Reifegradanalyse Informationssicherheit –
Eine erste Bestandsaufnahme
Aller Anfang ist schwer!
Das Sprichwort „Aller Anfang ist schwer!“ ist allseits bekannt und trifft auch auf die Implementierung eines Informationssicherheitsframeworks zu. Die Einführung eines solchen Frameworks erfordert von allen Beteiligten einen offenen Umgang mit Problemen und Kritik. Es werden immer wieder Situationen auftauchen, in denen das „Das machen wir schon immer so“ eine beliebte Aussage sein wird, um den aktuellen, optimierbaren Zustand zu beschreiben. Aber genau diese „Das machen wir schon immer so“ und „Das haben wir bestimmt irgendwo (dokumentiert)“ sind die Punkte, die durch eine erste Reifegradanalyse angesprochen werden sollen. Zusätzlich natürlich zu den Bereichen die bisher ggf. noch nie betrachtet wurden. Eine solche Reifegradanalyse, z. T. auch Audit genannt, spricht alle Teilaspekte der Informationssicherheit an und prüft, wo entsprechende Optimierungsmöglichkeiten bestehen um anschließend einen Plan zur Umsetzung der Möglichkeiten zu erarbeiten.
TISAX
Das Projekt „Unternehmensumzug in die virtuelle Welt“ bei der knooing GmbH hat als ein Teilprojekt die Optimierung der Informationssicherheit. Hier wurde, wie oben beschrieben, eine Reifegradanalyse anhand des VDA ISA – Frameworks (TISAX) durchgeführt. Da die knooing GmbH viele Kunden aus dem Bereich der Automobilindustrie hat und TISAX sich an dem international anerkannten Standard ISO 27001 orientiert, ist die Entscheidung auf eben dieses Framework gefallen.
Analyse
Für die Analyse wurden die 52 Controls aus dem Bereich der Informationssicherheit bzgl. ihres Reifegrades bewertet und die Hinweise aus dem TISAX – Katalog durchgearbeitet. Daraus entstanden ist eine umfangreiche Liste mit möglichen Punkten für eine Optimierung der Informationssicherheit. Diese wird im weiteren Verlauf des Projektes immer wieder herangezogen, um priorisiert die Informationssicherheit bestmöglich für den Umzug in die virtuelle Welt vorzubereiten. Insbesondere das ortsunabhängige Arbeiten stellt die Informationssicherheit und damit die Mitarbeiter vor besondere Herausforderungen. Die klassischen Sicherheitsperimeter fehlen und es müssen entsprechende, alternative Maßnahmen zum Erhalt der Informationssicherheit implementiert werden. Die Maßnahmen werden dabei sowohl organisatorischer als auch technischer Natur sein müssen und es werden viele Neuerungen auf die Mitarbeiter der knooing GmbH zukommen.