Heute geht es um Informationssicherheit, um Sie und den Heiligen Drei Königen. Ja, wirklich! Lesen Sie alles ganz aufmerksam durch!
Wer schon mal mit einem Ausfall eines PC-Laufwerkes Erfahrungen hat, der weiß es, wie es ist, wenn man Daten verliert. Im Moment der Erkenntnis läuft einem die Gewissheit kalt über den Rücken herunter. Wenn man sich dann gefangen hat, geht es um Schadensbegrenzung. Das wiederum funktioniert nur, wenn man vorsorglich Backups erstellt hat. Meist sind jedoch die Daten des letzten Zeitraumes nach dem Backup unwiederbringlich weg! Weg sind dann die letzten Ergebnisse, an denen man Stunden, Tage Wochen, oder sogar Monate oder länger gearbeitet hat. Das kann wirklich tragische Ausmaße annehmen… und das bereits im privaten Bereich.
Warum hat das mit den Heiligen Drei Köngen und mit Ihnen zu tun?
OK. Der heutige Artikel hat tatsächlich etwas mit den „Heiligen Drei Königen“ zu tun! Sie kennen die Geschichte der Heiligen Drei Könige? Wenn Sie diesen Artikel bis zu Ende lesen, erfahren Sie was es mit der biblischen Geschichte auf sich hat und warum es Sie betrifft. Wie bei jeder guten Geschichte, folgt der Höhepunkt mit der überraschenden Auflösung nicht am Anfang, sondern gegen Ende und man genießt ihn nur, wenn man den Anfang kennt.
75% der Organisationen glauben nicht, dass ihre Geschäftsdaten vollständig sicher sind
Sind es Ihre? Diese Zahl aus einem Bericht über Risikoeinschätzung der NTT Com Security in 2016 zeigt, das auch Sie dazu gehören könnten. Lassen Sie mich ein wenig ausholen bevor ich zu den Weihnachtsboten komme.
Millionenschäden abwehren
Wer keine Millionen hat, kann diese nicht verlieren… Oder doch? Im Fall von Informationssicherheit sind auch Gesetze im Spiel und wo das der Fall ist, gibt es nicht nur Verlust und Ruin sondern auch Strafen.
Wussten Sie, dass laut McAffe Schadensbericht vom 2014 bereits 400 Milliarden Schäden durch Internet-Kriminalität entstanden sind?
Das war erst 2014 und es kann jeden erwischen. Denken Sie an den SPAM, denn Sie Tag für Tag in Ihrer Mailbox finden. Manche davon sind wirklich böse. Sie müssen bereits ein Experte sein, um zu entscheiden, ob Sie eine E-Mail von iu18358@ezez.ru öffnen, dass Ihnen Ankündigt, dass Ihre Amazon.de-Daten verloren gegangen sind und Sie diese per Direktklick(!) ganz bequem wieder eingeben sollten. Das ist doch offensichtlich ein SPAM, sagen Sie? Es reicht allein ein Moment der Unaufmerksamkeit und schon haben Sie mit Malware (Schadprogramme) und Trojaner zu kämpfen.
Was macht Informationssicherheit aus?
Ich habe das obige Beispiel am Anfang für einen der „kleineren“ Übel, einen privaten Festplattenausfall beschrieben. Es gibt jedoch viele andere Risiken und Bedrohungen betreffend Ihre Informationen. Manche sind direkt und andere subtiler, wie ungewolltes Durchsickern sensibler Informationen im Internet oder zur Konkurrenz. Im Fall eines Unternehmens stellen die Bedrohungen für die Informationssicherheit sogar existenzielle Risiken dar. Informationen können laut der in der Praxis nachgewiesenen Theorie
- verloren gehen oder der Zugriff darauf kann verhindert werden (Verfügbarkeit),
- ihren vertraulichen Charakter verlieren und zu den falschen Adressaten kommen (Vertraulichkeit),
- ihre Aussage kann verfälscht werden (Integrität) und
- ihre Verbindlichkeit und Herkunft kann nicht mehr festgestellt werden (Authentizität).
Versuchen Sie sich nur mal auszumalen, welche Konsequenzen die oberen 4 Einwirkungen auf die Information haben könnten. Aus diesen 4 Risiken ergibt sich eine Explosion von mehr oder weniger wahrscheinlichen negativen Folgen. Diesen Folgerisiken gilt es entgegenzuwirken indem man die Informationssicherheit durch geeignete Maßnahmen schützt. Das gilt sowohl im privaten als auch im geschäftlichen Bereich. Im letzteren sind die Konsequenzen jedoch drastischer.
Was hat das mit „Fair QMS“ und der Positionierung der KMU auf dem Markt zu tun?
Nun ja, dieser Blog ist unter anderen der Initiative „Fair QMS“ gewidmet. Diese ist von mir ins Leben gerufen worden, um kleineren und mittelgroßen Unternehmen eben eine bessere Positionierung auf dem Markt zu ermöglichen. Das erfolgt jedoch nicht nur durch die Anwendung der ISO 9001 oder eines QMS – wie der Name suggeriert – und der dadurch gesteigerten Effizienz, sondern auch durch die Wirkung nach Außen auf die Kunden, möglichen Partnern und der gesamten Umgebung überhaupt. Diese Wirkung kann auch mit anderen Normen erreicht werden. Nachweislich sind folgende Werte durch die Anwendung der ISO 27001 zu erwarten:
50% niedrigere Fehler-Wahrscheinlichkeit betreffend die Informationssicherheit
ISO 27001 hilft, ein besseres Risikomanagement zu etablieren und damit Ihr Unternehmen sicherer und belastbarer zu machen und auf Bedrohungen der Informationssicherheit besser zu reagieren. Die Steigerung der Informationssicherheit steht hier vergleichsweise gegenüber der durch die ISO 9001 bewirkten Steigerung der Effizienz.
75% niedrigeres Geschäftsrisiko
Sie können einfach nicht vorsichtig genug sein, wenn es um den Schutz persönlicher Aufzeichnungen und sensibler Informationen geht. ISO 27001 hilft Ihnen, einen robusten und systematischen Ansatz für die Verwaltung von Informationen zu implementieren und den Ruf Ihrer Organisation zu schützen.
71% besserer Schutz für Ihr Unternehmen (Reputation)
Durch passende Kontrollen schützen Sie ihr Unternehmen von Angriffen und potenziellen Auswirkungen auf Ihr Unternehmen. Dies wird helfen, Ihre Organisation belastbar zu halten und Ihre Reputation zu behalten.
80% mehr Vertrauen
Ein etabliertes Informationssicherheitsmanagementsystem (ISMS) schafft, ein höheres Vertrauen der Kunden daran, dass ihre Daten vertraulich und geschützt gehandelt werden – auf gleicher Weise, wie ein ISO 9001 QMS Vertrauen in Ihrer Kontrolle, Effizienz und Qualität schafft.
53% Verbesserung Ihrer Wettbewerbsposition
Wie auch ISO 9001, erlaubt es ISO 27001 durch die Gesamtheit der Vorteile Ihr Unternehmen besser am Markt zu positionieren.
55% bessere Erfüllung von Gesetze u. Normen (Compliance)
ISO 27001 gibt Ihnen einen Rahmen, der Ihnen hilft, Ihre gesetzlichen und regulatorischen Anforderungen zu verwalten. Er fordert das Überprüfen und Kommunizieren ihrer regulatorischen Anforderungen an ihre interessierten Parteien. Das verringert die Wahrscheinlichkeit von Geldstrafen oder Strafverfolgung und hilft Ihnen, die relevanten Gesetze einzuhalten und sicherzustellen, dass Sie immer auf dem Laufenden bleiben.
ISO 27001 hilft also, Ihr Unternehmen sicher zu halten, damit Sie sich auf das Alltagsgeschäft konzentrieren, während Sie den Kunden und Lieferanten Ihr Engagement für den Schutz ihrer Informationen deutlich zeigen.
Wie behandelt ISO 27001 Risiken? Ist die Norm branchenabhängig?
Die ISO 27001:2013 zur Informationssicherheit bzw. der Anhang A beschreibt 114 sogenannte Kontrollen zur Anwendung damit bestimmte Bedrohungen gemildert werden. Auch gibt es viele zusätzliche Normen, sogenannte Leitlinien, die Anleitungen geben für die Implementierung eines solchen Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. So eine generelle Leitlinie bietet die ISO 27002 „Code of practice for information security management“. Damit ist die ISO 27001 und ISO 27002 nicht branchenspezifisch und können generell angewendet werden.
Es gibt jedoch branchenspezifische Zusatznormen. So ist zum Beispiel die ISO 27019 eine Leitlinie für die Energiewirtschaft. Sie basiert zwar auf dem Standard ISO 27002, stellt aber Leitlinien speziell für ein Informationssicherheitsmanagementsystems (ISMS) für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie vor.
Wann kommen die Heilligen Drei Könige und Sie ins Spiel?
Nun, ich hoffe Sie persönlich haben die Inspiration in diesem Artikel gefunden und wissen, dass Sie in ISO 27001 und dessen Leitlinien nützliche Informationen, Anleitungen und Anforderungen finden, die Ihr Unternehmenswissen, Ihre Kommunikation und Geschäftsfähigkeit schützen.
Die Heiligen Drei Könige kommen jetzt und heute für nur einige Tage ins Spiel aus zwei Gründen:
- Ich poste diesen Artikel einen Tag vor dem 6. Januar, was bekanntlich der entsprechende Feiertag ist.
- Die Heiligen Drei Könige brachten Geschenke mit. Ich biete Ihnen nicht nur Informationen zur ISO 27001 sondern auch für kurze Zeit kostenlos
- eine Anleitungen zur Implementierung von ISO 27001 in Ihrem Unternehmen,
- eine Liste der obligatorisch zu erstellenden Dokumentation in einem ISO 27001-Managementsystem (ISMS) und
- eine ISO 27001 GAP-Analyse Checkliste zur Überprüfung des Status Ihres Unternehmens. Damit erfahren Sie wie weit Sie noch gehen sollten um das Zertifikat zur ISO 27001:2013 zu erreichen.
90% der Organisationen hatten einen Sicherheitsvorfall im Jahr 2014
Das sind aber nur die gemeldeten Fälle! Es erwischt also jeden, wie dieser Bericht der PWC über Verletzungen der Informationssicherheit von 2015 zeigt. Wichtig ist das man vorbereitet ist! Sind Sie es?
Sollten Sie jetzt genug Inspiration erhalten haben, oder sollten Sie gesetzlich verpflichtet sein, oder sollte ich es tatsächlich geschafft haben Ihre Neugier oder Ihre Einsicht zu wecken und sollten Sie ein ISO 27001 Managementsystem einrichten, oder auch nur mehr Informationen vorab erhalten wollen, dann laden Sie die drei genanten Dokumente kostenlos auf folgender Seite herunter: http://proqvis-solutions.com/isms-informationen/
Anschließend wünsche ich allen Lesern einen erfolgreichen 2017 ohne Sicherheitsvorfälle!
Noch eine persönliche Bitte an Sie:
Wenn Ihnen mein Artikel gefällt oder Sie meine Initiative „Fair QMS“ zur Stärkung der kleineren und mittelständischen Unternehmen Unterstützen möchten, teilen Sie diesen Artikel einfach in Ihrem Netzwerk und senden Sie ihn interessierten Kollegen, Freunde und Partner. Sie werden es Ihnen danken. Ich auch!
Ich freue mich auch auf Ihre Kommentare und Meinungen dazu weiter unten.
