Unternehmen setzen eine Vielzahl von Werkzeugen ein, um ihre Daten vor unberechtigten Zugriffen zu schützen. Aber ohne ein übergreifendes Managementsystem für die IT-Sicherheit (Information Security Management System, ISMS) verpuffen diese Anstrengungen: Insellösungen mögen für ihren kleinen Wirkungskreis noch so effizient arbeiten - sind sie nicht in ein Sicherheits-Gesamtkonzept integriert, verlieren sie einen Großteil ihrer möglichen Wirkung. Denn Angreifer suchen sich immer das schwächste Glied in der Sicherheitskette aus.

Die beiden ISO-Normen 27001 und 27002 wollen dafür sorgen, dass alle Glieder in der Sicherheitskette gleich stark sind und als integriertes System Hand in Hand und konsistent unter Logik- und Prozess-Aspekten zusammenarbeiten.

Wie die Glieder der Sicherheitskette sind auch die beiden Normen eng miteinander verwobenen. Sie beschreiben, wie Firmen unternehmensweit gültige Richtlinien zum Schutz ihrer Daten einsetzen und einhalten können. Und sie weisen hin auf die große Bedeutung einer präzisen Definition aller beteiligten Prozesse und die Festlegung der einzelnen Rollen, die Mitarbeiter, Partner und Kunden des Unternehmens annehmen (wer darf welche Daten wann, wie und in welchem Umfang bearbeiten).

ISO 27001 demonstriert modellhaft, wie Unternehmen ein wirkungsvolles ISMS aufbauen können - inklusive der Prozesse zur Planung, Implementierung, Durchführung, Überwachung, Prüfung, Instandhaltung und Verbesserung des ISMS. ISO 27002 enthält Ziele und Maßnahmen für das Management der IT-Sicherheit sowie auch eine Sammlung von Empfehlungen für Informationssicherheitsverfahren und -methoden (Best Practices).

Die Normen beschreiben damit die verschiedenen Elemente eines ISMS, die Sicherheitspolitik und die Organisation der Informationssicherheit sowie die Risikobewertung. Weitere Themenbereiche sind auch der Zugangs- und Zugriffsschutz oder Business Continuity. Mit Hilfe der Sicherheitsnormen können Unternehmen Ziele der IT-Sicherheit formulieren und Risiken auch unter ökonomischen Aspekten managen. Zudem sorgen sie dafür, dass Gesetze und Branchen-Vorgaben eingehalten werden (Compliance) oder bestehende Sicherheits-Prozesse identifiziert und neue Prozesse angelegt werden.

Als Rahmenwerk beschreiben die Normen alle logischen, technischen und organisatorischen Maßnahmen rund um die Datensicherheit. Dieses Rahmenwerk müssen die einzelnen Unternehmen dann spezifisch auf sich und ihre jeweiligen Anforderungen ausrichten, damit die geplanten Maßnahmen auch ihre volle Wirkung entfalten können. Bei der „Ausrichtung“ haben die Unternehmen dann auch darauf zu achten, dass sich Aufbau und Wirkungsweise des ISMS am Plan-Do-Check-Act-Zyklus ausrichtet. Dieser Kreislauf ist aus dem Qualitätsmanagement bekannt ist und installiert einen Prozess der kontinuierlichen Verbesserung.

Unternehmen, die mit den Sicherheitsnormen arbeiten und deren Vorgaben erfüllen, können sich den normgerechten Aufbau der IT-Sicherheit auch zertifizieren lassen. Deshalb enthalten die Normen auch Hinweise zum Gebrauch durch interne oder externe Auditoren, die den Umsetzungsgrad von Richtlinien und Standards bescheinigen wollen.

Auch Rolle und Aufgaben der Unternehmensleitung sind beschrieben. So hat diese regelmäßig die Risiken sowie deren Auswirkungen auf das Unternehmen zu prüfen und Lösungen einzusetzen, die diese Risiken begrenzen bzw. ausschließen. Schließlich ist sie auch dafür verantwortlich, dass ein übergreifender Managementprozess für die gesamte IT-Sicherheit implementiert wird. Dieser soll sicherstellen, dass die vorgeschlagenen Maßnahmen und eingesetzten Lösungen auch wie geplant arbeiten.

Unternehmen, die  sich an den Sicherheitsnormen orientieren, sehen IT-Sicherheit als ein Bündel von organisatorischen und technischen Maßnahmen, das auch unternehmensinterne Standards, Vorgaben und Regelungen sowie Managementprozesse umfasst. Sie arbeiten mit Kontrollelementen (controls) und Kontrollzielen (control objectives), die in den Normen angeführt sind.

So ist es beispielsweise ein Kontrollziel der Sicherheitspolitik, dass die Unternehmensleitung den  Datenzugriff kontrolliert und dafür sorgt, dass nur berechtigte Anwender auf die jeweiligen Dateien oder Verzeichnisse zugreifen dürfen und auch tatsächlich nur auf diese zugreifen können. Ein mögliches Kontrollinstrument ist die Implementierung einer Softwarelösung für das Identity und Access Management, die Zugriffe auf die Daten revisionssicher protokolliert sowie unberechtigte Zugriffsversuche verhindert und diese Versuche protokolliert.

Und das erwartet Sie im nächsten Teil:
Teil 3 der Serie beschreibt Nutzen, Planung und Implementierung des Identity und Access Managements.

Kurt Denk, Senior Customer Solutions Architect, CA Deutschland GmbH

Foto: Quelle-Fotolia.com