Selfmade ISMS E-Book

von

Marcel Schmidt

und

Jennifer Gabriel

© 2022 Marcel Schmidt, Jennifer Gabriel

1. Auflage

Umschlaggestaltung, Illustration: Adobe Stock, chinnarach

Lektorat, Korrektorat: Elisabeth Wilhelm

ISBN Softcover: 978-3-347-58651-2

ISBN E-Book: 978-3-347-58655-0

Druck und Distribution im Auftrag des Autors:

tredition GmbH, Halenreie 40-44, 22359 Hamburg, Germany

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Haftungsausschluss: Jegliche Beschreibungen in diesem Buch wurden von den Autoren nach bestem Wissen und Gewissen hinsichtlich ihrer Richtigkeit zum Stand der Veröffentlichung verfasst. Aufgrund kurzlebiger Ereignisse kann jedoch keine Haftung für die Korrektheit übernommen werden. An diversen Stellen im Buch wird auf externe Webseiten verwiesen, für dessen Inhalte, Aktualität und Verlinkung keine Haftung übernommen wird. Die Inhalte dieser Webseiten werden nicht durch die Autoren zu eigen gemacht. Die Autoren stehen zudem in keiner wirtschaftlichen oder sonstigen Beziehung zu den verlinkten Webseiten oder im Buch genannten Firmen wie Softwareherstellern.

Die Autoren

Marcel Schmidt

Als Marcel 2001 mit der Server- und Netzwerkadministration in die IT-Branche gestartet ist, hat er zunächst eine Ausbildung zum Fachinformatiker absolviert und sich im Laufe der Jahre immer mehr für die IT-Sicherheit interessiert. Seit 2012 ist er voll und ganz als IT-Sicherheitsberater unterwegs und kennt sich bestens mit ISMS Standards aus. Neben seinem Studium der Informatik/IT-Sicherheit an der Friedrich-Alexander-Universität Erlangen/Nürnberg hat er bereits sowohl DAX Top 30 Unternehmen und Landesverwaltungen als auch kleine Familienunternehmen in allen Belangen der Informationssicherheit beraten. Mithilfe seiner gesammelten Erfahrungen konnte er die Zertifizierung zum PECB ISO/IEC 27001 Lead Implementer erreichen. Regelmäßig nimmt er an Sicherheitskonferenzen teil, in denen neue Erkenntnisse der Branche vorgestellt werden.

Jennifer Gabriel

Jennifer ist, nachdem sie sich viele Jahre in ihrer Freizeit damit beschäftigt hat, seit 2007 in der IT-Sicherheit als Quereinsteigerin unterwegs. Von Beginn an konnte sie viele Erfahrungen in renommierten Beratungsunternehmen, im Bereich Penetrationtesting und im Informationssicherheitsmanagement sammeln. 2020 schloss Jennifer ihr Studium Informatik/IT-Sicherheit mit dem Gesamtprädikat „sehr gut“ ab. In der Beratung konnte Jennifer Erfahrung in internationalen sowie DAX Unternehmen sammeln. Ihr spezielles Fachgebiet ist in den vergangenen Jahren der Bereich der kritischen Infrastrukturen (KRITIS) sowie die Finanzbranche geworden wo sie seit 2013 Informationssicherheitsmanagementsysteme in verschiedenen betroffenen Branchen einführt und auditiert.

Vorwort

IT-Sicherheit in kleinen und mittelständischen Unternehmen voranbringen

IT- und Informations-Sicherheit ist ein komplexes Thema und die Umsetzung nimmt oft viel Zeit und viele Ressourcen in Anspruch. Bisherige Angebote zur Umsetzung oder Beratung zu Informationssicherheit in Unternehmen sind oft schwer verständlich oder sehr teuer und daher nicht für kleine und mittelständische Unternehmen (KMU) erschwinglich. Als Resultat sind viele Unternehmen nur unzureichend gegen aktuelle Hackerangriffe geschützt, wissen nicht wie Sie die Cybersicherheit erhöhen oder Compliance zu z.B. Datenschutzvorgaben wie zur EU-DSGVO herstellen können.

Basierend auf ihrer langjährigen Erfahrung in der IT- und Informations-Sicherheit haben die Autoren dieses Buches ein spezielles Framework für KMUs entwickelt, mit dem Sie selbst mit wenig Aufwand viel in der Cybersicherheit erreichen können – Einsteigerfreundlich erklärt.

Lernen Sie mit dem „Selfmade ISMS“ die grundlegenden Best Practices der IT-Sicherheit kennen und erhalten Sie Tipps, wie Sie diese auch selbst direkt umsetzen können. Sie als Geschäftsführer kennen die Risiken Ihres Unternehmens doch am besten oder Sie als IT-Administrator wissen auch genau wo die Probleme in dem von Ihnen verwalteten Netzwerk liegen.

Kommen Sie zielgerichtet zu abgesicherten Unternehmensprozessen und lernen Sie die Gefahren und Herausforderungen der Cybersicherheit im Unternehmensalltag zu bewältigen. Sei es die Bedrohung durch einen Kryptotrojaner, die Frage, wie Sie vertrauliche Daten am besten mit Geschäftspartnern austauschen oder wie Sie Ihre Geschäftsdaten am besten vor technisch bedingtem Datenverlust schützen.

Mit unseren Quick-Wins kommen Sie in 7 Schritten zur Cybersicherheit in Ihrem Unternehmen und erreichen schnelle Ergebnisse und Verbesserung des Sicherheitsniveaus. Sie können eigenhändig Schwerpunkte setzen und so Schritt-für-Schritt zu Ihrem individuell abgesicherten KMU kommen. Hierbei wird auch auf gängige Zertifizierungen wie ISO® 27001, TISAX® oder BSI-Grundschutz eingegangen, wie sie in Deutschland und Europa verbreitet und anerkannt sind und Ihnen einen Wettbewerbsvorteil bringen können.

Das komplexe Thema IT- und Informations-Sicherheit wird hier von Grund auf ausführlich erläutert und bietet den idealen Einstieg in die Welt der Informationssicherheit.

Inhaltsverzeichnis

1. Aufbau

1.1. Einordnung

1.2. Aufbau des Buches

2. Einleitung

2.1. Welche Unternehmen sind gefährdet?

2.2. Warum sollte ich IT-Sicherheit umsetzen?

3. Informationssicherheitsmanagement und Standards

3.1. Governance, Risk, Compliance

3.2. Schutzziele

3.3. ISMS Standards

3.3.1. ISO 27001

3.3.2. BSI IT-Grundschutz

3.3.3. VDS 10000

3.3.4. CISIS12

3.3.5. VDA-ISA (TISAX®)

3.4. Vergleich der Standards und Mapping

4. Das ISMS Framework für KMUs

4.1. ISMS - Informations-Sicherheits-Management-System

Level 1 - Geltungsbereich und Ziele

Level 2 - Verantwortlichkeiten und Dokumentation

Level 3 - Wirksamkeit, Verbesserung und Aktualisierung

4.2. Assetmanagement und Gebrauch von Assets

Level 1 - Assetliste

Level 2 - Zulässiger Gebrauch und Rückgabe

Level 3 - Wiederverwendung und Entsorgung von Datenträgern

4.3. Personalmanagement

Level 1 - Einhaltung der Informationssicherheit und Sensibilisierung

Level 2 - Einstellungsprozess und Änderung der Beschäftigung

Level 3 - Maßregelungsprozess

4.4. Change-Management

Level 1 - Prozessdarstellung

Level 2 - Dokumentation

Level 3 - Notfalländerungen

4.5. Systemsicherheit

Level 1 - Malwareschutz und Datensicherungen

Level 2 - Updates, Monitoring und Protokollierung

Level 3 - Systemhärtung

4.6. Netzwerksicherheit

Level 1 - Netzwerkdokumentation und -separierung

Level 2 - WLAN

Level 3 - IDS/IPS

4.7. Rechtekonzept

Level 1 - Notwendigkeitsprinzip

Level 2 - Passwortanforderungen und privilegierte Zugänge

Level 3 - Notfallbenutzer oder technische Benutzerkennungen

4.8. Verschlüsselung (Kryptokonzept)

Level 1 - Grundlegende Handlungsanweisungen

Level 2 - Anpassung gemäß Empfehlungen von anerkannten Institutionen

Level 3 - Lebenszyklus von Schlüsseln

4.9. Softwareentwicklung

Level 1 - Sicherheitsanforderungen bei der Softwareentwicklung

Level 2 - Change Requests und Abnahmetests

Level 3 - Dokumentation und Versionierung

4.10. Physische Sicherheit

Level 1 - Zutrittsregelung

Level 2 - Physischer Schutz von Sicherheitsbereichen

Level 3 - Versorgungseinrichtungen

4.11. Beschaffung und externe Dienstleister

Level 1 - Management der Dienstleister

Level 2 - Auswahlkriterien und Sicherheitsanforderungen

Level 3 - Überprüfung der Sicherheitsmaßnahmen

4.12. Behandlung von Sicherheitsvorfällen

Level 1 - Meldung und Behandlung von Sicherheitsvorfällen

Level 2 - Kategorisierung

Level 3 - Dokumentation und Nachbehandlung

4.13. Compliance und Datenschutz

Level 1 - Identifizieren von Anforderungen

Level 2 - Einhalten der Anforderungen

Level 3 - Einhalten der EU-DSGVO

4.14. Business Continuity Management (BCM)

Level 1 – Risiken ermitteln

Level 2 - Risiken behandeln

Level 3 - Notfallpläne ausarbeiten

5. Schnellstart für KMUs - zum eigenen ISMS in 7 Schritten

5.1. Zieldefinition, Verantwortlichkeiten festlegen

5.2. Mitarbeitende einbeziehen

5.3. Erfassung der kritischen Unternehmenswerte

5.4. Umsetzung von „Quick-Wins“

5.5. Risikoanalyse und Restrisikomitigierung

5.6. PDCA-Zyklus - Plan für die Zukunft entwickeln

5.7. Audits und optionale Zertifizierung

6. Zusätzliche Aspekte

6.1. Homeoffice und VPN

6.2. Nutzung von externen Cloudangeboten

6.3. E-Mail-Verschlüsselung

7. Anhang

7.1. Checkliste

7.2. Gängige Ports (Auswahl)

7.3. Abkürzungen und Begriffserklärungen

7.4. Register

7.5. Weiterführende Themen

1. Aufbau

1.1. Einordnung

Dieses Buch bildet den Einstieg in das „Selfmade ISMS“, mit dem Sie die Informationssicherheit kennenlernen und umsetzen können. ISMS steht dabei für InformationsSicherheitsManagementSystem oder auch engl. Information Security Management System – ein in diesem Umfeld sehr gebräuchlicher Begriff, da die Informationssicherheit eines Unternehmens mit geltenden Regelungen und Verantwortlichkeiten ganzheitlich gesteuert werden soll. Der Begriff Informationssicherheit bezieht sich auf die Sicherheit aller Daten eines Unternehmens, also auch auf Daten in Papierform, während sich die IT-Sicherheit typischerweise auf elektronisch verarbeitete Daten sowie die dazu verwendete Soft- und Hardware bezieht. Da dieses Buch den ganzheitlichen Charakter des Aufbaus eines ISMS verfolgt, werden hier selbstverständlich auch alle Aspekte der Informationssicherheit betrachtet.

Neben diesem Buch haben die Autoren auch Dokumentenvorlagen ausgearbeitet, die Sie bei der Einführung des ISMS unterstützen können. Diese wurden auf Grundlage der jahrelangen Beratungserfahrung generalisiert erstellt und können leicht an Ihre eigenen Bedürfnisse angepasst werden. Sollten Sie weitere Unterstützung benötigen, können Sie sich auch im persönlichen Gespräch beraten lassen, ein Review Ihrer Dokumentation oder ein Audit beauftragen.

Besuchen Sie gerne auch unsere Webseite:

https://www.selfmade-isms.de

Das Buch nennt Empfehlungen, die einen schlanken Weg zur Umsetzung von IT- und Informationssicherheit im Unternehmen aufzeigen, der bei den meisten KMUs in Deutschland grundsätzlich praktikabel ist. Natürlich kann es immer wieder vorkommen, dass einzelne hier vorgestellte Herangehensweisen nicht in jedem Unternehmen anwendbar sind, da allein schon durch das jeweilige Geschäftsfeld Individuallösungen nötig sein könnten. Jedoch sollten viele Aspekte, die in diesem Buch vorgestellt werden, praktikabel sein. Zudem ist das Buch auch dazu gedacht, Sie selbst in die Lage zu versetzen, eine für Ihre Bedürfnisse gängige Lösung zu finden.

1.2. Aufbau des Buches

In Kapitel 1 erhalten Sie alle wichtigen theoretischen Grundlagen. Fachjargon wird in einfacher Sprache erklärt und ihnen werden die wichtigen Aspekte eines ISMS aufgezeigt. Zur konkreten Definition der Themenfelder eines ISMS finden Sie alle wichtigen Informationen in Kapitel 2. Diese Kapitel bildet auch die Grundlage für die Umsetzungsstrategien, welche in Kapitel 3 behandelt werden.