Die Abhängigkeit von IT-Systemen, die steigende Anzahl an Cyberbedrohungen sowie der Druck bezüglich der Datenschutz-Grundverordnung (DSGVO) in Deutschland zwingen Schweizer Unternehmen, sich systematisch mit möglichen Risiken auseinander zu setzen.

Die vierte industrielle Revolution beziehungsweise Industrie 4.0, welche die intelligente Vernetzung von Maschinen und Abläufen in der Industrie mit Hilfe von Informations- und Kommunikationstechnologie bezeichnet, hat längst begonnen. Wir sind heute viel stärker abhängig von der Konnektivität der Unternehmen (dem Vernetzungsgrad), der ihr zugrunde-liegenden Infrastruktur sowie der Nutzung des Internets und mobiler Geräte. Diese Abhängigkeit wurde aufgrund der Covid-19 Pandemie noch verstärkt und hat heute einen noch grösseren Bedarf an System- und Ausfallsicherheit digitaler Systeme zur Folge. Carolina Klint, Risk Management Leader Continental Europe bei Marsh, sagt: „Während sich die Unternehmen von der Pandemie erholen, richten sie ihren Fokus zu Recht auf die organisatorische Resilienz und die ESG-Leistung (Environmental Social Governance). Da die Cyberbedrohungen heutzutage schneller zunehmen als unsere Fähigkeit, sie dauerhaft zu beseitigen, ist ganz klar, dass es ohne glaubwürdige und durchdachte Pläne zum Cyber-Risikomanagement weder Resilienz noch Governance geben kann. (Quelle: WEF, Global Risk Report 2022)

Cyber-Kriminelle agieren zusehends geschickter und treffen Unternehmen dort, wo sie am verletzlichsten sind. Der verursachte Schaden kann verheerende finanzielle Auswirkungen haben und den Geschäftsbetrieb sowie die Infrastruktur für Wochen lahmlegen.

Am 25. Mai 2018 wurde in Deutschland die DSGVO in Kraft gesetzt. Sie ist ein Compliance-Standard zur Verbesserung des Datenschutzes und gilt für alle Unternehmen innerhalb und ausserhalb der EU, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten. Inzwischen wurde auch das Schweizer Datenschutzgesetz erneuert. Die Einführung des neuen Datenschutzgesetzes (DSG) ist für September 2023 vorgesehen.

Sowohl der ISO 27001 Standard also auch die DSGVO zielen darauf ab, die Datensicherheit zu verbessern, das Risiko von Datenschutzverletzungen zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten zu gewährleisten. Unternehmen sind aufgefordert, mögliche Risiken zu reduzieren. Das Augenmerk richtet sich auf versehentliche oder unrechtmässige Zerstörung, Verlust, Änderung, unbefugte Weitergabe von personenbezogenen Daten oder den Zugriff auf solche.

Internationale Normen bieten Lösungen, die es Organisationen ermöglichen, Rahmen und Systeme zur Bewertung und Bewältigung der Situation einzurichten - zum Schutz von Informationen, zur Sicherung von Anwendungen und Diensten sowie der Infrastruktur.

Standards

Hinter dem Begriff International Organization for Standardization (ISO) steht eine Organisation, welche das Ziel der Schaffung von international einheitlichen Normen verfolgt. Seit der Gründung der ISO-Organisation am 23. Februar 1947 in London wurden über 21'000 Normen veröffentlicht.

Überblick über Standards, welche für IT-Unternehmen interessant sein könnten:

• Sicherheit und Datenschutz für das Internet der Dinge (IoT)

• Sicherheit und Datenschutz für Big Data

• Sicherheit und Datenschutz für künstliche Intelligenz und Schutz biometrischer Daten

Ergänzt werden diese durch neuere technische Spezifikationen wie ISO/IEC TS 27570, die einen Leitfaden für den Schutz der Privatsphäre in Smart-City-Ökosystemen enthält, sowie ISO/IEC TS 27100, die beschreibt, wie robuste Cybersysteme zum Schutz vor Cyberangriffen geschaffen oder weiterentwickelt werden können.

Die dritte Ausgabe von ISO/IEC 27002 wurde im ersten Quartal 2022 veröffentlicht. Diese Norm befasst sich mit der Kontrolle der Informationssicherheit und wurde aktualisiert, um dem technologischen Fortschritt, den Geschäftsentwicklungen und -praktiken sowie neuen Gesetzen und Vorschriften Rechnung zu tragen. Darüber hinaus gibt es die ISO-Normen für

• ISO/IEC 27035 Incident Management

• ISO 22301 Business Continuity Management

• ISO/IEC 27031 Informationstechnik und IT-Sicherheitsverfahren

Eine Reihe von Management-Normen helfen beispielsweise beim Aufbau von organisatorischer Resilienz oder dabei, Geschäftsunterbrechungen entgegenzuwirken und die Überlebensfähigkeit und die Governance (Unternehmensführung) zu gewährleisten. Dazu gehören:

• ISO 22301 Business Continuity Management Systems

• ISO/IEC 27001 Information Security Management Systems

• ISO/IEC 27014 Information Security Governance

ISO-Zertifizierung

Eine wichtige Voraussetzung für die erfolgreiche Umsetzung eines ISO-Managementsystems ist die aktive Rolle des Managements. Nicht nur im Hinblick auf die Bereitstellung der finanziellen, zeitlichen und personellen Ressourcen, sondern in der Anerkennung der Notwendigkeit zur Einführung und Weiterentwicklung des Managementsystems.

Die Zertifizierung nach ISO 27001 beziehungsweise der Aufbau eines ISMS (Informationssicherheitsmanagementsystems) ist die gängigste Zertifizierung im IT-Bereich hierzulande und ein weltweit angewandter Standard. Sie weist folgende Merkmale auf:

• Nachweis darüber, dass man über einen Plan verfügt, um alle notwendigen Vorkehrungen zu treffen, das Unternehmen vor Sicherheitslücken zu schützen

• Bewusstsein schaffen für potenzielle Risiken, welche ein Unternehmen bedrohen

• Sensibilisierung aller Mitarbeitenden für die sicherheitsrelevanten Themen

• Wettbewerbsvorteil

Die Implementierung eines ISMS erfolgt idealerweise in Kombination mit ISO 9001 – Qualitätsmanagementsystem. Diese Norm beinhaltet alle strategischen und operativen Führungsprozesse von Personal- und Unterstützungsprozessen bis hin zur eigentlichen Leistungserbringung. ISO 9001 bildet die Basis und ist ideale Grundlage für den Aufbau eines integrierten Managementsystems.

Zertifizierungsablauf

Ein ISO-Zertifizierungszyklus dauert drei Jahre. Die Gültigkeit der ISO-Zertifizierung wird anhand eines jährlichen, externen Audits überprüft und bei erfolgreichem Bestehen um ein weiteres Jahr verlängert. Im Zentrum dieses Prozesses steht die kontinuierliche Verbesserung (KVP) und Weiterentwicklung des Managementsystems.​

Anhand der Durchführung von internen Audits - einem zentralen Instrument des Managementsystems - können die für ISO wichtigen Verfahren regelmässig und bereichs- übergreifend überprüft werden. Neben der Einhaltung festgelegter Verfahren ist es wichtig, dass besonders die Mitarbeitenden sensibilisiert werden für die Bedeutung des jeweils eingeführten Standards im Unternehmen. Zentral ist dabei die Identifikation von Verbesserungspotenzialen anhand des PDCA-Kreislaufs (Plan-Do-Check-Act). Danach gilt es Lösungsideen zu entwickeln, sinnvolle Realisierungsschritte zu definieren, diese einzusetzen, sie zu überprüfen und dann die gewonnenen Erkenntnisse in die nächsten Planungsschritte einfliessen zu lassen. Dies ist ein Prozess, in welchen Mitarbeitende direkt einbezogen sind.

Die erforderlichen Dokumente für den Aufbau eines Managementsystems können selbständig oder mit Hilfe eines externen Beraters aufgebaut werden. Der zeitliche Aufwand variiert hier sehr stark und ist abhängig vom internen Knowhow beziehungsweise demjenigen des externen Beraters. Analog dazu verhalten sich die Kosten.

Nach erfolgreicher Dokumentenprüfung kann das externe Audit mit einer Zertifizierungsgesellschaft geplant und festgelegt werden. Hierzu wird ein Auditprogramm erstellt, welches die zu beurteilenden Bereiche (Normkapitel), den zeitlichen Rahmen sowie die involvierten Personen ausweist.

Mehrwert einer ISO-Zertifizierung

Mit der Einführung eines ISO-Standards aus der ISO 27000-Familie leisten Sie einen aktiven Beitrag zum Schutz Ihrer IT-Umgebung und zeigen gegenüber Ihren Kunden und Partnern, dass Sie die Sicherheit Ihrer Daten und Informationen ernst nehmen und systematisch extern und unabhängig überprüfen lassen.

Aufgrund der zunehmenden Anzahl Hacker-Angriffe auf Schweizer Unternehmen, dem grösser werdenden Druck von Seiten DSGVO, in Bezug auf den Umgang mit personenspezifischen Daten nimmt die Nachfrage nach ISO 27001 Zertifizierungen in der Schweiz deutlich zu. Eine erhöhte Nachfrage ist bei IT-Firmen, bei Startups beispielsweise in der Med-Tech Branche aber auch bei Lieferanten in kritischen Lieferketten und unterschiedlichen Branchen erkennbar - wie beispielsweise im Gesundheitswesen oder bei Logistikunternehmen.

ITIL versus ISO 20000

Während sich ISO 27000 vorwiegend auf die Datensicherheit konzentriert, sind andere Standards, wie ISO 20000 oder ITIL, auf das gesamte IT-Servicemanagement (ITSM) ausgelegt.

ITIL steht für Information Technology Infrastructure Library und ist eine Sammlung von Best Practice-Prozessen, welche einen De-facto-Standard im Bereich IT-Services-Management bilden.

Die Grundidee des ITIL-Frameworks besteht darin, Prozesse, Vorgehensweisen und Aufgaben aus dem Bereich ITSM in die Gesamtgeschäftsstrategie der Organisation zu integrieren, um so optimale Ergebnisse zu erzielen.

Mit dem Aufkommen neuer Technologien wird ITIL regelmässig aktualisiert, sodass die existierenden Prozesse und Workflows noch besser verwaltet werden können.

Anders als ITIL adressiert die Norm ISO 20000 das Management von Firmen. Dieses kann die Abläufe ihrer IT-Organisation nach den Anforderungen der Norm auditieren und zertifizieren lassen. Die ISO-Norm legt Mindestanforderungen für ein Service-Management-System fest und orientiert sich dabei zum Teil an den Management-Prozessen von ITIL.

ITIL kennt keine Zertifizierung von Unternehmungen, ist dafür jedoch in der Ausbildung von IT- und Management-Fachkräften stark vertreten. Mitarbeitende können sich ausbilden und ITIL zertifizieren lassen, während mit der Auditierung einer ISO-Norm das Managementsystem der Unternehmung zertifiziert wird.

Thomas Frischknecht, Executive MBA HSG, Regionenleiter und Lead Auditor Attesta Schweizer Zertifizierungsgesellschaft AG. Ausbildungsschwerpunkte im Qualitätsmanagement – insbesondere ISO 27001 und Informationstechnologien. Langjährige Geschäftsführung eines IT-Dienstleistungsunternehmen. Selbständiger Unternehmer mit Beratungsschwerpunkten rund um IT-Sicherheit und CIO-Themen.