Nachlässigkeit der Schafe

Die neue Norm für Informationssicherheit, ISO 27001, wurde im Vergleich zu ihrer britischen Vorgängerversion BS 7799 präzisiert und verfeinert. Was zunächst bei der Veröffentlichung im Herbst 2005 den Eindruck kosmetischer änderungen erweckte, entpuppt sich nach einem Jahr Bewährungsprobe in der Praxis als handfester Vorteil für die Anwender. \"Insgesamt entsteht durch die neuen Inhalte der ISO 27001 ein Plus an Sicherheit und Effizienz für die Unternehmen“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS in Wien.

Der \"Norm-Upgrade“ bringt interessante Neuerungen hinsichtlich Implementierung und Zertifizierung von Informationssicherheit. So steigt die Qualität der Risikoanalyse, die das Fundament für den Aufbau eines InformationsSicherheitsManagementSystems (ISMS) darstellt. In dieser Phase beurteilt das Unternehmen, welche Risiken vorhanden sind, welche tragbar und welche durch Security-Maßnahmen zu minimieren sind. Laut ISO 27001 muss das \"Acceptable Level of Risk“, die Risikoakzeptanzschwelle im Unternehmen, genau definiert werden. Genauso ist darzulegen, mit welchen Methoden die Toleranzgrenzen eruiert wurden. \"Diese strategische Vorgangsweise erhöht die Sicherheit für das Unternehmen. Durch verbesserte Risikominimierung kann eine Haftung aufgrund grober Fahrlässigkeit abgewendet werden, was vor dem Hintergrund des neuen Unternehmensstrafrechtes von großer Bedeutung ist“, betont Scheiber.

Effizienzkontrolle für Security-Maßnahmen. Zu mehr Effizienz in der Informationssicherheit führen Verbesserungen rund um die Erfolgskontrolle von Security-Maßnahmen. Demnach muss ein Unternehmen laut ISO 27001 bei einem Audit aktiv begründen, warum bestimmte \"Controls“ oder Steuerungsmaßnahmen zur Erhöhung der Informationssicherheit nicht zur Anwendung kommen. Damit wird ein bewusster Umgang mit der Materie gefördert und ein \"Vergessen“ von Sicherheitslöchern verhindert.

Die größten Sicherheitsrisiken sieht CIS-Auditor Herfried Geyer entgegen vieler Beobachtungen nicht zum Zeitpunkt des Ausscheidens von Mitarbeitern, sondern interne Positionswechsel. \"Da können Mitarbeiter oft noch Monate später auf Projektdaten zugreifen, über Schreibrechte verfügen oder wurden nicht zur Schlüsselrückgabe aufgefordert. Wichtig ist aber, Mitarbeiter als Verbündete und Träger des Security-Systems zu gewinnen, vor allem durch flächendeckende Schulungen nach dem kostengünstigen Train-the-Trainer-Prinzip\", rät Geyer. \"Schäden entstehen meist nicht durch ein schwarzes Schaf, sondern durch Nachlässigkeit von vielen.“