Informationssicherheit

Informationssicherheit: Unser Beratungs-Verständnis

„Ein gutes Informationssicherheitsmanagementsystem muss nicht teuer sein, keines zu haben kann die Existenz bedrohen.“

Unsere branchenübergreifende Erfahrung in den Bereichen Softwareentwicklung, IT‑Sicherheit und IT‑Infrastruktur sind die Basis für eine umfassende Beratung im Bereich Informationssicherheit. Wir stehen Ihnen auch gern als Informationssicherheitsbeauftragte zur Verfügung. Wir schneiden unseren Leistungsumfang gern individuell auf Ihre Bedürfnisse zu, sodass Sie eine optimale Kontrolle über alle Kosten haben.

Unser Service

Mit unserer langjährigen Erfahrung rund um die IT bildet die Thematik Informationssicherheit einen Schwerpunkt unserer Beratung.

Das Basis unseres Know-hows bildet unser Team: betriebswirtschaftliche, juristische und IT-Kompetenz ergänzt durch langjährige Erfahrung als Berater in der höchsten Managementebene. Dies erlaubt uns Ihnen eine umfassende Beratungsleistung „rund um Informationssicherheit“ anzubieten, vom spezifischen Einzelprozess über Schulungen bis zum Aufbau eines vollständigen Informationssicherheitsmanagementsystems.

Dies bedeutet unter anderem:

  • Aufbau und Implementierung eines Informationssicherheitsmanagementsystems (ISMS)
  • Bestandsaufnahme bestehender Strukturen und Schließen von Lücken
  • Erstellung und Implementierung spezifischer Regelwerke
  • Schulung von Führungskräften und Mitarbeiterinnen/­Mitarbeitern
  • Coaching des/der Beauftragten für Informationssicherheit
  • Externer Informationssicherheitsbeauftragter

Im Rahmen unserer IT-Kompetenz bieten wir Ihnen auch die Funktion des externen Datenschutzbeauftragten an. Erfahren Sie mehr…

Erkenntnis - Leuchtende Glühlampe in einer Wolke

Häufige Fragen (FAQ)

Nein, sicher ist die Verankerung als Thema in größeren Unternehmen häufiger anzutreffen und zwar insbesondere in Unternehmen, die zu den Betreibern sogenannter kritischer Infrastrukturen aus Bereichen wie Strom- und Wasserversorgung, Finanzen oder Ernährung gehören, aber:

  • Der Schutz von Informationen und insbesondere von Geschäftsgeheimnissen betrifft alle Unternehmen
  • Die Haftungsrisiken für Verstöße gegen die Sorgfaltspflichten zur Sicherung der eigenen Infrastruktur sind beispielsweise für einen GmbH Geschäftsführer grundsätzlich nicht anders zu bewerten als für einen Vorstand einer AG
  • Kunden und auch die Öffentlichkeit nehmen heute den Abfluss von Informationen nicht mehr als „Kavaliersdelikt“ wahr. Dabei spielt es keine Rolle, ob es sich um ein börsennotiertes Unternehmen handelt oder nicht. Wie Warren Buffet sagte: „Es dauert zwanzig Jahre, sich eine Reputation zu erwerben und fünf Minuten, sie zu verlieren.

Informationssicherheit betrifft verschiedene Aspekte für die Speicherung und Verarbeitung von Informationen. Es geht gleichermaßen um Vertraulichkeit von Daten, wie auch um die Verfügbarkeit oder die Korrektheit der Daten vor während und nach der Verarbeitung.

Es gibt dazu verschiedene gesetzliche Regelungen, die Unternehmen zum sicheren Umgang mit Informationen verpflichten. Dazu gehört vorrangig die DSGVO, die „Datenschutzgrundverordnung“. Aber auch die GoDB, die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ verpflichten zu einem sorgfältigen Umgang mit den Daten und deren Schutz vor Verlust und Verfälschung. Je nach Art und Leistung eines Unternehmens können weitere Gesetze relevant werden. So verpflichtet beispielsweise das „Telemediengesetz“ (TMG) Diensteanbieter in §13 Abs. 7 zu geeigneten Maßnahmen zum Schutz der Informationen.

Abhängig von der Unternehmensgröße gibt es Verpflichtungen zum definierten Umgang mit unternehmerischen Risiken, zu denen auch die IT-Risiken gehören. Nur wer weiß, welche Informationen er zu welchem Zweck benötigt und was es bedeutet, wenn diese Informationen verloren gehen oder in die falschen Hände fallen, kann auch geeignete Maßnahmen ergreifen, um die bestehenden Risiken zu verringern.

Zudem stellen insbesondere Informationen zu Geschäftsgeheimnissen einen bedeutenden Unternehmenswert dar, der nicht nur einen Vorteil gegenüber Wettbewerbern verspricht, sondern sogar grundlegend für das Geschäftsmodell sein kann. Wer sich jedoch auf ein Geschäftsgeheimnis berufen will, muss seit Inkrafttreten des Geschäftsgeheimnisgesetzes (GeschGehG) am 26. April 2019 darlegen können, dass er sein Know-how durch nach außen hin erkennbare (objektive) und vor allem angemessene Geheimhaltungsmaßnahmen geschützt hat.

Stark regulierte Informationssicherheitssysteme entstehen meist in Unternehmen, bei denen große und spektakuläre Sicherheitsvorfälle aufgetreten sind. In diesen Situationen entsteht durch die Kunden, aber auch durch die Öffentlichkeit ein enormer Druck, zukünftig „alles richtig zu machen“. Dies resultiert dann häufig in dem Zwang, jeden Schritt zu regeln und zu kontrollieren.

Um diesem Druck nicht ausgesetzt zu sein, lautet die erste, trivial klingende Empfehlung: Bauen Sie ein funktionierendes Informationssicherheitssystem (ISMS) auf, bevor „das Kind in den Brunnen gefallen“ ist.

Einer unserer Grundsätze lautet:

Ein gutes Informationssicherheitsmanagementsystem muss nicht teuer sein, keines zu haben kann die Existenz bedrohen.

Das Wichtigste aus unserer Sicht ist zunächst festzustellen, welche tatsächlichen wesentlichen Risiken im Unternehmen aus Sicht der Informationssicherheit bestehen und was an Strukturen und Prozessen bereits vorhanden ist. Es gilt entlang der Risikostruktur des Unternehmens ein Management System zu implementieren, das unter bestmöglicher Nutzung bestehender Ressourcen und Prozesse Risiken minimiert.

Dazu müssen wir das Geschäftsmodell Ihres Unternehmens und Ihre Unternehmensprozesse verstehen. Und deshalb treten wir mit einem Team an, das über langjährige Erfahrung in Führungspositionen von Unternehmen verfügt.

Wir verfahren nach dem Prinzip: soviel Eigenverantwortung wie möglich und nur soviel Regelung, wie erforderlich.

Und last but not least übernehmen wir auf Wunsch auch temporär die Funktion des Informationssicherheitsbeauftragten.

Um den sehr unterschiedlichen Situationen und Anforderungen von Unternehmen gerecht zu werden, bieten wir neben spezifischen Leistungen wie Trainings, Erstellung von spezifischen Richtlinien oder auch der Funktion des externen Informationssicherheitsbeauftragten verschiedene Beratungspakete an.

  • Beratungspaket 1 – Systemprüfung
    • Prüfung auf Implementierung der wesentlichen Elemente eines Informationssicherheitssystems; „Health Check
  • Beratungspaket 2 – Systemprüfung und inhaltliche Prüfung
    • Zusätzlich zu Beratungspaket 1 erfolgt eine inhaltliche Prüfung der Risikoanalyse sowie der wesentlichen relevanten Prozesse und internen Regelwerke.
  • Beratungspaket 3 – Systemprüfung, inhaltliche Prüfung und Umsetzungsprüfung
    • Zusätzlich zu dem Umfang der Beratungspakete 1 und 2 erfolgt hier eine Prüfung der Umsetzung und Anwendung der Organisation, der wesentlichen Prozesse und der in Beratungspaket 2 definierten internen Regelwerke
  • Beratungspaket 4 – Entwicklung und Implementierung eines Management Systems orientiert an den Anforderungen der ISO 27001
    • Hier werden die wesentlichen Elemente des Informationssicherheitssystems – angepasst an das spezifische Risikoprofil und die Geschäftsprozesse Ihres Unternehmens – entwickelt und im Unternehmen implementiert.
  • Beratungspaket 5 – Begleitung und Coaching des internen Informationssicherheitsbeauftragten
    • Dieses Angebot richtet sich insbesondere an Unternehmen, die einen Mitarbeiter neu mit der Aufgabe des Informationssicherheisbeauftragten betraut haben und für diesen Unterstützung und Hilfestellung suchen.