Die wichtigsten Fragen (und Antworten) rund um ­ISO 27001

Die wichtigsten Fragen (und Antworten) rund um ­ISO 27001

Artikel erschienen in IT Magazine 2022/10

Was nützt die Informations­sicherheit einem ICT-Dienstleister?

Mit einer ISO-27001-Zertifizierung kann ein ICT-Dienstleister seinen Endkunden nicht nur aufzeigen, dass er das Thema Informationssicherheit ernst nimmt. Vielmehr beugt er auch gegen Ausfälle durch Cybervorfälle vor.

Vorbeugen ist besser als heilen
Zuerst einmal das Thema «Kosten eines Vorfalls» und dazu ein Beispiel. Wieviel Umsatz macht Ihre Firma an einem Arbeitstag? Und wieviel kostet ein Arbeitstag an Löhnen, Dienstleistungen und so weiter? Gehen Sie einmal davon aus, dass Sie bei einem Cybervorfall in Ihrer Firma – zum Beispiel bei einer Verschlüsselung Ihrer Daten durch einen Hacker – während Tagen oder vielleicht sogar Wochen weniger oder sogar keinen Umsatz machen werden, je nachdem wie abhängig Sie von der Informatik sind. Zusätzlich zum Umsatzverlust erhöhen sich die Kosten in Ihrer Firma deutlich. Ich spreche von Kosten für die Schadensbehebung und den Wiederanlauf, aber auch für Löhne und Überzeiten, die zu einem späteren Zeitpunkt geleistet werden müssen, um die aufgestauten Arbeiten nachzuholen. In Einzelfällen kann ein solcher Vorfall für eine Firma lebensbedrohlich werden. Laut einer Studie des deutschen Branchenverbandes Bitkom beliefen sich die Schäden durch Cyberangriffe in den Jahren 2020/21 allein in Deutschland auf 220 Milliarden Euro. Wir sprechen also nicht von Bagatellen.

Prüfen Sie folgendes Szenario: Berechnen Sie eine Woche Umsatzverlust und die doppelten Kosten, welche normalerweise in einer Woche anfallen würden. Nun stellen Sie die einmaligen Projektkosten für den Aufbau und die regelmässigen Kosten für den Betrieb der Informationssicherheit in eine Relation zu den Kosten eines solchen Vorfalls. Vergessen Sie nicht: Wenn Sie nichts tun, kann Sie ein Vorfall jederzeit und wiederholt treffen, im schlimmsten Fall mehrmals pro Jahr. Indem Sie Ihre Firma vor Informationssicherheitsvorfällen schützen, vermeiden Sie bestmöglich die hohen Folgekosten. Sie dürfen davon ausgehen, dass der Aufbau und der Betrieb der Informationssicherheit in Ihrer Firma deutlich weniger kosten als die Behebung der Folgeschäden von Vorfällen.

Was bringt die Einführung der Informationssicherheit sonst noch?
Hier zehn mögliche Beispiele:
1. Das Know-how und die Kompetenzen der Mitarbeitenden steigen in Bezug auf Schutz der wertvollen Informationen.

2. Arbeit wird generell transparenter, verbindlicher und nachweislicher erledigt.

3. Projekte und der Betrieb der Informatik werden noch professioneller.

4. Die Verfügbarkeit der Informatik steigt.

5. Personalprozesse sind strukturierter dokumentiert und nachweislicher durchgeführt.

6. Der Umgang mit Lieferanten wird basierend auf den vorhandenen Risiken professionalisiert.

7. Der Umgang mit Veränderungen wird besser gesteuert.

8. Vorhandene Verbindlichkeiten werden besser erkannt.

9. Die Firma ist auf Vorfälle vorbereitet und kann schneller und besser handeln.

10. Das Risikomanagement wird professionalisiert.

Was nützt die Informations­sicherheit den Kunden des ICT-Dienstleisters?

Sofern sich der ICT-Dienstleister durch eine unabhängige und akkreditierte Zertifizierungsstelle auditieren und zertifizieren lässt, können die Kunden des ICT-Dienstleisters darauf vertrauen, dass der internationale Standard ISO 27001 gemäss Vorgaben umgesetzt ist und weiterentwickelt wird. Die Kunden können sich deshalb darauf verlassen, dass die ihrem Dienstleister anvertrauten Informationen bestmöglich informationssicher behandelt werden.

Wichtig ist, dass auch die Zertifizierungsstelle von Bundesstellen regelmässig überprüft und für ihre Zertifizierungstätigkeit offiziell akkreditiert wird. Damit ist sichergestellt, dass sie den höchsten Anforderungen an ihr Personal und ihre Prozesse gerecht wird und somit ihre ­Audits seriös und professionell durchführt. In der Schweiz sind drei Zertifizierungsstellen von der schweizerischen Akkreditierungsstelle zugelassen. Die Details dazu finden sich auf der Webseite der Bundesverwaltung: sas.admin.ch

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER