Es ist ja auch kompliziert; weil die Ausgangsbasis so unterschiedlich ist und immer wieder Begriffe durcheinander geraten. Für meine kleinen und mittleren Kunden muss ich schon den Unterschied zwischen “Datenschutz” und “Datensicherheit” erklären. Meine Kollegen aus der Disziplin “Informationssicherheitsmanagement” (ISM) werten IT-Sicherheit als eine untergeordnete Aufgabe. Datenschützer sprechen von “Technischen und Organisatorischen Maßnahmen (TOM)”, um die “Sicherheit der Verarbeitung” zu gewährleisten. Und Konzernmitarbeiter verstehen den ganzen Wirbel nicht, weil sie schon seit der Jahrtausendwende daran arbeiten, eine stets verfügbare Datenverarbeitung sicherzustellen. Immerhin lässt sich ohne stets verfügbare, vertrauliche und unverfälschte Informationen kein Auto produzieren, wird kein modernes Smartphone europäische Häfen erreichen und kein unbekannter Weltmarktführer würde zum Status Deutschlands als Exportweltmeister etwas beitragen.
Dabei ist die Beantwortung der Gutachtenfrage eigentlich ganz einfach: Wer es mit dem normalen Menschenverstand hält, der wird auch seine digitalen Werte vor Bedrohungen aus dem Cyberraum schützen.
Damit ist die Frage doch eigentlich beantwortet.
Wer es darüber hinaus mit dem Stand der Technik hält, der wird sich in Normen, Standards und Best Practices umschauen und viel wertvolles Wissen für das sichere Erreichen der Ziele und Interessen der eigenen Organisation finden.
Sicherheit ist zunächst einmal ein ganz persönliches und subjektives Gefühl. Mein ehemaliger Kommilitone, nennen wir ihn Tom, hat sich sein Studium als Taxifahrer finanziert. Wenn ich Tom als Beifahrer auf privaten Ausflügen begleite, dann komme ich regelmäßig schweißgebadet am Ausflugsziel an. Toms Familie hingegen ist die Ruhe selbst und hat an der “sportlichen” Fahrweise des Familienoberhauptes nichts auszusetzen.
Wer also IT nur zu privaten Zwecken einsetzt und der Auffassung ist, dass im Falle eines Falles ein sportlicher Umgang mit digitalen Bedrohungen ein gutes Training für die eigene digitale Kompetenz darstellt, der macht das so.
Wer aber IT für die Automatisierung seiner Organisation einsetzen will, und über nichts anderes sprechen wir, wenn wir über Industrie 2.0 bis x.F (sorry, kleiner Insider) sprechen, dem hilft ein Studium der einschlägig bekannten Regelwerke und weltweit bekannten Empfehlungen. Über wem zudem noch ein Damoklesschwert schwebt (z.B. in Form einer Produkthaftung oder den Grundsätzen ordnungsgemäßer Geschäftsführung), der kommt nicht umhin, sich am Stand der Technik zu orientieren. Und hier wird man dann auch schnell fündig, wenn man die Frage nach dem Ursprung der Forderung von IT-Sicherheit nicht schlicht mit dem Verweis auf den normalen Menschenverstand beantworten will.
Professionelle IT-Services werden auf der Basis des Frameworks “IT Infrastructure Library” (ITIL) erbracht. Bei ITIL handelt es sich um umfangreiche Empfehlungen, wie man IT-Services strategisch entwickelt, designt, in den Betrieb überführt und anschließend betreibt. ITIL hat sich bereits in den 90er Jahren entwickelt und wurde 2001 mit der Version 2 einem breiten Publikum zugänglich gemacht. In den beiden bekanntesten Veröffentlichungen von ITIL V2 waren erste Ansätze der Forderung nach IT-Sicherheit bereits angelegt. Das Availability- und das IT-Service-Continuity-Management sollten die Verfügbarkeit und eine regelmäßige Analyse von Schwachstellen, Bedrohungen und Risiken für IT-Systeme sicherstellen. Seit ITIL V3 wird ein Security Management – auf Deutsch: ein “Management der Informationssicherheit” – bereits in der Design-Phase von IT-Services empfohlen.
Mit der 2005 veröffentlichten Norm ISO/IEC 27001 werden den interessierten Kreisen dann auch Empfehlungen an die Hand gegeben, wie man ein Management der “Informationssicherheit” praktisch realisieren kann. Für kleine und mittlere Unternehmen ist in den letzten Jahren die VdS 10000 entstanden. Wer es hart mag oder für eine staatliche Organisation arbeitet, der liest sich in den “Grundschutz” des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) ein. Nach der Lektüre einer dieser Rahmenwerke hast Du eine Idee, warum die Sicherheitstypen immer so komisch gucken, wenn Du fragst, welches Managementsystem Du auf deinem Server installieren sollst, um ein “Informations-Sicherheits-Management-System” einzuführen.
Willst Du Dich nach dieser kleinen Einführung und der Lektüre der genannten Werke immer noch auf die unendlichen Weiten von Normen und Frameworks einlassen, dann empfehle ich für die Fortsetzung einen Blick in die folgenden Dokumente und Empfehlungen zu werfen:
- ITIL 4
- Normenfamilie ISO 9000
- ISO/IEC 20000
- ISO 31000
Ich wünsche viel Spaß beim Lesen in den Regelwerken und dem Zusammenfügen der eigenen Landkarte für das Management der Informationssicherheit in der Digitalisierung.
Dem Zusammenhang zwischen IT-Sicherheit und Informationssicherheit widme ich mich vielleicht zu einem späteren Zeitpunkt
Viele Grüße, Tilo Schneider