Die Digitaltechnik entwickelt sich ständig weiter, sodass die Speicherung und Sicherheit von Daten heutzutage eine zentrale Rolle für alle Verantwortlichen für Informationssysteme (Chief Information Manager, CIO) spielen. Bedrohungen für die IT-Sicherheit, egal wie groß sie sind, stellen ein beträchtliches Risiko für Systeme und Netzwerke dar. Aus diesem Grund stehen IT-Verantwortliche heute vor der Herausforderung, Leitlinien für eine effiziente und entwicklungsfähige IT-Sicherheit zu erstellen. Glücklicherweise gibt es jedoch Normen wie ISO 27001, ISO 20000 oder ITIL, die dem CIO als Kompass dienen, um die Praktiken im Hinblick auf Datenschutz zu optimieren.
ISO 27001 Zertifizierung: Datensicherheit
Die Zertifizierung nach ISO 27001 ist eine Referenz, was die Sicherheit von Informationen in modernen Unternehmen angeht. Mit ihr weist man nach, dass der Chief Information Security Officer (CISO), also der Verantwortliche für die Sicherheit der Informationssysteme, ein effizientes Informationssicherheits-Managementsystem (ISMS) implementiert hat. Die der Zertifizierung zugrunde liegende Norm liefert Anweisungen, wie das IT-Sicherheitsmanagementsystem umzusetzen, auf dem aktuellen Stand zu halten und zu verbessern ist.
Wenn Sie durch den Status „ISO 27001 zertifiziert“ nachweisen, dass Sie die Best Practices für Computer- und Netzwerksicherheit einhalten, dann stärkt das Ihre Glaubwürdigkeit und hilft Ihnen, neue Kontakte zu knüpfen. Zudem stellt die Zertifizierung einen Wettbewerbsvorteil gegenüber der Konkurrenz und ein Hilfsmittel für die Kundenbindung dar. Weitere Vorteile sind:
● keine finanziellen Einbußen durch Datenschutzverletzungen,
● Erhalt und Verbesserung des Images,
● Steigerung der Produktivität,
● weniger externe Audits …
Bevor das Unternehmen die Anforderungen von ISO 27001 erfüllt und nach einem externen Audit das Zertifikat zuerkannt bekommt, müssen der CISO oder der CIO viel Arbeit bewältigen. Es muss eine wirkungsvolle Information Systems Security Policy (ISSP), also eine Sicherheitspolitik für die Informationssysteme, bestehen, damit die Daten in den IT-Systemen und der Cloud umfassend geschützt sind. Der IT-Verantwortliche hat also die Aufgabe, ein mit der Norm ISO 27001 konformes Informationssicherheits-Managementsystem einzurichten.
ISO 20000: IT-Service-Management
Im Rahmen des IT-Service-Managements spielt die internationale Norm ISO 20000 eine fundamentale Rolle für die kontinuierliche Verbesserung der IT-Management-Systeme. Sie ist sowohl für Unternehmen anwendbar, die ihre eigenen Informationssysteme besser verwalten möchten, als auch für solche, die IT-Dienstleistungen für Dritte anbieten. Die Norm bildet einen umfassenden Rahmen, um Effizienz, Qualität und Verlässlichkeit der IT zu gewährleisten.
Der Schwerpunkt von ISO 20000 liegt auf Informationssicherheit und IT-Service-Management; damit bietet der Standard wertvolle Leitlinien, um die Anforderungen der Informationssysteme zu erfassen. Die Umsetzung dieser Norm ist der sichtbare Ausdruck dafür, dass die betreffende Organisation in der Lage ist, verlässliche und qualitativ anspruchsvolle Dienstleistungen zu bieten, was wiederum ihre Glaubwürdigkeit unterstützt. Gleichzeitig verschafft ihr das einen deutlichen Konkurrenzvorsprung und stärkt das Vertrauen aller Beteiligten, seien es Kunden oder Partner.
Jedes Unternehmen kann sein IT-Service-Management-System durch eine unabhängige Stelle nach der Norm ISO/IEC 20000 – 1:2011 zertifizieren lassen.
PCI DSS Zertifizierung: Sicherheit von Kreditkartendaten
Die Informationen auf Kreditkarten sind sensible Daten, die leider oftmals missbraucht werden. Um sie zu schützen, wurde die PCI DSS Zertifizierung entwickelt. Die Abkürzung steht für Payment Card Industry Data Security Standard. Diese Norm soll sowohl Bankinstituten als auch den Nutzern von Bankdienstleistungen eine hohe Sicherheit bieten.
Die PCI-DSS-Zertifizierung schreibt zahlreiche spezifische Anforderungen vor, die beim Umgang mit vertraulichen Zahlungsinformationen eingehalten werden müssen, um auf diese Weise die Sicherheit dieser Daten zu gewährleisten. Entwickelt wurde dieses Rahmenwerk vom PCI Security Standards Council, einem Zusammenschluss von Kreditkartenanbietern, der sich auch um die Aktualisierung kümmert.
Im PCI Security Standards Council sind so bekannte Unternehmen vertreten wie:
● Visa,
● JCB,
● Discovery,
● Mastercard,
● American Express.
Zu den Informationen auf der Kreditkarte gehören die Kreditkartennummer, das Ende des Gültigkeitszeitraums sowie eine Prüfziffer. Auf diese Angaben sind zahlreiche Hacker aus. Diese besitzen inzwischen oftmals hoch entwickelte Tools und technisches Know-how, um ihr Ziel zu erreichen. Betrügereien, Hackerangriffe und anderer Missbrauch von Kreditkarten kommen heute daher häufig vor und verursachen bei den Opfern hohen Schaden. Aus diesem Grund stellt der PCI-DSS-Standard hohe Anforderungen und ist mittlerweile eine Referenz für die Sicherheit von Zahlungsmitteln geworden.
DSGVO: Konformität und Schutz der persönlichen Informationen
Die DSGVO-Zertifizierung hilft beim Nachweis, dass ein Produkt oder eine Dienstleistung die Richtlinien der Datenschutz-Grundverordnung in Bezug auf den Schutz der persönlichen Daten respektiert. Der Anwendungsbereich der Norm ist relativ umfangreich. Sie kann für eine einzige Dienstleistung oder das ganze Unternehmen gültig sein.
Es ist möglich, verschiedene Medien wie eine Website, eine Software, ein IT-System oder eine mobile App zertifizieren zu lassen. Auch ein Datenschutzbeauftragter (Data Protection Officer, DPO) kann sich das erworbene Wissen am Ende seiner Ausbildung durch eine DSGVO-Zertifizierung bestätigen lassen.
Allerdings ist es nicht Pflicht, die DSGVO-Zertifizierung zu erwerben. Es ist eine freiwillige Vorgehensweise, die sich jedoch positiv auf das Unternehmensimage auswirkt. Daher stützen sich viele CIOs und CISOs auf dieses Rahmenwerk und lassen ihre Maßnahmen für den Datenschutz attestieren. Die IT muss die vom BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit) festgelegten Kriterien erfüllen, um das Zertifikat zu erhalten. Abgesehen von der Umsetzung der zertifizierten Vorgaben, muss der CIO bzw. der CISO dann die Compliance auf Dauer gewährleisten.
ITIL-Zertifizierung für das IT-Management
Die ITIL-Zertifizierung ist ein Bündel an Vorgehensweisen, mit deren Hilfe Organisationen ihre IT-Services von Anfang bis Ende beherrschen. Im Laufe der Zeit wurde das Rahmenwerk mehrfach aktualisiert und überarbeitet und hat sich auf diese Weise an veränderte Anforderungen angepasst.
Die aktuelle Version, ITIL V4, legt einen besonderen Schwerpunkt auf die Einbindung der IT in das Unternehmen. Eine methodische Umsetzung der Prinzipien dieses Rahmenwerks hilft IT-Verantwortlichen dabei, die Risiken besser zu analysieren und dadurch das Risikomanagement zu verbessern sowie die Kosten des IT-Supports zu reduzieren. Auf diese Weise kreiert der CIO ein Ökosystem, das das Wachstum fördert und die Beziehung mit den Nutzern stärkt.
NIST Framework: Risikomanagement für Cybersicherheit
Das NIST (National Institute of Standards and Technology) Cybersecurity Framework wurde von einem Institut entwickelt, das dem amerikanischen Handelsministerium zugeordnet ist. Das NIST Framework ist ein ganzheitlicher Ansatz mit Normen, Leitlinien und Best Practices zur Verbesserung des Risikomanagements für die Informations- und Cybersicherheit.
Das methodische Framework hilft öffentlichen und privaten Organisationen dabei, bestimmte Vorgehensweisen festzulegen, um die Ziele in Sachen Cybersicherheit besser zu erreichen. Es regelt also die Vorgehensweise, wie eine Organisation Risiken identifiziert, ihre Informationssysteme schützt sowie Schwachstellen der IT-Sicherheit erkennt und ausmerzt. Die Norm hilft Unternehmen dabei, ihre Verwundbarkeit in Bezug auf Bedrohungen schnell zu evaluieren, um die notwendigen Sicherheitsvorkehrungen treffen zu können und so den Schutz zu verbessern. Auf diese Weise verschaffen sie sich einen strategischen Vorteil.
Integration der Zertifizierungen in die IT-Strategie des CIO
Zertifizierungen in Verbindung mit der Sicherheit von persönlichen Daten (ISO 27001, ISO 20000, ITIL …) stellen fundamentale Grundlagen dar, um die Sicherheit und Effizienz der Informationssysteme in Unternehmen zu stärken. Sie wirken über die reine Compliance hinaus, denn sie bieten dem CIO und der gesamten IT fassbare Vorteile.
Die Zertifizierung nach ISO 27001 legt den Schwerpunkt auf die IT-Sicherheit und liefert Best Practices, um Datenbestände zu schützen. Die Norm ISO 20000 ist auf das IT-Service-Management ausgerichtet und optimiert parallel dazu die operative Effizienz. Auf diese Weise kann sie sich als Türöffner zum Weltmarkt erweisen.
Die Integration dieser Zertifizierungen in die globale IT-Strategie bietet dem Unternehmen strategische Vorteile. Durch die Umsetzung dieser Normen können CIO und CISO nicht nur Risiken in Bezug auf die Sicherheit der Informationssysteme und Netzwerke senken und dadurch Kosten sparen, sondern sie schaffen gleichzeitig eine Umgebung, die Wachstum und Veränderung begünstigt.
