Wenn unsere Klienten Beratung bei der Einführung eines Managementsystems nach ISO 27001 benötigen, melden sie sich oft mit einer Anfrage der IT-Abteilung bei uns.
Der Grund dafür ist, dass Informationssicherheit und IT-Sicherheit oft synonym verwendet werden. IT-Sicherheit ist ein wichtiger Aspekt der Informationssicherheit. Sie ist aber nicht alles.
IT-Sicherheit schützt alle technischen Geräte, wie Computer, Handys, Tablets und Server, vor Zugriff durch Unbefugte. Von Passwörtern, über Firewalls und Anti-Viren-Programme bis hin zur 2-oder 3-Faktor Identifizierung. Wir kennen diese Themen sowohl aus unserem beruflichen als auch aus dem privaten Umfeld zum Beispiel beim Online-Banking.
In den Unternehmen sind hier meist die IT-Abteilungen gefordert, um die nötigen Sicherheitsmaßnahmen umzusetzen. Die Fachmänner für Informationstechnologien sorgen also für deren Absicherung, soweit so gut. Allerdings gibt es auch andere Wege, um Informationen weiterzugeben und zu verarbeiten.
Was ist Informationssicherheit?
Hier kommt nun die Informationssicherheit ins Spiel. Dabei geht es um alle, die in einem Unternehmen vorhanden sind. Der Grundgedanke wird im Englischen häufig mit CIA abgekürzt. Es handelt sich dabei um die Vertaulichkeit (confidentiality), Intergität (intergity) und die Verfügbarkeit (availability) von Daten.
An diesem Punkt ist nun das Top-Management in der Verantwortung. Es muss zunächst festlegen, wie mit welchen Informationen umgegangen wird und welche besonders zu schützen sind.
Im Rahmen eines Managementsystems kann dies systematisch über eine Policy oder verschiedene Richtlinien erfolgen. Zu einem gewissen Grad geschieht dies sogar automatisch in allen Unternehmen. So hat die Geschäftsführung Informationen, die nicht allen Mitarbeitern im Unternehmen bekannt sind. Mitarbeiter wiederrum haben Wissen, dass nicht an die Öffentlichkeit kommuniziert wird. Große Unternehmen sollten hier besondere Vorsicht walten lassen, da die Grenze zwischen Mitarbeiterinformationen und öffentlichen Informationen mit steigender Mitarbeiterzahl zunehmend verschwimmt.
Damit ist der Betrachtungsumfang von Informationssicherheit deutlich weiter als nur IT-Umsetzungen. Und selbst bei den Umsetzungen von IT-Regelungen kann die IT-Abteilung allein die Sicherheit nicht gewährleisten.
Das einfachste Beispiel ist hier, der physische Zugang zu Gebäuden oder Räumlichkeiten. Die externe Reinigungskraft oder der externe Servicetechniker sollten zum Beispiel keinen Zugang zu Personalakten in den Büros oder Serveräumen haben. Lässt sich dies nicht umsetzen, sollte es zumindest vertragliche Regelungen mit dem externen Dienstleister geben. Es betrifft also die verschiedensten Bereiche eines Unternehmens, die entsprechend gesichert werden müssen.
Das Bewusstsein der Belegschaft spielt ebenfalls eine große Rolle.
Wissen die Mitarbeiter, was nach außen dringen darf und was nicht? Wissen sie, wie mit geheimeren Informationen umgegangen werden muss, zum Beispiel keine Telefonate über wichtige geschäftliche Themen in einem vollen Bahnabteil oder Restaurant zu führen. Dieses Bewusstsein für den Umgang mit den Informationen kann nur durch die Zusammenarbeit aller Managementverantwortlichen und den Personalabteilungen geschaffen werden.
Deshalb gehört Informationssicherheit nicht in die Hand der IT-Abteilung, sondern ist eine allgemeine Managementaufgabe, die von der IT-Abteilung technisch unterstützt wird.
Comments