Titelthema | Jetzt wird es ernst

Sind Sie sicher?

Informationssicherheitsmanagement

0Kommentare

Mit einer ISO-27001-Zertifizierung lassen sich zwei Fliegen mit einer Klappe schlagen. Die eigene Organisation und die ver­wendeten Daten werden geschützt. Gleichzeitig kann die Kanzlei Mandanten und Ge­schäfts­part­nern zeigen, dass sie verantwortungsvoll und sicher mit den anvertrauten Daten umgeht.

Informationssicherheit ist weltweit ein sehr wichtiges Thema, das aufgrund der vielen Angriffe auf die Sicherheitsinfrastruktur und entdeckten Sicherheitslücken in Hardware und Software immer mehr in den Fokus rückt (vgl. Die Lage der IT-Sicherheit in Deutsch­land 2017, Bundesamt für Sicherheit in der Informationstechnik, BSI). In jüngster Zeit wurde die CPU-Sicherheitslücke von Spectre und Meltdown entdeckt. Die Schwach­stellen können unter anderem dazu benutzt werden, sensible Daten aus dem Speicher zu lesen, zum Beispiel private Zertifikatsschlüssel oder Pass­wör­ter. Doch muss sich auch eine Durchschnittskanzlei intensiv damit befassen? Eindeutig ja.
Auch bei Kanzleien wurden schon Cyberangriffe festgestellt. Ein Beispiel sind die sehr er­folg­rei­chen Social-Engineering-Angriffe, bei denen Kriminelle viele verschiedene Me­tho­den wie Be­lau­schen, Telefonieren und E-Mails nutzen, um ihre Opfer zu manipulieren und dadurch vertrauliche Informationen zu ­erhalten. Die Angreifer versuchen, entweder die Daten der Mandanten zu steh­len, um dann die Kanzlei zu erpressen, oder sie versuchen – angeblich im Auftrag des Chefs –, einen Mitarbeiter zu einer Geldüberweisung zu veranlassen.
(Mehr zum Social Engineering lesen Sie im Beitrag Angriff auf allen Ebenen)
Geschäftsführer einer Steuerberatungskanzlei sind verantwortlich für die Aufbau- und Ablauf­organisation und die strategischen Fragen. In Zeiten zunehmender Cyberangriffe (vgl. BSI-­Lagebericht 2017) gehört dazu auch, eine Arbeitsumgebung zu schaffen, die ein hohes Maß an Informationssicherheit garantiert.

Sicherheitsexperten finden

Dazu empfiehlt es sich, Sicherheitsberater oder Experten zurate zu ziehen, um mit ihnen gemeinsam die eigene Organisation zu analysieren, Risiken zu erkennen und zu bewer­ten, um schließlich ein Sicherheitskonzept zu erstellen und wirkungsvolle Maß­nahmen zu planen und umzusetzen. Gute Sicherheitsberater findet man unter anderem über den zentralen IT-­Sicher­heitsdienstleister des Bunds, dem BSI. Hier kann man Kontakt zu Sicher­heits­beratern aufnehmen, die ihre Qualifikation durch eine BSI-Zertifizierung erworben haben und damit ihr Fachwissen nachweisen. Eine andere Option sind zerti­fizierte Sicher­heits­bera­tungs­fir­men. Auch hier haben sich die Berater einer Fachprüfung unterzogen, zum Beispiel als ISO-27001-Auditor.

ISO-Norm als Basis

Eine gute Basis für die Analyse der eigenen Aufbau- und Ablauforganisation ist die Norm EN ISO/IEC 27001. Diese internationale Norm für Informationssicherheit beschreibt die An­for­der­ungen für das Einrichten und Realisieren eines dokumentierten Infor­mations­sicher­heits-Ma­nage­ment­sys­tems ebenso wie die Handhabung und Verbesserung. Sie besteht aus einem Managementteil (Kapitel 4 bis 10) und dem Anhang (A 5 bis A 18).
Im Managementteil sind die An­for­de&shyr­ungen an ein Informationssicherheits-Ma­nage­ment­sys­tem beschrieben. Beispielsweise soll der Anwendungsbereich (Scope) definiert werden. Soll sich das Managementsystem auf die gesamte Kanzlei beziehen oder nur auf einen Teilbereich (vgl. Kapitel 4.3 – Festlegen des Anwendungsbereichs des Informationssicherheits-Ma­nage­ment­systems)?

Vertraulichkeit, Verfügbarkeit, Integrität

Welche Ziele verfolgt der Kanzleiinhaber bei der Informationssicherheit? (vgl. Kapitel 6.2 – Infor­mations­sicherheitsziele und Planung für deren Erreichung). Meist ist es die Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität. Diese Ziele müssen operationalisiert werden: Welche Vertraulichkeitsstufen soll es geben und mit welchen Maßnahmen setzt man die jeweiligen Vertraulichkeitsklassen um (vgl. A 8.2 – Infor­mations­klassi­fizierung)? Soll es Zutritts- und/oder Zugangsbeschränkungen geben (vgl. A 9.4 – Zugangssteuerung für Systeme und Anwendungen)? Welche Daten dürfen nur verschlüsselt an Dritte weitergegeben werden (vgl. A 10 – Kryp­to­gra­phie)?
Die Forderung nach Verfügbarkeit bezieht sich darauf, wie lange zum Beispiel Server und Clients ausfallen dürfen. Meist sind es nur wenige Stunden täglich. Das muss eine Backup-Strategie berücksichtigen. (Mehr zum Thema Notfallkonzept lesen Sie hier.)
Um Integrität zu gewährleisten, spielt die kanzleiinterne Patch- und Zugriffs-Policy eine wichtige Rolle. Welche Patches muss man sofort installieren? Dürfen alle Mitarbeiter auf alle Man­dan­ten­da­ten zugreifen oder welche Daten müssen besonders geschützt werden?
Welche Rollen und Verantwortlichkeiten soll es geben (vgl. Kapitel 5.3 – Rollen, Ver­ant­wort­lich­kei­ten und Befugnisse der Organisation)? Bei der Analyse der einzelnen Prozesse sollte man alle Tätigkeiten beschreiben und auf den Wertschöpfungsbeitrag hin untersuchen. Lassen sich Genehmigungsschritte, Kontrollen, Bearbeiterwechsel oder redundante Prozessschritte re­du­zie­ren? Oft fällt erst bei der Beschreibung der einzelnen Prozesse auf, dass sich einige Schritte ohne Qualitätsverlust verkürzen ließen. Dass beispielsweise ein elektronischer Prozess nicht mehr ausgedruckt werden muss, um ihn später wieder manuell einzuscannen, wie die Unterschrift des Chefs oder manuelle Dateneingaben.

Umgang mit Risiken und Chancen

Die Informationssicherheit soll zu einem integrierten Bestandteil der ­täglichen Arbeit werden.

Die Norm beschreibt auch, wie man mit Risiken und Chancen umgehen soll (vgl. Kapitel 6 – Maßnahmen zum Umgang mit Risiken und Chancen). Bei der Analyse der kanzleiinternen Prozesse findet man in der Regel auch einige Risiken, die die Ziel­erreich­ung der Prozesse verhindern könn­ten. Die Risiken werden nach Eintrittswahrscheinlichkeit und Schadenshöhe klassifiziert. Das BSI hat 47 elementare Gefährdungen beschrieben, die auf ihr Risiko untersucht werden sollen. Beispiel Feuer (G 01): Es kommt häufig vor, dass elektrische Kleingeräte, wie Kaffeemaschinen oder Tischleuchten, unsachgemäß installiert oder aufgestellt sind und dadurch Brände verursachen. Beispiel Verschmutzung, Staub, Korrosion (G 04): Handwerkliche Tätigkeiten können viel Staub verursachen, der bei fehlendem Schutz durch die Lüftungsschlitze in ein PC-Gehäuse eindringen kann und das Netzteil un­brauch­bar macht.
Mit der Umsetzung der Sicherheitsanforderungen (den sogenannten Controls) in Anhang A ist jedes Unternehmen, egal welcher Größe, gegen mögliche Angriffe gut geschützt. Anhand der Ergebnisse der Risikoanalyse lässt sich ein Sicherheits- oder Notfallkonzept erarbeiten, das die gefundenen Risiken auf ein für die jeweilige Kanzlei akzeptables Maß reduzieren lässt sowie Kosten und Nutzen abwägt. Ein solches Konzept fordert auch die Norm im Control A 5-Informationssicherheitsrichtlinien (mehr dazu auch im Beitrag Nummer sicher).
Ebenso wichtig wie die technische Seite ist die menschliche. Die Informationssicherheit soll zu einem integrierten Bestandteil der täglichen Arbeit werden. Daher ist die Schulung und Sen­si­bi­li­sie­rung der Mitarbeiter ein zentrales und wichtiges Ziel. Hierfür eignen sich jährlich stattfindende Präsenzschulungen und auch Wirksamkeitstests im Alltag.

Jährlich oder anlassbezogen überprüfen

Haben sich in letzter Zeit die IT-System­land­schaft oder wesentliche Teile der Organi­sation geändert oder ist die Ein­tritts­wahr­schein­lich­keit eines Risikos gestiegen oder gesunken, so sind das Sicherheitskonzept und die damit verbun­denen Sicherheitsmaßnahmen an die neue Si­tua­tion anzupassen. Hilfestellung bietet hier der Anhang der ISO 27001 mit Themen wie:

  • Personalsicherheit (zum Beispiel Informations­sicherheits­bewusst­sein, -ausbildung und -schulung)
  • Zugangssteuerung (zum Beispiel Verschlüsselung, Zugangssteuerung für Systeme und Anwendungen)
  • Betriebssicherheit (zum Beispiel Schutz vor Schad-Software oder Datensicherung)
  • Kommunikationssicherheit (zum Beispiel Netzwerksicherheit)

Für die Zertifizierung der Kanzlei nach ISO 27001 ist es notwendig, alle Sicher­heits­an­forder­ungen der Norm umzusetzen. Viele wichtige Punkte wurden hier genannt, es fehlen jedoch insbesondere noch die internen Audits und die Ma­nage­ment­be­wer­tung (vgl. Kapitel 9.2 – Internes Audit). Die regelmäßigen internen Audits sollen prüfen, ob alle Maßnahmen des Sicherheitskonzepts um­ge­setzt sind und auch gelebt werden. Das Ergebnis dieser Audits ist dann Bestandteil der Ma­na­ge­ment­be­wer­tung (vgl. Kapitel 9.3 – Managementbewertung). Dabei bewertet die Kanzleileitung alle Aspekte der Infor­mations­sicher­heit, um ihre Eignung, Angemessenheit und Wirksamkeit si­cher­zu­stel­len. Mit der Umsetzung aller empfohlenen und selbst definierten Sicherheitsanforderungen steht einer Zertifizierung nach ISO 27001 nichts mehr im Wege.

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.