Informationssicherheit - Managementsystem

Die IT-Grundschutzkataloge des BSI sind eine Sammlung von Dokumenten, die eine umfangreiche Anleitung zur Erreichung eines angemessenen Sicherheitsniveaus bieten. Sie umfassen Maßnahmenempfehlungen und Gefährdungskataloge, die helfen, Sicherheitsrisiken zu identifizieren und Gegenmaßnahmen zu ergreifen.

Die ISO/IEC 27001:2005 ist eine international anerkannte Norm, die Anforderungen für die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS festlegt. Sie ermöglicht es Organisationen, die Sicherheit ihrer Informationen zu gewährleisten und gleichzeitig das Vertrauen der Stakeholder zu stärken.

Die ISO/IEC 17799:2005, die zum ISO/IEC 27002 wurde, ist eine Praxisnorm für das Management der Informationssicherheit. Sie gibt Empfehlungen zu Sicherheitskontrollen und den Managementprozessen, die auf die Sicherheitsmaßnahmen angewendet werden sollten. Es ist eine ergänzende Norm zu ISO 27001 und dient als Leitfaden für Organisationen, die ihre Informationssicherheit verbessern möchten.

Das Sicherheitsmanagement ist ein essenzieller Bestandteil der Unternehmensführung und spielt eine zentrale Rolle bei der Sicherung der Unternehmenswerte.

• Vorgaben der Muttergesellschaften
  Die Muttergesellschaften können bestimmte Sicherheitsstandards vorschreiben, um die Integrität und den Schutz des Gesamtunternehmens zu gewährleisten.
  
  
• Zertifizierungen
  Die ISO 27001-Zertifizierung ist ein Nachweis für ein international anerkanntes Sicherheitsniveau. Sie hilft, das Vertrauen in die Firma zu stärken und kann Wettbewerbsvorteile bieten.
  
  
• Risikomanagement
  Moderne Risikomanagement-Anforderungen wie Basel II und das KonTraG fordern Unternehmen auf, Risiken zu identifizieren, zu bewerten und zu steuern, um die Geschäftskontinuität zu sichern.

• Unzureichende Übersicht
  Ohne klare Prozesse und Kontrollen kann der Überblick darüber verloren gehen, wer Zugriff auf welche Systeme und Daten hat.
  
  
• Datenverschlüsselung
  Mitarbeiter benötigen klare Anweisungen darüber, welche Daten zu verschlüsseln sind, um Datenlecks und potenzielle Cyberangriffe zu vermeiden.
  
  
• Alarmverantwortung
  In Krisensituationen ist es essentiell, vordefinierte Verantwortlichkeiten zu haben, um schnell und effektiv reagieren zu können.
  
  
• Ungeschützte Internetzugänge
  Diese stellen ein hohes Sicherheitsrisiko dar, vor allem wenn externe Mitarbeiter über ungesicherte Verbindungen auf Unternehmensnetzwerke zugreifen.
  
  
• Imageschäden
  Illegale oder imageschädigende Inhalte können, besonders wenn sie mit dem Unternehmen in Verbindung gebracht werden, zu erheblichen Reputationsschäden führen.

Die Ziele des Sicherheitsmanagements sind umfassend und zielen darauf ab, die organisatorische Resilienz gegenüber internen und externen Bedrohungen zu stärken.

• Schutz vertraulicher Informationen
  Gewährleistung des Schutzes von sensiblen Daten der Kunden und Geschäftspartner vor unbefugtem Zugriff und Missbrauch, um Vertrauen und Integrität zu bewahren.
  
  
• Hohe Verfügbarkeit und Integrität von IT-Systemen
  Sicherstellung, dass alle Systeme zuverlässig funktionieren und Informationen korrekt, vollständig und zeitgerecht zur Verfügung stehen.
  
  
• Wertbewahrung
  Die in Technologie, Informationen, Betriebsprozesse und Fachwissen getätigten Investitionen sind zu schützen, um langfristigen geschäftlichen Erfolg zu sichern.
  
  
• Sicherung der Informationswerte
  Der Schutz der oft unschätzbaren und möglicherweise einzigartigen Werte, die in den verarbeiteten Informationen stecken, ist entscheidend.
  
  
• Qualität der Informationen
  Die Qualität der Informationen muss gewährleistet sein, da sie die Grundlage für effiziente Arbeitsabläufe und fundierte geschäftspolitische Entscheidungen bildet.
  
  
• Einhaltung gesetzlicher Vorgaben
  Die Anforderungen aus gesetzlichen Rahmenwerken wie dem KonTraG und Basel II sind zu erfüllen, um rechtliche Konsequenzen und Strafen zu vermeiden.
  
  
• Kontinuität der Prozesse
  Die Aufrechterhaltung der Geschäftsprozesse, auch unter widrigen Umständen, garantiert die Fortsetzung der Geschäftstätigkeit und minimiert Ausfallzeiten.
  
  
• Kostenreduktion im Schadensfall
  Durch vorbeugende Maßnahmen und effektives Krisenmanagement werden potenzielle Schäden begrenzt und die damit verbundenen Kosten reduziert.

Ein hohes Sicherheitsniveau dient dem Schutz der Kunden, der Geschäftspartner, der Mitarbeiter und dem Unternehmen selbst.

• Informationssicherheitsrelevante gesetzliche und vertragliche Regelungen (sowohl interne als auch externe) sind zu beachten.
  
  
• Bankgeheimnis, Compliance, Geschäftsgeheimnis sowie Datenschutz nehmen dabei eine herausragende Stellung ein Zugang zu nicht öffentlichen Informationen erfordern eine Genehmigung
  
  
• Zugangsrechte sind an Personen und Funktionen gebunden, nicht übertragbar und gelten nicht fortwährend
  
  
• Alles was nicht ausdrücklich gestattet ist, ist untersagt !!! (Prinzip der Mindestvoraussetzungen für Zugriffsrechte)
  
  
• Die Benutzer haben nur Zugriff auf die von ihnen benötigten Informationen („Need to know“- Prinzip)
  
  
• Die für die Verarbeitung und Management eingesetzten Informationen werden entsprechend den real bestehenden Risiken und festgelegten Zuständigkeiten klassifiziert und damit den Sicherheitsmaßnahmen angepasst
  
  
• Implementierung und Aufrechterhaltung der Effektivität aller Sicherheitsressourcen verlangt regelmäßige Kontrolle und Überwachung durch physische Kontrollelemente
  
  
• Die Organisation der IT-Sicherheit beruht auf dem Grundsatz der Aufgabentrennung (Entscheidung - Umsetzung - Kontrolle) und der Teilung der Verantwortlichkeit zwischen Projektleitern und Administratoren
  
  

• Da die Gesamtsicherheit eines Systems in jedem Falle gleich der des schwächsten Gliedes der Kette ist, muss Sicherheit durchgängig auf alle Informationssysteme Anwendung finden (Grundsatz der Konsistenz)

Die Sicherheitsgrundsätze einer Bank bilden das Fundament für den Schutz von sensiblen Informationen und die Aufrechterhaltung des Vertrauens von Kunden, Geschäftspartnern, Mitarbeitern und Eigentümern.

• Einhaltung gesetzlicher und vertraglicher Regelungen
  Sämtliche relevanten internen und externen Regelungen müssen beachtet werden. Bankgeheimnis, Compliance, Geschäftsgeheimnis und Datenschutz sind von besonderer Bedeutung.
  
  
• Genehmigungspflichtiger Zugang
  Der Zugriff auf nicht öffentliche Informationen ist streng reguliert und bedarf einer expliziten Genehmigung.
  
  
• Personen- und funktionsgebundene Zugangsrechte
  Diese Rechte sind individuell, nicht übertragbar und müssen regelmäßig überprüft werden.
  
  
• Prinzip der minimalen Zugriffsrechte
  Jede Berechtigung, die nicht ausdrücklich gewährt wurde, ist standardmäßig verboten.
  
  
• „Need to know“-Prinzip
  Zugriff auf Informationen erhalten Nutzer nur, wenn sie diese für ihre Arbeit benötigen.
  
  
• Klassifizierung und Anpassung von Informationen
  Abhängig von den Risiken und Zuständigkeiten werden Informationen klassifiziert und die Sicherheitsmaßnahmen entsprechend angepasst.
  
  
• Regelmäßige Kontrollen und Überwachung
  Physische und technische Kontrollelemente gewährleisten die Effektivität der Sicherheitsressourcen.
  
  
• Aufgabentrennung
  Die IT-Sicherheitsorganisation basiert auf einer klaren Trennung von Entscheidung, Umsetzung und Kontrolle sowie einer geteilten Verantwortung.
  
  
• Konsistenz der Sicherheitsmaßnahmen
  Die Sicherheit aller Informationssysteme muss durchgehend gewährleistet sein, da die Gesamtsicherheit nur so stark wie das schwächste Glied ist.
  
  
• Erkennung und Handhabung von Sicherheitsvorfällen
  Sicherheitsvorfälle müssen identifiziert und deren Auswirkungen bewertet werden können, um angemessen reagieren und Wiederholungen vermeiden zu können.