Informationssicherheit wird KMU-Thema

Nachweise für Informationssicherheit werden von Auftraggebern immer öfter explizit gefordert. Nicht nur von Großunternehmen, sondern zunehmend auch von KMU, die in sensiblen Branchen wie Telekommunikation, Software, Health oder Automotive tätig sind. Die steigende Zahl der Vorfälle von Datenverlust und Wirtschaftskriminalität lässt die Nachfrage nach Security-Zertifizierungen steigen.

Der erst 2005 veröffentlichte internationale Standard für Informationssicherheit ISO 27001 zählt mittlerweile mehr als 5.200 zertifizierte Unternehmen weltweit. "Informationssicherheit nach ISO 27001 ist auch für KMU geeignet, da der Standard branchen- und größenunabhängig anwendbar ist", erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS in Wien. "Mittels Risikoanalyse ergibt sich der individuelle Handlungsbedarf. So profitieren KMU von einem schlanken System."

Synergien durch Integration

Viele Unternehmen würden bereits Voraussetzungen erfüllen, etwa weil sie inhaltlich verwandte Managementsysteme betreiben, betont Scheiber und erklärt: "Die ISO-Standards für Qualität und Umwelt weisen ähnliche Strukturen auf, so dass Synergien bei einer ISO-27001-Integration entstehen."

So konnte Fabasoft, Hersteller von Standardsoftware für Electronic Government und Content Applications, Informationssicherheit nahtlos in sein Qualitätsmanagement integrieren. "IT-Security-Prozesse waren großteils bereits definiert. Daher konnten das gesamte ISO-27001-System ohne Berater innerhalb von acht Monaten implementieren und zertifizieren lassen", berichtet Quality- und Information-Security-Manager Karen Daghofer.

Mitarbeiter-Awareness

Neben Ergänzungen von Dokumentation und Handbuch mussten Punkte wie Riskmanagement und Mitarbeiter-Awareness neu erarbeitet werden. Der Fabasoft-Vorstand habe durch sein Engagement eine große Vorbildwirkung, beschreibt Daghofer wichtige Schritte in Richtung Bewusstseinsbildung: "Informationssicherheit ist ein fester Bestandteil unserer Academy für interne Weiterbildung geworden. Weiters wurde unsere Security-Richtlinie mittels Newsletter an die Mitarbeiter gesendet, was stark zu Diskussionen und Mundpropaganda angeregt hat. Zusätzlich platzieren wir im Frühstücksraum Plakate mit Security-Slogans wie "Gib Dieben keine Chance" oder "Greif zum Hörer" - um Vorfälle zu melden. Auch in unserem internen Wiki werden Artikel zu ISO 27001 verfasst, so zuletzt ein Eintrag über Festplattensicherung mit Querverweis auf die Norm."

Neuland: Risikomanagement

Eine neue Herausforderung für Fabasoft war Risikomanagement nach ISO 27001. Es galt, Risiken und Maßnahmen zusammenzuführen - die vorhandenen "Puzzleteile" systematisch zu einem Gesamtüberblick zu erfassen.

"Um kein Risiko zu übersehen und keine Doubletten mitzutragen", erklärt Karen Daghofer. Als sinnvoller Erstellungsprozess habe sich herauskristallisiert: Risiken schriftlich erfassen, diskutieren, kürzen. Dann erst Maßnahmen definieren. So verhindere man ein Überladen des Systems.

Die qualitative Methode ALARP für Risikoanalysen hat Fabasoft aufgrund ihres einfachen Ansatzes gewählt. Für die Schadensabschätzung werden keine monetären Werte eingesetzt, was bei Imageschaden schwierig wäre, sondern Schulnoten. Die Ergebnisse werden nach dem Ampelsystem rot-grün-gelb in einer Matrix dargestellt. Insgesamt erweist sich das ISO-27001-Zertifikat als veritabler Wettbewerbsvorteil: Fabasoft setzt damit ein Zeichen auf seiner Homepage, auf Kundenevents und bei Ausschreibungen.

"Leichter, als erwartet"

Viele Unternehmen verfügen auch aufgrund von Branchen-Standards oder Richtlinien über definierte Prozesse, die die Einführung von Informationssicherheit nach ISO 27001 erleichtern. Synergien mit der US-Richtlinie Sarbanes Oxley nutzte Selected Services, ein SaaS-Spezialist mit 50 Mitarbeitern: "Die ISO-27001-Implementierung gestaltete sich leichter als erwartet", berichtet Chief Technical Officer Michael Rösch. "Aufgrund unserer US-Geschäfte hatten wir SOX-konforme Prozesse im Haus. Die IT-Security-Anforderungen beider Regelwerke überschneiden sich, so dass wir auf dem Vorhandenen aufsetzen konnten."

Die seither lückenlose Prozess-Dokumentation schaffte Transparenz für das ganze Unternehmen. Rösch: "Durch Incident Management nach ISO 27001 konnten wir Support-Prozesse, Workflows und den Einsatz von Trouble Tickets optimieren. Unsere Kunden spüren dies in Form verkürzter Reaktions- und Durchlaufzeiten."

Haftung minimieren

Auch der Standard für Provider im Online-Zahlungsverkehr "Payment Card Industry Certification" weist inhaltliche Parallelen mit dem Security-Standard auf: "Während PCI technisch ausgerichtet ist, profitieren wir durch ISO 27001 von Awareness-Maßnahmen und Security-Prozessen für sämtliche sensible Informationen", so Oliver Eckel, Security Manager bei CQR Payment Solutions, eine bwin-Tochter mit 90 Mitarbeitern.

Zusätzlich sieht er Vorteile für die Umsetzung von Euro-SOX: Die IT-Security-Aspekte der 8. EU-Richtlinie könne man direkt aus ISO 27001 ableiten. Zudem würden Haftungsrisiken aufgrund der geprüften Dokumentation minimiert.

Change Management

"Bei einer ISO-27001-Zertifizierung handelt es sich um Anforderungen, die man früher oder später ohnehin umsetzen sollte", meint Eckel. Viele Prozesse waren bei CQR schon definiert. Aber durch die Einführung des Managementsystems wurden diese in einer einheitlichen Struktur abgebildet. Vom User bis zur Software werden Änderungsprozesse nun nachvollziehbar durch Change und Configuration Management geregelt. Als Tipp für eine effiziente Implementierung fasst CIS-Chef Erich Scheiber zusammen: "Zeitpuffer einplanen und immer wieder einen Schritt zurückzugehen, um die Gesamtheit zu betrachten. Ein überladenes System wird in der Praxis schwer gelebt. Das System muss schlank und effektiv sein."