Als Schweizer Trust Service Provider unterliegen wir umfassenden Regulierungen und erläutern aus eigener Erfahrung die Ziele und Bestandteile eines erfolgreichen ISMS.

Informationssicherheits-Managementsystem (ISMS): Grundlagen und Nutzen 

Ein ISMS wird in der Regel auf der Grundlage international anerkannter Standards wie ISO/IEC 27001 implementiert, die der Organisation einen strukturierten Ansatz zur Planung, Umsetzung, Überwachung und kontinuierlichen Verbesserung der Informationssicherheit bieten. Ziel eines ISMS ist es, Risiken im Zusammenhang mit der Informationssicherheit systematisch zu identifizieren, zu bewerten und zu managen, so dass Organisationen ihre Widerstandsfähigkeit gegenüber Sicherheitsvorfällen erhöhen und den kontinuierlichen Betrieb und die Verfügbarkeit von Diensten und Services aufrechterhalten können. SwissSign setzt ein ISMS als Schweizer Zertifizierungsstelle (Certificate Authority) seit Jahren erfolgreich ein – geprüft durch im Schnitt 13 Audits pro Jahr. 

Die drei Schutzziele eines ISMS: Vertraulichkeit, Integrität, Verfügbarkeit 

Das Hauptziel eines ISMS ist der Schutz der sogenannten CIA-Triade (Confidentiality, Integrity, Availability) der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.

Vertraulichkeit 

Sicherstellen, dass Informationen nur von autorisierten Personen, Systemen oder Prozessen eingesehen, verwendet oder bearbeitet werden können. Dies wird z.B. durch Zugriffskontrollen, Verschlüsselung und strenge Authentifizierungsverfahren erreicht.

Integrität

Sicherstellung, dass Informationen richtig und vollständig sind und nicht unbefugt verändert oder gelöscht werden. Integritätsmassnahmen können durch Mechanismen wie Prüfsummen, Versionskontrolle und regelmässige Backups unterstützt werden.

Verfügbarkeit

Sicherstellen, dass Informationen und Systeme für autorisierte Benutzer jederzeit zugänglich sind, wenn sie benötigt werden. Dies erfordert Massnahmen zur Vermeidung von Ausfällen, zur schnellen Wiederherstellung nach Ausfällen und zur Sicherstellung von Redundanz.

Darüber hinaus zielt ein ISMS darauf ab, ein hohes Mass an Transparenz und Vertrauen zwischen der Organisation und ihren Stakeholdern (Kunden, Mitarbeitende, Partner, Behörden etc.) zu schaffen, indem nachgewiesen wird, dass angemessene Sicherheitsmassnahmen zur Risikominimierung getroffen wurden.

Im Falle von SwissSign sind dies nicht nur Shareholder (die Schweizerische Post) und Kunden (Firmen und Behörden aus der Schweiz, Deutschland, Österreich und vielen anderen Ländern der Welt), sondern auch Aufsichtsbehörden – die etwa die Einhaltung von Signaturvorschriften wie eIDAS und ZertEs überwachen – und Branchenorganisationen wie das CA/Browser-Forum, in dessen Rahmen die grossen Browser-Hersteller (Google, Apple, etc.) mit den Certificate Authorities der Welt zusammenkommen, um die Regeln für sichere SSL / TLS und S/MIME-Zertifikate festzulegen.

Diesen Zwecken dient ein ISMS

Ein ISMS will die Organisation dabei unterstützen, ihre Informations-/Datenressourcen effektiv zu schützen und gleichzeitig die geschäftlichen, rechtlichen und regulatorischen Anforderungen zu erfüllen. Ein ISMS ist nicht nur ein technisches System, sondern ein ganzheitlicher Managementansatz, der technische, organisatorische und menschliche Faktoren berücksichtigt.

Risikomanagement

Ein ISMS versetzt die Organisation in die Lage, Risiken im Zusammenhang mit ihren Daten-/Informationsressourcen systematisch zu identifizieren, zu bewerten und zu behandeln – bei SwissSign müssen wir schlicht sicherstellen, dass jede Person die ist, die sie angibt zu sein, und ihre Daten sichern können . Durch die Anwendung eines risikobasierten Ansatzes kann die Organisation ihre Ressourcen effizient einsetzen, um den relevantesten Bedrohungen zu begegnen.

Einhaltung von Gesetzen und Vorschriften

Viele Branchen und Länder haben strenge Vorschriften in Bezug auf Informationssicherheit und Datenschutz. Ein ISMS hilft der Organisation, diese Anforderungen zu erfüllen, indem es einen systematischen Ansatz zur Informations- und Datensicherheit nachweist. Für SwissSign gelten hier etwa die Europäische DSGVO und das Schweizer DSG oder die Vorgaben vom CA/Browser Forum.

Geschäftskontinuität

Ein gut implementiertes ISMS trägt dazu bei, die Organisation widerstandsfähiger gegen Sicherheitsvorfälle wie Cyber-Angriffe, Informations-/Datenverlust oder Naturkatastrophen zu machen. Es unterstützt die Entwicklung von Notfallplänen und Wiederherstellungsmassnahmen, die sicherstellen, dass der Betrieb und die Bereitstellung von Diensten und Leistungen auch im Krisenfall (soweit möglich) aufrechterhalten werden können (ggf. auch nur minimal) und eine schnellstmögliche Rückkehr zum Normalbetrieb möglich ist. Für eine Organisation wie SwissSign, die die Sicherheit der Kommunikation ihrer Kunden garantiert, ist dies unerlässlich, um überhaupt geschäften zu können.

Vertrauen und Reputation 

Ein ISMS stärkt das Vertrauen von Kunden, Mitarbeitenden, Partnern und anderen Stakeholdern in die Fähigkeit der Organisation, sensible Informationen und Daten zu schützen. Dies ist besonders wichtig in Branchen, in denen der Umgang mit vertraulichen Dienstleistungen, Informationen und Daten eine zentrale Rolle spielt, wie bei SwissSign als Trust Service Provider (TSP), mit unseren digitalen Zertifikaten, elektronischen Signaturlösungen oder auch Dienstleistungen rund um digitale Identitätsnachweise.

Kultureller Wandel

Die Implementierung eines ISMS fördert die Sicherheitskultur innerhalb der Organisation. Die Mitarbeiterinnen und Mitarbeiter werden durch Schulungen und Awareness-Programme kontinuierlich ermutigt, sich der Bedeutung der Informationssicherheit bewusst zu werden und entsprechend zu handeln.

Kosteneffizienz

Ein ISMS hilft, potenzielle Kosten im Zusammenhang mit Sicherheitsvorfällen, Informations- und Datenverlusten oder rechtlichen und regulatorischen Sanktionen zu vermeiden. Durch präventive Massnahmen können Schäden frühzeitig erkannt, reduziert und damit langfristig Kosten gesenkt werden.

Bestandteile eines ISMS

Ein ISMS umfasst mehrere zentrale Komponenten, die zusammenwirken, um die Informationssicherheit einer Organisation zu gewährleisten:

• Richtlinien und Verfahren: Dokumentierte Vorgaben (Policies, Procedures, Arbeitsanweisungen, etc.), die den Umgang mit Informationen und Daten, die Sicherheitsanforderungen und die Verantwortlichkeiten innerhalb der Organisation regeln.

• Risikobewertung: Ein strukturierter Prozess (ORM - Operational Risk Management & BIA - Business Impact Analysis) zur Identifizierung und Bewertung von Sicherheitsrisiken, einschliesslich der Definition von Massnahmen zur Risikobehandlung.

• Technologische Massnahmen: Der Einsatz von Sicherheitslösungen wie Firewalls, Antivirenprogrammen, Verschlüsselungstechnologien und Intrusion Detection bzw. Intrusion Prevention Systemen.

• Organisatorische Massnahmen: Massnahmen wie Zugangs- und Zugriffskontrollen, Sicherheitsüberprüfungen und regelmässige Sicherheitsaudits.

• Schulung und Sensibilisierung: Programme, die die Mitarbeitenden über Bedrohungen, bewährte Sicherheitspraktiken und ihre Rolle beim Schutz von Informationen und Daten informieren.

• Überwachung und Verbesserung: Kontinuierliche Überwachung der Sicherheitsmassnahmen, Durchführung von Audits und Umsetzung von Verbesserungen aufgrund neuer Risiken oder Technologien.

Implementierung eines ISMS: Der PDCA-Zyklus

Die Implementierung eines ISMS folgt häufig einem Plan-Do-Check-Act-Ansatz (PDCA-Zyklus, auch Deming-Zyklus genannt), der sicherstellt, dass das System systematisch aufgebaut und kontinuierlich verbessert wird:

1. Plan (Planen)

• Festlegung des Geltungsbereichs des ISMS

• Identifikation der Informations- und Datenwerte sowie der Risiken

• Entwicklung von Sicherheitsrichtlinien und -zielen

2. Do (Umsetzen)

• Umsetzung der geplanten Massnahmen

• Schulung und Sensibilisierung der Mitarbeitenden

• Implementierung von Sicherheitskontrollen

3. Check (Überprüfen)

• Durchführung von Audits und Sicherheitsbeurteilungen

• Überprüfung der Wirksamkeit der Massnahmen

• Analyse von Sicherheitsvorfällen

4. Act (Handeln)

• Umsetzung von Verbesserungen auf Basis der Ergebnisse des Audits

• Anpassung des ISMS an geänderte Rahmenbedingungen

Herausforderungen und Ratschläge bei der Einführung eines ISMS

Die Einführung und Umsetzung eines ISMS ist keine einfache und leichte Aufgabe und kann mit verschiedenen Herausforderungen verbunden sein:

• Ressourcenmangel: Die Einführung eines ISMS erfordert finanzielle und personelle Ressourcen, die nicht immer ohne weiteres zur Verfügung stehen.

• Widerstand gegen Veränderungen: Mitarbeitende und Führungskräfte können Widerstand gegen neue Prozesse oder zusätzliche Sicherheitsmassnahmen zeigen.

• Komplexität: Die Integration eines ISMS in bestehende Systeme und Prozesse kann technisch und organisatorisch komplex sein.

• Dynamische Bedrohungslage: Die sich ständig verändernde Cyber-Bedrohungslandschaft erfordert eine kontinuierliche Anpassung und Aktualisierung des ISMS.

• Nachweis der Wirksamkeit: Organisationen müssen nachweisen, dass die implementierten Massnahmen wirksam sind, was häufig durch Zertifizierungen wie ISO/IEC 27001 erreicht wird.

Insbesondere für kleinere Firmen – auch SwissSign ist ein KMU – ist ein ISMS also zweifelsohne eine grosse Aufgabe.

Die Basis für alles legen die nötigen Ressourcen, es braucht die strategische Entscheidung und die operative Manpower, um die Einführung und Audits zu managen. Doch auch ein kleines Team kann das schaffen, wenn sich die Mitglieder mit der Branche vernetzen, neueste Trends verfolgen und mit anderen Security-Verantwortlichen nach Best Practices austauschen. Nicht zuletzt müssen sie die Mitarbeitenden Ihrer Organisation mitnehmen, mit ihnen steht und fällt jede Sicherheitskultur.