ISMS-Couch

Nach zwei Jahren auf der ISMS-Couch ziehen wir Bilanz zum Thema Informationssicherheit: Was hat sich getan und was wird sich ändern?

Nach zwei Jahren auf der ISMS-Couch ziehen wir Bilanz zum Thema Informationssicherheit: Was hat sich getan und was wird sich ändern?

In Deutschland sind schätzungsweise zwischen 29.000 bis 40.000 Unternehmen von der Umsetzung der NIS 2 - Richtlinie betroffen und müssen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um die gesetzlichen Anforderungen zu erfüllen.

Auditoren sind Menschen, wie wir alle und führen Audits individuell durch. Im aktuellen Podcast sprechen Florian Abeln und Andreas Bethke über die Stolpersteine bei Audits.

Viele Wege führen nach Rom und in der Informationssicherheit ist das genauso. Wie einfach wäre es, wenn es nur einen Weg gäbe? Schon alleine die Frage, worauf die Unternehmen bei der Implementierung von Maßnahmen mehr Gewicht legen sollten um effektiver ans Ziel zu kommen stellt eine große Herausforderung da. Wir diskutieren dies an Beispielen "Prävention vs. Notfall-Maßnahmen" oder "technische vs. organisatorische Maßnahmen".

In Folge 7 der Podcast-Reihe stellten wir bereits heraus, wie wichtig es für die Informationssicherheit ist, dass die selbst erstellten Informationssicherheitsrichtlinien auch gelebt werden. Doch die Existenz solcher Richtlinien alleine bringt noch keinen Erfolgt. Viel wichtiger ist es, dass es eine Kultur für Informationssicherheit im Unternehmen gibt. In der aktuellen Folge diskutieren wir über mögliche Herangehensweisen.

Die Außenwirkung eines Zertifikates ist enorm und schafft Vertrauen in das Unternehmen. Eine regelmäßige (jährliche) Überprüfung durch einen externen Auditor soll dafür sorgen, dass die Prozesse auch wirklich wie beschrieben gelebt werden. Doch was in der Zeit zwischen den Stichproben des Auditors passiert, weiß nur der Zertifikatsinhaber selbst. Die beiden Informationssicherheitsbeauftragten Andreas Bethke und Stefan Köster zeigen anhand von Beispielen aus der Praxis, wie wichtig ein gelebtes ISMS für den Schutz des eigenen Unternehmens ist.

In der sechsten Folge zeigen wir Beispiele auf, welche Wege Angreifer nutzen können und dass bei diesen Methoden die guten technischen Maßnahmen nicht greifen. Wir zeigen aber auch welche Maßnahmen die Unternehmen zusätzlich ergreifen können um sich davor zu schützen.

Für die fünfte Folge haben wir uns einen Artikel aus der Kreiszeitung vorgenommen, in dem ein "Sicherheitsvorfall" bei einer Sparkasse öffentlich gemacht wurde. Leidtragender ist ein Kunde, der dadurch viel Geld verloren hat. Wir beleuchten den Artikel aus mehreren Perspektiven und stellen die Frage, wo der Fehler liegt: Beim Menschen, bei der Technik oder beim ISMS?

In der vierten Folge gehen wir dem Mythos nach, dass die Implementierung und der Betrieb eines Informationssicherheitsmanagementsystem immer auch zum Erfolg führt. Aber machen wir uns nichts vor: Der Weg ist steinig; sowohl beim Aufbau, als auch beim ernsthaften Betrieb eines ISMS. Doch was sind die Erfolgsfaktoren? Was verhindert den Erfolg?

Es scheint, dass das Thema Informationssicherheit nur für "große" Unternehmen interessant, sinnvoll und nützlich ist. In der dritten Folge sind wir der Frage nachgegangen, ob das wirklich so ist.

In der zweiten Folge beschäftigen wir uns mit dem Mythos, dass der Erfolg der Informationssicherheit, bzw. der Einführung eines Managementsystems für Informationssicherheit, maßgeblich vom Können des Informationssicherheitsbeauftragten (ISB) abhängig ist. Dies stellt den ISB als eine Art "Gott der Informationssicherheit" hin. Wir sprechen darüber, welche menschlichen Fähigkeiten ein ISB in der Praxis unserer Meinung haben sollte.

In allen Büchern, Anleitungen und Ausbildungen wird davon ausgegangen, dass ISMS-Projekte auf der "grünen Wiese" starten, aber das ist nur selten der Fall. In der ersten Folge sprechen wir über diesen Mythos.