Home / Aktuelles & Termine / it.sec blog

In diesem Beitrag werden fünf in der Praxis oft anzutreffende Fallstricke benannt, die bei einem Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) einer kritischen Infrastruktur besser vermieden werden sollten.

Fehler Nr. 1: Das ISMS falsch ausrichten

Noch vor Inkrafttreten des IT-Sicherheitsgesetzes wurden insbesondere im Energiesektor zahlreiche Projekte ausgeschrieben, die faktisch zu einem ISMS führen, das nur bedingt mit dem IT-Sicherheitskatalog der Bundesnetzagentur im Einklang steht.

Hier ist der Fehler, zu Beginn eines ISMS-Projekts nicht präzise erhoben zu haben, welche Anforderungen tatsächlich zu erfüllen sind. Das ISMS ist jedoch nur so passgenau, wie in seiner Spezifikation angelegt. Eine fehlerhafte Spezifikation verschlingt unnötig viele Ressourcen. Ein ISMS ist ein fortlaufender Prozess und kein irgendwann mal abgeschlossenes Projekt.

Fehler Nr. 2: Das ISMS falsch steuern

Die Zielgenauigkeit und Wirksamkeit eines ISMS hängt maßgeblich davon ab, ob im Rahmen der Risikoanalyse die richtigen Risiken erkannt und anschließend verantwortungsgerecht behandelt werden. In der Praxis ist jedoch ausgerechnet die Risikoanalyse oft das ungeliebte Stiefkind:

  • Hier werden entweder solche Methoden verwendet, die ein bereits vorhandenes oder billig erwerbbares Tool unterstützt, unabhängig davon, ob das wirklich zu dem Kontext der kritischen Infrastruktur passt.
  • Oder es werden ausschließlich vordefinierte Gefährdungskataloge eingesetzt, ohne zu prüfen, ob kontextbezogen ggf. eine andere Gefährdung zusätzlich bzw. vorrangig betrachtet werden sollte.

Hier ist der Fehler, dass eine Risikoanalyse als lästige Übung angesehen wird. Ein ISMS wird aber tatsächlich im Wesentlichen über eine adäquate Betrachtung der Risiken gesteuert.

Fehler Nr. 3: Den falschen IT-Sicherheitsbeauftragten einsetzen

Die Güte eines ISMS steht und fällt in der Praxis mit dem IT-Sicherheitsbeauftragten bzw. Informations-Sicherheitsbeauftragten (SiBe). Doch gerade bei der Besetzung dieser Funktion werden besonders viele Zugeständnisse zugunsten des operativen Geschäfts gemacht oder Funktionsträger faktisch in operative Interessenskonflikte gebracht.

Hier ist der Fehler, die Aufgaben des SiBe zu unterschätzen. Die tatsächlich geforderte Aufgabenvielfalt erfordert erfahrene und für Informationssicherheit ausdrücklich ausgewiesene Spezialisten. Und die findet man oft nur bei externen Beratungshäusern.

Fehler Nr. 4: Die falschen Dinge regeln

Wohlklingende Regelungen in Sicherheitskonzepten oder Organisationsrichtlinien sind nutzlos, wenn diese nicht der Praxis entsprechen und/oder nicht effizient überprüfbar sind. Bei einem ISMS werden Schutzvorkehrungen im Rahmen der Risikobehandlung festgelegt. Simplifizierte Musterpolicies oder Dokumentationen „von der Stange“ helfen daher ebenso wenig, wie Regelungen, die für den Anwender nicht klar verständlich sind oder in der Praxis nicht umgesetzt werden.

Hier ist der Fehler, die organisatorischen Vorgaben als Zielsetzung und nicht als Beschreibung der Umsetzung anzusehen. Solche Inkonsistenzen führen in der Praxis dazu, dass vorgesehene Maßnahmen wirkungslos sind und der Eindruck entsteht, dass ja schon das Wesentliche mit der Festlegung des Ziels bei einem ISMS gemacht sei.

Fehler Nr. 5: Sicherheitsvorfälle falsch adressieren

Der Schutz kritischer Infrastrukturen hängt oft empfindlich vom Aufbau eines wirksamen Security Incident Response Managements ab. Dabei ist sowohl wichtig, wie man entsprechende Vorfälle einstufen und dementsprechend behandeln sollte als auch wie man aufgestellt sein muss, um mit Vorfällen adäquat umgehen zu können (Incident Response Readiness).

Hier ist der Fehler, das Vorfallmanagement erst damit beginnen zu lassen, wenn und wie ein Vorfall gemeldet wird. Im Zuge eines konsequenten Incident Response Managements ist dafür zu sorgen, dass nach einer Ausnahmeregelung wieder geordnet in den Regelbetrieb übergegangen wird.

Bernhard C. Witt

Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit

bcwitt@it-sec.de

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics hacken Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Malware Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31