Ein kleines Experiment zum Anfang: Woran denken Sie bei dem Begriff “Informationssicherheit“?
Eins – Zwei – Drei – Vier – Fünf
Und nun die Frage: War irgendwo der Gedanke an “Computer” oder “EDV” dabei?
“Herr Weber” – fragt Frau Geschäftsführer Müller ihren Assistenten – “wo ist der Brief, den Sie mir gestern vor Feierabend auf den Tisch gelegt haben“.
Oder auch “Herr Weber – haben Sie den Brief geöffnet?“
Dinge die im Alltag durchaus geschehen können, oder?
Die ISO 27000 definiert den Begriff Informationssicherheit im englischen so:
preservation of confidentiality (3.10), integrity (3.36) and availability (3.7) of information
Note 1 to entry: In addition, other properties, such as authenticity (3.6), accountability, non-repudiation (3.48), and reliability (3.55) can also be involved.
Worauf ich aufmerksam machen möchte – das steht nichts von “Computer” oder “EDV”!
Im Beispiel mit dem Brief haben wir ein klassisches, analoges Medium.
Es könnte aber auch um das “gesprochene Wort” gehen, wenn jemand ein Geschäftsgeheimnis beim Feierabendbier an einen “Kumpel” weitergibt.
Für das Management hat das eine viel größere Tragweite, als würde man sich “nur” auf die rein EDV-technischen Aspekte konzentrieren.
Was mit dem Brief geschehen ist, stellt zunächst einmal ein “InformationssicherheitsEREIGNIS” dar, welches genauer untersucht werden muss.
Damit das geschehen kann, ist dieser Vorfall zu melden, so wie es die Norm 27002 (Anhang A) im Kapitel 16.01.02 verlangt:
Informationssicherheitsereignisse sollten so schnell wie möglich über geeignete Kanäle zu deren Handhabung gemeldet werden.
Ist die Meldung erfolgt, befinden wir uns bereits im Zuständigkeitsbereich des ISO / CISO.
Der nächste Schritt wäre nun folgerichtig auch in der Norm 27002 (Anhang A) und zwar im Kapitel 16.01.04 beschrieben:
InformationssicherheitsEREIGNISSE sollten beurteilt werden, und es sollte darüber entschieden werden, ob sie als InformationssicherheitsVORFÄLLE einzustufen sind.
Sehr vereinfacht gesagt wird aus einem EREIGNIS ein VORFALL, wenn mindestens eines der Schutzziele der Norm verletzt wird.
Waren vertrauliche Informationen in dem Brief – Vertraulichkeit?
Oder wird die Information benötigt – Verfügbarkeit?
Egal wie – ergibt die Analyse, dass es sich um einen Vorfall handelt, führt das automatisch zu dem nächsten Schritt Kapitel 16.01.05:
Auf Informationssicherheitsvorfälle sollte entsprechend den dokumentierten Verfahren reagiert werden.
Hier achten wir auf den kleinen Hinweis “dokumentierten Verfahren“.
Für die “Reaktion auf InformationssicherheitsVORFÄLLE” muss es eine Richtlinie geben – im Sinne einer “dokumentierten Information”.
Frau Müller hat sich im Rahmen der Zertifizierung zur ISO 27001 gemäß Kapitel 05.01 “Führung und Verpflichtung” u.a. verpflichtet:
Die oberste Leitung muss in Bezug auf das Informationssicherheitsmanagementsystem Führung und Verpflichtung zeigen, indem sie … e) sicherstellt, dass das Informationssicherheitsmanagementsystem sein beabsichtigtes Ergebnis bzw. seine beabsichtigten Ergebnisse erzielt;
Somit darf es auch keine Frage geben – dieses Ereignis muss gemeldet und entsprechend der Norm behandelt werden.
Viele Geschäftsführer oder Unternehmensleitungen tun sich sehr schwer, diesen wichtigen Punkt der Norm zu verstehen und auch zu akzeptieren.
“Das hat doch gar nicht mit Computern zu tun, also warum soll ich das melden”?
Leider eine grundsätzlich falsche Annahmen.
Jedes Ereignis, welches grundsätzlich die Schutzziele der Informationssicherheit betrifft, auch dann, wenn es nichts mit Computern zu tun hat, ist zu melden.
Die Entscheidung wie damit dann weiter umgegangen wird, wurde durch die entsprechende Richtlinie der Norm bereits getroffen.
Dabei ist es eben auch ein Ziel, die Willkürlichkeit aus den Prozessen herauszunehmen.
Mitnichten hat ein ISO/CISO Lust, sich in die Tätigkeit der Unternehmensleitung einzumischen.
Aber er wurde von dieser beauftragt, sich um bestimmte Aspekte zu kümmern, die durchaus in den Bereich auch der Unternehmensleitung fallen können. Gerade bei Themen wie “Geheimnisverrat”.
Würde der ISO / CISO z.B. durch die Geschäftsführung ausgebremst, indem man ihm die Weisung gibt, bestimmte Themen nicht weiter zu verfolgen, weil es nicht umd Computer geht, so zeigt das nur, dass diese den Sinn und Zweck der Norm noch nicht verstanden hat.
Transparente, klare und dokumentierte Prozesse sind notwendig, damit wir mit Informationssicherheitsvorfällen in allen Formen (analog und digital) auch immer richtig umgehen.
In diesem Kontext ist auch die neue “Whistleblower Richtlinie” oder die “Hinweisgeberrichtlinie 2019/1937” zu sehen, die seit dem 17.12.2021 gilt.
Sie soll dafür sorgen, dass Verstöße gegen das Unionsrecht (Quelle: wikipedia) richtig gemeldet werden können, die das öffentliche Interesse beeinträchtigen.
Das ist vergleichbar mit den entsprechenden Kapiteln der Norm 27001.
Darüber hinaus schützt sie aber auch die Melder und die betroffenen Personen.
Die betroffenen Personen sollte man nicht vergessen, weil ein unsachgemäßer Umgang mit Meldungen leicht deren Existenz im Sinne einer “Vorverurteilung” vernichten könnte.
Deshalb steht im ganzen Ablauf auch die Vertraulichkeit an sehr hoher Position.
Und letztlich ist auch geregelt:
Nach Artikel 23 Abs. 2 der Richtlinie 2019/1937 müssen die Unionsmitgliedstaaten auch wirksame, angemessene und abschreckende Sanktionen für Hinweisgeber festlegen, wenn diesen nachgewiesen werden kann, dass sie wissentlich falsche Informationen gemeldet oder offengelegt haben. Die Unionsmitgliedstaaten müssen dazu auch Maßnahmen entsprechend dem nationalen Recht zur Wiedergutmachung von Schäden vorsehen, die durch diese Meldungen oder Offenlegungen entstanden sind. Hinweisgeber sind jedoch geschützt, wenn sie im guten Glauben ungenaue Informationen über Verstöße gemeldet oder, wenn sie hinreichenden Grund zu der Annahme hatten, dass die gemeldeten Informationen in den Anwendungsbereich dieser Richtlinie falle.
Ein Thema, welches leicht vergessen wird, aber in einer Welt von nicht “idealen Menschen” gibt es auch den Fall von wissentlich vorgebrachten, falschen Anschuldigungen.
Dieser Aspekt wird im Rahmen der ISO 27001 natürlich anders gewichtet aber grundsätzlich gilt auch hier der Grundsatz: “Wer meldet sollte geschützt sein”.
Nicht alles, was geschehen kann lässt sich durch Richtlinien oder Gesetze regeln.
Die ISO 27001 stellt dennoch einen klaren, verbindlichen Rahmen zur Verfügung und dieser sollte nur durch transparente, nachvollziehbare und dokumentierte Entscheidungen geprägt sein.
So erreichen wir die Ziele der Norm DIN EN ISO 27001 zum Informationsschutz auch in der analogen Welt.