• © shutterstock.com by Myvisuals

Informations­­sicherheits­­management

Informationssicherheit ist durch die zunehmende Digitalisierung von Geschäftsmodellen und -prozessen ein zentraler Faktor für Ihren Geschäftserfolg. Informationen sind eine kritische Ressource in Unternehmen, Behörden und Organisationen.

Ihr Schutz vor unbefugter Kenntnisnahme, Veränderung oder Verlust ist wichtiger denn je. Cyberattacken können Unternehmen existenziell gefährden und deren Reputation nachhaltig und gravierend beeinträchtigen. Der Ausfall von IT-gestützten Dienstleistungen oder IT-gestützter Produktion – und sei er auch nur vorübergehend – kann zudem für Unternehmen zu signifikanten Umsatzeinbußen bzw. Kosten führen.

Beim Schutz dieser Informationswerte muss ein gesamtheitlicher Ansatz her, der technische Sicherheitsmechanismen mit organisatorischen Maßnahmen vereint. Einen solchen Ansatz verfolgt ein Informationssicherheits-Managementsystem, kurz ISMS. Ein effizientes ISMS umfasst nicht nur die physische Absicherung des Unternehmens, die Zugriffskontrolle auf Dateien oder die Einhaltung von Gesetzen und Richtlinien, sondern fängt bereits beim einzelnen Mitarbeiter und dessen Schreibtisch an. Die nachhaltige Umsetzung und ständige Verbesserung zeichnet ein ISMS erst aus.

Informations­­sicherheits­­management nach ISO/IEC 27001

Der weltweit anerkannte Standard im Bereich der Informationssicherheit ist die ISO-Norm 27001. Die ISO/IEC 27001 beinhaltet eine umfassende Sammlung von in der Praxis bewährten Verfahren (“best practices”) für das Management von Informationssicherheit, wobei die Aktivitäten und Maßnahmen auf einer vorhergehenden Risikoanalyse basieren.

Ein besonderer Vorteil der ISO/IEC 27001 ist die weltweite starke Verbreitung sowie die Möglichkeit der individuellen Ausgestaltung des zu modellierenden Information-Security-Management-Systems. Nicht zuletzt ist aber ebenfalls die flexible Erweiterung der Norm um anwendungsfallspezifische Szenarien hervorzuheben. So existieren Erweiterungen der Norm beispielsweise für Cloud‑Services (ISO/IEC 27018), Telekommunikationsservices (ISO/IEC 27011), Outsourcing (ISO/IEC 27036) sowie für Versorgungsunternehmen (ISO/IEC TR 27019) u. v. m.

Die Umsetzung und Auditierung des Managementsystems nach ISO/IEC 27001 erfolgt auf Basis festgeschriebener Prüfpunkte innerhalb der Prozesse, die als Controls bezeichnet werden. Zentraler Kern der Modellierung eines zertifizierbaren ISMS ist somit die Dokumentation und Umsetzung der anwendbaren Controls.

© shutterstock.com by ESB Professional

ISMS im Krankenhaus

Krankenhäuser und viele andere Einrichtungen des Gesundheitswesens tragen in mehrfacher Hinsicht eine besondere Verantwortung für die Resilienz ihrer IT-Infrastrukturen. Die Versorgung von Patientinnen und Patienten mit Unterstützung modernster IT-Systeme muss ebenso zuverlässig gewährleistet sein wie der Schutz sensibler Patientendaten.

Öffentlich bekannt gewordene IT-Sicherheitsvorfälle in Kliniken und Krankenhäusern zeigen, dass medizinische Einrichtungen zunehmend gezielt, aber auch ungezielt Opfer eines Cyber-Angriffs werden können. Zuletzt berichtete das Bundesinstitut für Sicherheit und Informationstechnik über die verheerenden Entwicklungen der IT-Sicherheit. 13 Tage lang konnte ein Universitätsklinikum nach einem Ransomware-Angriff keine Notfall-Patienten aufnehmen.

ISMS in Krankenhäusern

Erhöhte Anforderungen durch das Patientendatenschutzgesetz (PDSG)

Im Oktober 2020 wurde das Patientendaten-Schutz-Gesetz (PDSG) beschlossen; ein Artikelgesetz, welches viele andere Gesetze verändert bzw. ergänzt. Darunter auch den § 75c SGB V. Dort heißt es nunmehr in einer Ergänzung:

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

Somit sind nunmehr alle Kliniken/Krankenhäuser verpflichtet bis 01.01.2022 angemessene Maßnahmen zur Erhöhung der IT-Sicherheit umzusetzen und können hierzu nach § 8a Abs. 2 BSI-Gesetz vom Bundesamt für Sicherheit in der Informationstechnik bestätigten branchenspezifische Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus anwenden. Unter „angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit“ wird ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) verstanden. Solch ein ISMS beschreibt auch der in § 75c SGB V Abs. 2 genannte branchenspezifische Sicherheitsstandard für die medizinische Versorgung (B3S).

Weitere Normen und Standards

Darüber hinaus gibt es weitere Normen und Standards für das Management der Informationssicherheit. So z. B. der nationale IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der IT-Grundschutz ist gegenüber der ISO/IEC 27001 weitaus monolithischer ausgestaltet. Dieser Standard zielt vorrangig darauf ab, ein tatsächliches Sicherheitsniveau herzustellen, und wird vorrangig im Behördenumfeld eingesetzt.

Der IT-Grundschutz definiert dabei eine Reihe von Abgrenzungen von IT-Services oder dafür notwendiger Bestandteile in Form abstrakter Bausteine. Diese Bausteine unterliegen dabei spezifischen Gefährdungen, denen mit konkreten Maßnahmen begegnet werden muss. Neben den Bausteinen sind ebenfalls die Gefährdungen sowie die umzusetzenden Maßnahmen fest definiert. Bei vollem Umfang müssen rund 1.600 Maßnahmen umgesetzt werden, was im Rahmen von Zertifizierungen in Form von Prüffragen auditiert wird. Die Anzahl der Prüffragen liegt dabei bei über 15.000.

Seit 2015 existieren ferner die branchenneutralen VdS-Richtlinien 3473. Sie basieren auf den anerkannten Standards ISO 27001/2 und BSI-Grundschutz und sind ein speziell auf kleine und mittlere Unternehmen zugeschnittener Maßnahmenkatalog, mit dem der Informationssicherheitsstatus eines Unternehmens verbessert werden kann. Mit geringerem Aufwand im Vergleich zu ISO/IEC 27001 können kleinere und mittlere Unternehmen aus den VdS-Richtlinien Prozesse definieren und Maßnahmen ableiten, mit denen sie im IT-Bereich ein angemessenes Schutzniveau erreichen. Zusätzlich wurden die VdS-Richtlinien aufwärtskompatibel gestaltet. Dadurch kann eine Zertifizierung nach VdS 3473 auch jederzeit der Einstieg in die ISO-27000er-Reihe sein.

Nutzen eines Informations­sicherheits­managementsystems

In der Folge der Etablierung eines Informationssicherheitsmanagementsystems (ISMS) ergeben sich typische Nutzwerte für ein Unternehmen, wie beispielsweise:

  • Ein professionell umgesetztes ISMS verfolgt einen ganzheitlichen Ansatz und gewährleistet den Schutz der Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Informationen und Belastbarkeit der IT-Systeme (gemäß EU-DSGVO), die Grundlage für Ihren wirtschaftlichen Erfolg sind.

  • Ein ISMS unterstützt Ihre Organisation bei der Herstellung von Transparenz in Bezug auf Risiken entstehend aus Geschäfts- und IT‑Prozessen sowie bei der Herstellung von Entscheidungsgrundlagen für das Management und Umsetzungsstrategien für die operativen Bereiche gleichermaßen.

  • Mit Hilfe eines ISMS können gesetzliche Anforderungen oder Anforderungen der eigenen IS‑Revision umgesetzt und laufend angepasst werden.

  • Durch den Aufbau eines ISMS werden Ihre Prozesse unternehmensweit an dem erforderlichen Sicherheitsniveau ausgerichtet, wobei alle sicherheitsrelevanten Prozesse berücksichtigt werden. Durch unsere Erfahrung und durch den ganzheitlichen Ansatz wird Ihr ISMS geschäftsprozessorientiert ausgerichtet.

  • Die Ergebnisse des Risikoanalyse-Prozesses und/oder einer sog. Business-Impact-Analyse können als Entscheidungsgrundlage dienen. Unzureichende oder fehlgeleitete Investitionen, die am tatsächlichen Bedarf vorbeigehen, werden somit vermieden.

Hier finden Sie unsere Lösungsansätze rund um die Themen IT- und Informationssicherheit sowie unsere branchenspezifischen Lösungen:

Bestandsaufnahme/GAP-Analyse nach ISO/IEC 27001

Vor dem Start eines ISMS-Implementierungsprojekts gilt es zunächst zu untersuchen, ob und inwiefern bereits Prozesse und dazugehörige Maßnahmen etabliert wurden und in welchem Status sich diese befinden. Dabei werden Lücken (sog. GAPs) identifiziert und unsere Experten geben konkrete Handlungsempfehlungen für den direkten Weg zur erfolgreichen Zertifizierung.

Stellung eines Informationssicherheitsbeauftragten (ISB)

Teils gesetzlich gefordert, aber auch im Falle einer Zertifizierung ist die Benennung eines Informationssicherheitsbeauftragten (ISB) notwendig. Der Informationssicherheitsbeauftragte (ISB) ist zuständig für alle Belange der Informationssicherheit innerhalb der Organisation des Auftraggebers. Er unterstützt die Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit.

Wir stellen einen qualifizierten Experten, der die Rolle des Informationssicherheitsbeauftragten (ISB) in Ihrem Unternehme/in Ihrer Organisation übernimmt.

Cyber-Versicherungscheck

Cyberversicherer setzen in der Regel voraus, dass die Organisation Mindeststandards im Bereich IT- und Informationssicherheit umgesetzt hat. Dies kann mittels eines Quick-Checks (bspw. nach VdS-Standard) nachgewiesen werden.

Unterstützungsleistungen bei der Implementierung eines Informationssicherheitsmanagementsystems (ISMS)

Die Komplexität der Normen und Standards bzw. der darin beschriebenen Anforderungen erfordert eine individuelle und pragmatische Herangehensweise. Die AuraSec GmbH unterstützt Sie dabei, ein Ihren individuellen Ansprüchen gerecht werdendes Informationssicherheits-Managementsystem (ISMS) auf Basis anerkannter Standards wie IT-Grundschutz, ISO/IEC 27001 oder VdS 3473 zu gestalten und umzusetzen.

Durch unser normenkonformes und erprobtes Vorgehensmodell stellen wir sicher, dass wir gemeinsam mit Ihnen sowohl zielgerichtet und strukturiert auf eine Zertifizierung hinarbeiten als auch ein nachhaltig anwendbares und Ihre Organisation unterstützendes ISMS modellieren und implementieren. Ferner beinhaltet das Vorgehensmodell bereits einen PDCA-Zyklus im Rahmen des Implementierungsprojektes, sodass auch diese Voraussetzung der etablierten Zertifizierungsstellen eingehalten bzw. sichergestellt wird.

In einer optionalen „Training-on-the-job“-Variante bilden wir Ihren intern beauftragten Informationssicherheitsbeauftragten (ISB) innerhalb des Einführungsprojekts mit aus.

Lieferanten-Audit nach ISO/IEC 27001

Zu einem Informationssicherheits-Managementsystem (ISMS) gehört die regelmäßige Überprüfung der wichtigsten Lieferanten. Die AuraSec führt in Ihrem Auftrag ein Lieferantenaudit durch und erstellt einen ausführlichen Prüfbericht, der als Nachweis bspw. auch im Kontext der Auftragsverarbeitung (nach EU-DSGVO bzw. BDSG) dienen kann.

IT-Notfallmanagement / Business Continuity Management

Auf Basis einer gründlichen Evaluation, d. h. nach ausführlicher Analyse und Einschätzung von Informationswerten, Prozessen, Organisationseinheiten und deren Abhängigkeiten in Ihrem Unternehmen erstellen wir ein für Sie abgestimmtes Notfallkonzept zur Vermeidung von Datenverlust, zur effizienten Minimierung der Ausfallzeiten und damit verbundener Kosten im Schadensfall. Hierbei orientieren wir uns an gängigen Standards wie ISO 22301 und BSI 100-4 bzw. 200-4.

Penetrationstests und Schwachstellenanalyse

Unsere Penetrationstests überprüfen die Sicherheit Ihrer IT-Systeme und Netzwerke. Dadurch schützen Sie Ihr Unternehmenswissen vor fremden Zugriffen. Sie bestimmen, was wir prüfen, und legen den Umfang und Ansatzpunkte des Penetrationstests individuell fest. Sie können frei wählen, ob wir beim Penetrationstest nur Ihre extern zugänglichen Systeme oder auch Ihre interne IT und Infrastruktur oder beides testen. Zudem legen Sie die Tiefe der jeweiligen Tests fest.

Prüf- und Nachweisverfahren für kritische Infrastrukturen

Am 24.07.2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz „IT-Sicherheitsgesetz“ (IT-SiG) in Kraft getreten. Das Gesetz fordert von Betreibern „kritischer Infrastrukturen“, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, u. a. folgende Maßnahmen, die im novellierten BSI-Gesetz (BSIG) unter § 8a (1) zu finden sind:

Betreiber kritischer Infrastrukturen sind demnach verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (BSI-KritisV) angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Ferner muss mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeignete Weise nachgewiesen werden. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Unsere Lead-Auditoren verfügen über branchenspezifische Erweiterungen und sind somit für die Auditierung kritischer Infrastrukturen zugelassen/akkreditiert.

CORONA - Technische Sicherheitsüberprüfung/Pentesting

IT-Sicherheitsexperten warnen vor einer erhöhten Gefahr von Cyberangriffen in der Coronavirus-Krise.
Fast alle Malware-Familien zeigen verstärkte Aktivität.

Cyber-Attacken nehmen deutlich zu und werden immer ausgefeilter, aggressiver und gezielter. Die Angreifer haben verschiedenste Ziele, meistens geht es aber um die Erpressung von Lösegeldern, den Diebstahl von Ressourcen und Informationen. Sie nutzen dabei kreativ und aggressiv eine Vielzahl möglicher Schwachstellen aus. Dies können ungepatchte Systeme, Fehler in selbstentwickelten Anwendungen oder unsichere
Konfi gurationen sein.

Ziel eines Penetrationstests ist es, mit den Methoden eines Hackers Schwachstellen zu identifi zieren, die es erlauben, Systeme zu kompromittieren, vertrauliche Informationen zu stehlen oder die Verfügbarkeit von Diensten zu beeinträchtigen.

Produktdatenblatt

Phising-Attacken in der CORONA-Krise - E-Learning für Mitarbeiter

ERHÖHTE GEFAHR VON PHISHING-ATTACKEN IN DER CORONA-KRISE

Sensibilisierung der Mitarbeiter mittels E-Learning

IT-Sicherheitsexperten warnen vor einer erhöhten Gefahr von Phishing-Attacken in der Coronavirus-Krise. Mittels Phishing-Mails zu Coronavirus-Themen versuchen Online-Kriminelle Ängste von Mitarbeitern auszunutzen. Beim Anklicken der Links wird der Nutzer dann an eine Phishing-Seite weitergeleitet oder es lädt sich im Hintergrund Schadsoftware. Fast alle Malware-Familien zeigen aktuell verstärkte Aktivitäten.
Sind Ihre Mitarbeiter ausreichend informiert und sensibilisiert? Wir unterstützen Sie im Rahmen eines E-Learnings (as-a-Service).

Produktdatenblatt

Senden Sie uns gerne eine unverbindliche Anfrage

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!