Der Kreis der Organisationen, die aufgrund ihrer Relevanz für die Gesellschaft dazu verpflichtet werden, sich systematisch mit der Sicherheit der verarbeiteten Daten zu befassen, wird mit der Umsetzung von NIS2 in die nationale Gesetzgebung erheblich erweitert. Der Einsatz eines ISMS-Tools kann den Betroffenen dabei helfen, die Anforderungen aus NIS2 effektiv und nachhaltig zu managen.
Die Übernahme der Gesamtverantwortung durch die Leitungsebene und die Bereitstellung angemessener Ressourcen sind für die Etablierung und Aufrechterhaltung einer ganzheitlichen und nachhaltigen Datensicherheit zwingend erforderlich. Dazu gehört die Auswahl von entsprechend qualifiziertem Personal, ebenso wie die Entscheidung darüber, welche Tools für eine möglichst strukturierte, nachvollziehbare und effiziente ISMS-Umsetzung genutzt werden sollen.
Asset-Register
Die genaue Kenntnis der Aufbauorganisation, der Prozesslandschaft und der IT-Infrastruktur stellt eine Grundvoraussetzung für eine erfolgreiche Absicherung der verarbeiteten Daten gegen den Verlust von Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit dar. Ein Organigramm, eine Prozesslandkarte und ein Netzstrukturplan in der jeweils aktuellen Version werden für den Informationssicherheitsprozess zwingend benötigt, ebenso wie die Abbildung der Abhängigkeiten zwischen den darin dokumentierten organisatorischen Einheiten, Prozessen, Anwendungen, Serversystemen, Verbindungen und Speicherorten für die verarbeiteten Daten.
Insbesondere in komplexeren Organisationen kann der Einsatz eines ISMS-Tools einen erkennbaren Mehrwert bieten, weil die mitgelieferten Formulare mit ihren Feldern den Detailgrad für die zu dokumentierenden Sachverhalte determinieren und in der Regel ein Verknüpfen von Assets zur Abbildung der Abhängigkeiten unterstützen. Oftmals verfügen sie auch über Schnittstellen, die eine Automatisierung der fortlaufenden Dokumentationspflege erheblich erleichtern, wenn die Organisation z.B. über eine etablierte CMDB verfügt.
Business Impact Analyse und Risikoanalyse
Nicht jeder Prozess in einer Organisation ist für die Erbringung von gesellschaftsrelevanten Leistungen bzw. für die Lieferung von Produkten gleich wichtig. Mit Hilfe der Business Impact Analyse wird die Zeitkritikalität von Prozessen methodisch untersucht, um sie anhand des bei einem Ausfall zu erwartenden Schadens für die Absicherung zu priorisieren. Dabei muss auch berücksichtigt werden, dass die aus der Schadensbewertung abgeleiteten Wiederanlaufparameter für den Prozess durch seine unterstützenden Assets nicht ausgehebelt werden.
Auch hier kann der Einsatz eines ISMS-Tools Abhilfe schaffen, wenn die mittels Verknüpfungen dargestellten Abhängigkeiten im Informationsverbund die sogenannte interne Lieferkette des Prozesses abbilden. Der anhand der Business Impact Analyse festgestellte Schutzbedarf in puncto Verfügbarkeit und die abgeleiteten Wiederanlaufparameter wie die Wiederanlaufzeit (RTO) und die maximal tolerierbare Ausfallzeit (MTPD) können nachfolgend als Soll-Werte auf die Assets vererbt und eventuelle Untererfüllungen leichter aufgedeckt werden.
Die sich an die Business Impact Analyse anschließende Risikoanalyse beschäftigt sich in einer systematischen Weise mit den möglichen Ursachen eines Prozessausfalls und der Behandlungsmethode (Reduktion, Vermeidung, Transfer, Akzeptanz), je nach Ausprägung des spezifischen Risikos.
In diesem Schritt des Informationssicherheitsprozesses werden die Vorteile einer toolgestützten Umsetzung besonders deutlich, wenn die Risikoanalyse auf demselben Datenbestand aufsetzt wie das Asset-Register und die Business Impact Analyse. Die dokumentierten Assets werden mit relevanten Gefährdungen zu Risikoszenarien verknüpft. Eine Matrix mit hinterlegten Werten vereinfacht die Bewertung des Risikos hinsichtlich seiner Eintrittswahrscheinlichkeit und der Auswirkung, und die Risikoakzeptanzschwelle markiert den sogenannten Risikoappetit der Organisation. Ein ISMS-Tool mit integrierter Rechenlogik kann zudem helfen, den Nutzen von risikoreduzierenden Maßnahmen und das verbleibende Restrisiko nach deren Umsetzung effizient und nachvollziehbar zu bewerten (qualitativ/quantitativ).
Reporting
Die Etablierung eines Informationssicherheits-Managementsystems geht mit wiederkehrenden, aber auch anlassbezogenen (z.B. nach einem Incident) Überprüfungen einher. Demzufolge sollte die Organisation möglichst effektiv und effizient die Parameter ihres ISMS auswerten können, um im Bedarfsfall schnell nachzubessern. Insbesondere in diesem Punkt manifestiert sich die Stärke von ISMS-Tools, weil die betreffenden Daten i.d.R. strukturiert und revisionssicher in einer Datenbank abliegen und mittels Datenbankabfragen zu einem ggf. verschachtelten Report zusammengestellt und zielgruppengerecht aufbereitet werden können (Listen, Kreis- und Spinnennetzdiagramme).
Fazit
Die Umsetzung der NIS2-Richtlinie in nationales Recht verpflichtet über 25.000 neue Organisationen in Deutschland dazu, für einen angemessenen Schutz der verarbeiteten Daten zu sorgen. Die damit einhergehenden Aufwände bei der Planung, Umsetzung, Überprüfung und Verbesserung (PDCA) des Informationssicherheits-Managementsystems können durch den Einsatz eines geeigneten ISMS-Tools wesentlich reduziert werden. Das Spektrum an verfügbaren Lösungen reicht von Tabellenblatt-Template-Kits bis hin zu KI-gestützten Systemen. Es empfiehlt sich deshalb, die Eignung der jeweiligen Lösung vorab in einer Live-Demo oder einer Teststellung zu validieren, da eine Migration im laufenden Betrieb für gewöhnlich hohe zeitliche und finanzielle Mehraufwände verursacht.
Die Akarion GRC Cloud ist ein auf KMU-Bedarfe abgestimmtes ISMS-Tool, welches um Business Continuity, Datenschutz, Audit und Whistleblowing ergänzt und damit zu einem integrierten Managementsystem ausgebaut werden kann.
Lernen Sie das Tool in einer unverbindlichen Live-Demo kennen:
