Nur wenn Datenschutz- und Sicherheitsstandards international gelten, greifen sie wirklich
Fakt ist: Bei jeder einzelnen digitalen Anwendung entstehen Daten, weltweit in unvorstellbar großer Zahl. Und solange es keine einheitlichen und für alle Unternehmen verbindlichen internationalen Datenschutz- und Sicherheitsstandards gibt, wird Datenschutz ein Problem und das Sammeln, Speichern und Managen von Daten ein potentielles Sicherheitsrisiko bleiben.
Was es also braucht, ist eine wirksame internationale Struktur, die Unternehmen und Firmen überzeugt, sich an grundlegende Sicherheitsstandards zu halten. Besonders wichtig ist das vor dem Hintergrund der neuen Entwicklungen rund um die Industrie 4.0. Nur mit international anerkannten Sicherheitsmanagement-Standards kann nachhaltig gewährleistet sein, dass Geschäftspartner, Kunden und Verbraucher Vertrauen in die neuen Informationstechnologien und Systeme haben.
Information Security Management: Welche Organisationen setzen sich international für Informationssicherheit ein?
Gegenwärtig setzen sich in Europa sowie weltweit verschiedene Organisationen für Informationssicherheit ein, die sich austauschen und zusammenarbeiten. Dabei agieren Organisationen und Institutionen zunächst auf nationaler Ebene, wie zum Beispiel in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf europäischer Ebene ist die European Union Agency for Network and Information Security (ENISA) eine wichtige Anlaufstelle/Organisation, auf internationaler Ebene die International Organization for Standardization (ISO).
Das Konzept der Informationssicherheit zum Beispiel ist in den IT-Grundschutzkatalogen des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) und ebenso in der internationalen Zertifizierung nach ISO 27001 zu finden und hat ausdrücklich den Schutz von Informationen zum Ziel. Daneben gibt es weitere internationale Zertifizierungen, etwa von Personen oder von Produkten, wie zum Beispiel das Produktzertifikat nach dem internationalen Standard Common Criteria.
ISMS-Zertifizierung nach ISO 27001 – Vorreiter sein hat Vorteile
Eine internationale Fallstudie der ENISA hat 2013 die Security Certification Practice in Europa untersucht und dazu auch private Unternehmen unterschiedlicher Größe befragt (zwischen elf und 5.000 Mitarbeitern). Schon da zeigte die Auswertung, dass es viele gute Gründe und Motivationen gibt, sich um eine Zertifizierung zu bemühen. Neben einer Verbesserung des Sicherheitsqualitätsmanagements war ein weiterer wichtiger Beweggrund, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren und die eigene Position im Markt zu stärken. Zu den Kosten heißt es in der Studie, die Ausgaben allein für die Zertifizierung habe in den meisten Fällen die 10.000-Euro-Grenze nicht überschritten. Allerdings sollte man berücksichtigen, dass die erfahrungsgemäß sechs- bis zwölfmonatige Vorbereitungszeit vor dem ersten Audit inklusive Bestandsaufnahme ebenfalls Kosten verursacht, die wiederum vom Anwendungsbereich und dem Reifegrad des KMU abhängen. Auch Schulungen können je nach Wissensstand der Mitarbeiter anfallen.
Erwähnenswert ist, dass sich alle befragten Unternehmen mit der Entscheidung für die ISMS-Zertifizierung nach ISO 27001 sehr zufrieden zeigten und der Aussage zustimmten, dass die Kosten für Audit und Zertifizierung niedrig waren im Vergleich zum hohen Nutzen und zum Gewinn für das Unternehmen.
Offenbar spricht sich diese Zufriedenheit herum. Denn zwischen 2015 und 2016 ist die Zahl erteilter ISO/IEC-27001-Zertifizierungen weltweit um 20 Prozent gestiegen. 33.290 Zertifikate wurden nach Angaben der ISO mittlerweile ausgestellt. Ein positiver Trend, denn international gültige IT-Sicherheitsstandards unterstützen nachhaltige Lösungswege für die globalen Herausforderungen der Digitalisierung, Daten- und Informationsflut.