Informationssicherheit nach ISO 27001 – die Perspektive eines Notarsoftwareherstellers und IT-Dienstleisters der Justiz
Informationen haben sich vor allem in der jüngeren Vergangenheit zu einem der wichtigsten Rohstoffe bzw. zu einer der wertvollsten Waren unserer Gesellschaft entwickelt. Sie sind heute ein essenzieller Wert in den Geschäftsprozessen von Unternehmen und öffentlichen Einrichtungen. Mit der Bedeutung von Informationen wächst auch die Bedeutung der Informationssicherheit. Oberste Schutzziele sind die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten.
Digitale Technologien prägen heute unseren Alltag. Das hat Einfluss auf die Informationsgewinnung und auf die Informationsverarbeitung. Immer mehr Informationen werden mit vielfältigster und komplexester Technologie verarbeitet und durch unterschiedlichste Medien transportiert. Im digitalen Informationszeitalter sind Informationen gerade deshalb besonderen Gefahren ausgesetzt, die mit der Digitalisierung von Geschäftsprozessen, der digitalen Transformation von Organisationen und der digitalen Information selbst einhergehen. Besondere Herausforderungen der Informationssicherheit sind u.a. die dezentrale Speicherung von Daten, die Auslagerung von Dienstleistungen – z.B. komplexe Informationsverarbeitung durch Software as a Service (SaaS) und Infrastructure as a Service (IaaS) oder Auslagerung einzelner Unternehmensaufgaben – und immer kürzer werdende Innovationszyklen.
Die genannten Herausforderungen finden sich in unterschiedlicher Form auch im Notariat wieder, so zum Beispiel, wenn Hard- und Systemsoftware einschließlich deren Betreuung in einem Mietmodell durch einen externen Dienstleister bereitgestellt werden (IaaS). Bei notarieller Anwendungssoftware von SaaS zu sprechen, wenn diese gemietet wird, trifft den Kern des Begriffes nur bedingt, weil Betrieb und Datenspeicherung i.d.R. im Notariat selbst erfolgen; externe Zugriffe für Support und Service (z.B. bei Softwareupdates, bei regelmäßiger Weiterentwicklung oft in sehr kurzen Innovationszyklen) sind jedoch auch hier die Regel, sodass ein entsprechender Schutzbedarf entsteht. Ein solcher Schutzbedarf besteht natürlich auch da, wo im Notariat bereits auf webbasierte Lösungen zugriffen wird; Beispiele hierfür sind das Zentrale Testamentsregister (ZTR), das Zentrale Vorsorgeregister (ZVR), das besondere elektronische Notarpostfach (beN) und – seit dem 1. Januar 2022 – das elektronischen Urkundenarchiv.
Mit dem Wert von Informationen steigt auch die kriminelle Energie, der Informationen ausgesetzt sind. In 2020 verzeichnete das BKA 108.000 Delikte und damit erneut 7,9 % mehr als im Vorjahr. Brisant ist hierbei, dass die Vorfälle unabhängig von der Unternehmensgröße sind. Der Risikowert von Informationen und die Wahrscheinlichkeit eines Vorfalls steigen, und der eintretende Schaden kann die betroffene Organisation hart treffen.
Eine besondere Herausforderung sehen wir im Wandel der Informationsverarbeitung und der ihr zugrunde liegenden Architekturen. Wir treffen heutzutage an vielen Stellen auf Microservice-Architekturen unter Verwendung von Cloud-Services und auf besonders smarte Programmiersprachen bzw. Frameworks, deren Idee es ist, die Komplexitäten der Datenverarbeitung abzubauen und die Effizienz der Softwareentwicklung zu steigern. Hierbei verschwimmen Grenzen: Informationen liegen immer häufiger an unterschiedlichen Stellen im System oder gar in unterschiedlichen Systemen vor – und immer bzw. überall müssen sie geschützt sein. Informationssicherheit kann daher nicht mehr abgegrenzt im Unternehmen allein betrachtet werden, sondern setzt immer eine ganzheitliche Betrachtung entlang der gesamten Wertschöpfungs- bzw. Zulieferkette voraus und umfasst auch organisatorische Prozesse.
ISO 27001
Der Standard ISO 27001 der International Standards Organization (ISO) ist eine internationale Norm, die Anforderungen an die Einrichtung, diie Umsetzung, die Aufrechterhaltung und die laufende Verbesserung von Informationssicherheitsmanagementsystemen (ISMS) stellt. Sie ist das zentrale und wichtigste Element aus der ISO 27000 Standardfamilie.
Ein (Informationssicherheits-) Managementsystem umfasst dabei alle Konzepte, Regelungen, Maßnahmen sowie Werkzeuge und Technologien, die auf die Wahrung der Informationssicherheit hinwirken. Die Norm unterstützt die anwendende Organisation dabei, Risiken adäquat zu beurteilen und zu handhaben. Im Aufbau folgt sie der ISO 9001 – Qualitätsmanagement. So ist es möglich – und es wird bei Westernacher-Solutions auch so gehandhabt – die Themen Qualität und Informationssicherheit nicht isoliert, sondern zusammenhängend zu betrachten, so dass Synergien beispielweise im Risikomanagement, in der Ressourcenplanung und in der Überwachung entstehen.
Ein Praxisbeispiel:
integriertes Managementsystem bei Westernacher Solutions
Ein Credo von Westernacher Solutions lautet „Digitalisierung. Mit Sicherheit.“ Es gehört zu unserem Selbstverständnis, die digitale Transformation unserer Kunden unter Einhaltung schutzbedarfsgerechter – d.h. aufgrund einer Abwägung von Schutzbedarf und Risikowert auf der einen und Funktionalität auf der anderen Seite als optimal erkannter – Sicherheitsstandards zu unterstützen.
Um dies auch in unseren Unternehmensstrukturen zu festigen, arbeiten wir mit einem integrierten Managementsystem, das eine unternehmensweit gültige Politik zum Umgang mit Qualität (QMS nach ISO/IEC 9001), Informationssicherheit (ISMS nach ISO/IEC 27001) und Datenschutz (nach DSGVO) festschreibt. QMS und ISMS sind als skalierbare Frameworks konzipiert und werden in einem umfassenden und lokal unabhängigen Managementsystem kombiniert.
Was bedeutet das für den Arbeitsalltag?
Am Produkt wird der Einsatz eines ISMS (bzw. IMS) nur mittelbar sichtbar: Produkte werden sicherer, weil das ISMS die Herstellung der Sicherheit unterstützt. Unmittelbar sichtbar wird das ISMS jedoch an den Strukturen, die es regelt bzw. schafft. So sind im ISMS bspw. Verantwortlichkeiten klar geregelt, und Rechte und Pflichten sind zielgerichtet getrennt. Auch vereinfacht das System die Revision von Vorfällen, die möglicherweise Auswirkungen auf die Informationssicherheit haben können – eine Grundvoraussetzung für einen permanenten Optimierungsprozess. Risiken für die Informationssicherheit werden in strukturierten Vorgehensweisen qualifiziert analysiert, bewertet und behandelt.
Im Lieferantenmanagement wirkt das ISMS auch über das eigene Unternehmen hinaus, indem Anforderungen aus dem ISMS an Lieferanten und Kooperationspartner weitergegeben werden; die Umsetzung wird im Rahmen des ISMS überwacht.
Verstärkende Wirkung hat das ISMS da, wo Informationssicherheit eine Frage des Bewusstseins ist. Untersuchungen des Bitkom zeigen, dass Unternehmen insbesondere durch Sicherheitsvorfälle betroffen sind, die von Mitarbeitern ausgehen. 70 % der Befragten gaben an, hiervon betroffen (gewesen) zu sein[1]. I.d.R. passiert dies nicht aus bösem Willen, sondern aus Mangel an Bewusstsein. Das ISMS entfaltet nicht zuletzt gegenüber dieser Kategorie möglicher Schadensursachen große Wirksamkeit, denn Informationssicherheit wird durch das ISMS omnipräsent. Nahezu alle Prozesse im Unternehmen haben einen Bezug zur Informationssicherheit. Die Belegschaft weiß um die Gefahren, und mit dem ISMS werden diese noch in den Fokus ihres Handelns gerückt.
[1] 49 % der Befragten sahen Angriffe aus dem unternehmerischen Umfeld. 38 % der Befragten berichten von Angriffen durch Privatpersonen (sog. Hobby-Hackern).