Informationssicherheit und Datenschutz sind Themen, die in Zeiten von Lockdowns noch um einiges relevanter geworden sind.

Jüngste Beispiele alleine in Deutschland gibt es in Hülle und Fülle: Cyberangriff auf die Justus-Liebig Universität Gießen, Emotet Angriff auf den Heise-Verlag, Cyberangriff auf das Berliner Kammergericht etc.

Noch mehr Sorgen bereitet der Blick auf die internationale Landschaft: Der sog. Solarwinds-Hack hat beispielsweise das Potential die IT-Sicherheit großflächig zu gefährden. Über ein Update der Orion-Software von Solarwinds gelang es Cyberkriminellen, den Trojaner Sunburst weltweit bei tausenden von Behörden und Unternehmen zu installieren. Selbst Microsoft war betroffen. Alarmierend ist dabei: Die Hacker konnten einen Teil des Quellcodes der Firma einsehen. Nun besteht die Möglichkeit, dass die Angreifer Schwachstellen in vielen Microsoft-Produkten gefunden haben, die für weitere bösartige Cyberangriffe genutzt werden könnten.

Ein Beispiel aus ganz anderer Perspektive bietet die Impfkampagne in Niedersachsen: Hier wurde der Datenschutz als Grund aufgeführt, dass Daten aus dem Melderegister nicht für die Informationsschreiben an Impfberechtigte verwendet werden dürfen. Natürlich gab es einen heftigen Aufschrei in der Presse und Social Media, und der Datenschutz stand mal wieder als der „große Verhinderer“ am Pranger.

Wie die Landesdatenschutzbeauftragte Barbara Thiel im Nachhinein klarstellte, war hier jedoch gar nicht der Datenschutz das Problem. (Pressemitteilung des Landes Niedersachsen)

sondern die fachkundige Interpretation der Gesetze und die fachgerechte Umsetzung der erforderlichen Maßnahmen: Es fehlt offensichtlich an allen Ecken und Enden am notwendigen Wissen, und dies wohl auch bei höheren Stellen.

Ganz ohne Frage ist die Sicherheit unserer Daten ein hohes Gut, und diese Sicherheit organisiert umzusetzen keine Aufgabe, die man auf die leichte Schulter nehmen sollte. Die Kunst dabei ist, sich nicht durch überbordende Richtlinien so weit einzuschnüren, dass Unternehmen und Behörden nicht mehr handlungsfähig sind ohne ständig gegen Regeln zu verstoßen. Augenmaß ist hier gefordert, um trotz hohem Grad an Sicherheit die notwendige Agilität nicht zu verlieren.

Dieser Herausforderung haben wir uns als net.DE gestellt und ein Informationssicherheits-Management-System (ich schreibe dieses Lang-Wort hier bewusst mit Bindestrichen – oder lieber gleich kurz: ISMS) nach den Anforderungen der Norm ISO/IEC 27001 für unsere gesamte Organisation etabliert. Die Norm verlangt durchaus vieles. Es wird jedoch nicht verlangt, dass Unternehmen sich rigiden Maßnahmen unterwerfen müssen, die sämtliche Agilität im Keim ersticken. Wenn solches passiert, dann nur durch Überinterpretation oder durch bestimmte Vorgehensweisen, welche sich als „fixe Idee“ in den Köpfen der Verantwortlichen festsetzen. Die Norm zeigt sich nämlich durchaus flexibel und der vorgegebene Rahmen ist an verschiedenste Organisationsformen und bestehende Prozesse adaptierbar.

Die allerwichtigste Vorrausetzung für die erfolgreiche Umsetzung und Betrieb eines ISMS ist aus meiner Sicht ein breites Wissen über die Ziele und Funktionsweise des Systems im gesamten Unternehmen, angefangen von der Geschäftsleitung bis hin zu jedem einzelnen Admin. Dieses Wissen und Bewusstsein kann jedoch nur durch wiederkehrende Schulungen und unterstützende Maßnahmen erzielt werden.

Wenn Sie in Ihrem Unternehmen oder in Ihrer Behörde also Fragen oder Herausforderungen aus dem Bereich der Informationssicherheit haben, scheuen Sie sich nicht, mit uns Kontakt aufzunehmen!

Wir als net.DE stehen Ihnen sehr gerne als fachkundiger und kompetenter Partner in allen Bereichen der Informationssicherheit, IT-Sicherheit und dem Datenschutz mit unseren Serviceleistungen in und um unsere Datacenter zur Seite!

Herzlichst,
Ihr Peter Sager