dokumentation der Einführung eines Qualitätsmanagementsystems (ISO 9001). Aufgrund der standardisierten Vorgehensweise kann der BSI IT-Grundschutz – nach seiner Umsetzung im Unternehmen – auch nach ISO 27001 zertifiziert werden.

ISMS light – CISIS 12

Da das Regelwerk zur ISO 27001 generisch formuliert ist, müssen Unternehmen einen erheblichen Aufwand in die Ausarbeitung eigener Maßnahmen investieren. Der IT-Grundschutz vom BSI verursacht wiederum aufgrund seines Detaillierungsgrades einen hohen zeitlichen Implementierungsaufwand. Daher entscheiden sich mittelständische Unternehmen häufig für die Einführung eines ISMS „light“. Dies ist mit der CISIS12 möglich.

Hierbei erfolgt die Umsetzung in zwölf strukturierten Schritten:

IT-Sicherheit in 12 Schritten mit der CISI12 / ISIS12

 12 Schritten der CISIS12

ISMS Vergleich / Gegenüberstellung CISIS12 und ISO27001

Das Regelwerk des BSI IT-Grundschutzes ist sehr komplex, da es sich in verschiedene Absicherungsstufen gliedert. Dessen Anwendung gestaltet sich daher recht zeitaufwendig. Da die Mitarbeiter, die an der Implementierung des ISMS beteiligt sind, in der Regel nicht vom Tagesgeschäft freigestellt werden können, bietet sich eine schrittweise Einführung an.

Als erste Stufe kann das aktuelle Sicherheitsniveau mit der Bedarfsanalyse ISA+ analysiert werden. Der Vorgang ist unkompliziert und zielt darauf ab, die Handlungsfelder herauszukristallisieren. Anhand einer angepassten und gezielten Analyse werden notwendige Maßnahmen sichtbar. Gleichzeitig werden vorhandene Potenziale im Unternehmen identifiziert.

Darauf aufbauend bietet die CISIS12 bereits die Möglichkeit einer Zertifizierung als vollwertiges ISMS.

Falls nun ein Kunde dennoch ein internationales Zertifikat wie die ISO 27001 fordert, kann auf dem CISIS12-Rahmenwerk aufgebaut werden.

Vergleich Informationssicherheitsmanagementsysteme

ISMS Einführung ohne Stolpersteine

Durch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) können Ihre IT-Systeme mit technischen und
organisatorischen Sicherheitsmaßnahmen (gegen Angriffe oder gravierende fehlerhafte Eingaben) geschützt werden.

IT-Sicherheitskonzept

Aufbaustruktur eines ISMS

Aufbau IT-Sicherheitskonzept (Auszug) S.13

Mit einem IT-Sicherheitskonzept wird das breite strategische Ziel definiert, das mit der Einführung eines ISMS erreicht werden soll. Hierbei geht es noch nicht um die konkrete Umsetzung, sondern um die Auswahl der technischen Mittel zum Schutz der Informationen. Weiterhin wird festgelegt, welche Standorte oder Prozesse abgesichert werden sollen.

Auf Grundlage dieses allgemeinen Konzepts werden dann die feineren Details ausgearbeitet. Hierfür sind in der Regel verschiedene Analysen notwendig, wie die Schwachstellenanalyse oder die Bestandsanalyse. Diese Analysen dienen dazu, Leitlinien und spezifische Richtlinien zu definieren. Hierzu gehören Maßnahmen, die bei den alltäglichen Arbeitsroutinen anzuwenden sind. Beispielsweise kann es Richtlinien geben, welche Firewall-Einstellungen vorzunehmen sind, wie lang Passwörter sein sollten oder ob Smartphones privat genutzt werden dürfen.

IT-Sicherheitshandbuch

Auch für kleine und mittlere Maschinenbauunternehmen bietet es sich an, mit einem IT-Sicherheitshandbuch zu arbeiten, da es alle relevanten Informationen über IT-Sicherheit und die rechtlichen Rahmenbedingungen bündelt und detailliert beschreibt. So wird das im Unternehmen erarbeitete Wissen zur IT-Sicherheit abgespeichert.
Das Handbuch ist für die Unternehmensleitung und/oder den IT-Verantwortlichen gedacht und kann beispielsweise folgende Kapitel enthalten:

  • Strategische Überlegungen
  • Personelle Maßnahmen
  • Netzwerksicherheit
  • Schutzmaßnahmen
  • Datensicherung
  • Rechtliche Vorgaben

Technische Schutzmaßnahmen

Mit der Einführung der DSGVO hat der Gesetzgeber festgelegt, dass alle Unternehmen – ohne Ausnahme und gleich welcher Größe – technische und organisatorische Maßnahmen ergreifen müssen, um personenbezogene Daten zu schützen.

Datenschutz und IT-Sicherheit gehen Hand in Hand

Unternehmen, die bereits funktionierende Prozesse im Datenschutz aufgebaut haben, können in Bezug auf die IT-Sicherheit sehr gut auf diesen aufbauen.

Speditionen, bei denen jedoch noch Handlungsbedarf besteht, können ihren Datenschutz in einem Atemzug mit den IT-Sicherheitsmaßnahmen etablieren. Sie erhalten ein funktionierendes ISMS – und erfüllen gleichzeitig ihre Rechenschaftspflicht hinsichtlich der DSGVO.

Bei der technischen Umsetzung von IT-Sicherheitsmaßnahmen ist die interne IT oder der IT-Dienstleister der Spedition gefragt. In enger Zusammenarbeit mit dem Informationssicherheitsbeauftragten wird festgelegt, welche technischen Maßnahmen mit welcher Priorität umgesetzt werden müssen.

Ein Auszug typischer IT-Sicherheitsmaßnahmen im Maschinen- und Anlagenbau:

Netzwerkabsicherung

  • Schutz der Infrastruktur (Zero-Trust / DMZ aufbauen)
  • Konfiguration der Firewall (offene Ports überprüfen)
  • Monitoring des Netzwerkverkehrs einrichten
  • Datenzugriff durch gestaffelte Benutzerrechte einschränken
  • USB-Restriktionen etablieren (Nur per Seriennummer freigegebene USB-Sticks erhalten Zugriff)
  • Makros per Default deaktivieren (Makros sind Einfallstore für Trojaner)

Mobile Security

  • Datenträger verschlüsseln
  • Mobil Device Management (MDM)
  • Für Subunternehmen zeitlich beschränkte Zugänge einrichten (Zugangs-Token
  • Zwei-Faktor-Authentifizierung

E-Mail-Verschlüsselung

  • Sie haben große Stammkunden?
    In Office 365 kann ein verschlüsselter E-Mail-Austausch eingerichtet werden. Ebenfalls kann bei Stammkunden ein Zertifikat für die Verschlüsselung hinterlegt werden.

Löschanforderung aus der DSGVO können durch Anonymisierung
oder Sperrung umgesetzt werden

  • So können Sie die Daten zum Teil weiterverwenden, halten aber dennoch die gesetzlichen Aufbewahrungsfristen ein. kann bei Stammkunden ein Zertifikat für die Verschlüsselung hinterlegt werden.

WLAN-Schutz

  • Wussten Sie, dass ein auf ihrem Firmengelände versteckter Laptop innerhalb von ein paar Stunden Ihr WLAN-Password knacken kann?

Cloud-Anwendungen

  • Zugang für Nutzer mit Administratorrechten nur per 2-Faktor-Authorisierung

Bei Telearbeit oder Home-Office ist die Nutzung von VPN unabdingbar.

  • Wenn Sie aus dem Homeoffice oder in einem ICE surfen, schützt Sie ein virtuelles privates Netzwerk (VPN) davor, dass Dritte Ihre übermittelten Daten mitlesen können. Weiter Vorteile sind, dass Ihre IP-Adresse und Ihr Standort verborgen bleiben.

Organisatorische Schutzmaßnahmen

Nur wenn Sie die technischen Maßnahmen im Einklang mit Ihren organisatorischen Maßnahmen stehen, wird es Ihnen gelingen Ihre IT-Sicherheit in den Griff zu bekommen.

Aktuelle Beiträge zur Datensicherheit