Informationssicherheit zu gewährleisten, ist auch in Unternehmen der Lebensmittelindustrie eine Aufgabe, die sehr hoch priorisiert wird. Der wirksame Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Daten ist nicht nur für die IT die Voraussetzung dafür, dass kritische Geschäftsprozesse zuverlässig funktionieren. In der OT (Operational Technology), wo es neben den gängigen Schutzzielen außerdem um Safety-Aspekte geht, ist Informationssicherheit die Grundlage für die Verfügbarkeit der Anlagen. Ein ISMS hat daher auch in der OT eine wichtige Bedeutung.
Informationssicherheit per Gesetz
Betreiber kritischer Anlagen müssen regelmäßig nachweisen, dass sie die Infrastruktur, die für die Erbringung ihrer Leistungen wesentlich sind, nach dem Stand der Technik absichern. Dazu gehört ein professionelles Management für Cybersecurity. Wie das im Einzelfall umgesetzt wird, dafür macht der Gesetzgeber keine Vorschriften. Die Anforderung an ein ISMS sind jedoch in einem Dokument des BSI mit dem sperrigen Namen “Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen” aufgeführt. Das Dokument geht auch auf strategische Vorgaben der Informationssicherheit, die Verantwortung der Unternehmensleitung und Zuständigkeiten ein.
Was ist ein ISMS?
Die Abkürzung ISMS steht für „Information Security Management System“. Mit “System” ist weder ein „elektronisches System“ noch ein fertiges Produkt gemeint, das man kaufen kann. System steht hier vielmehr für den Zusammenschluss verschiedener Regeln, Richtlinien und Dokumentationen, der die IT-Sicherheit im Unternehmen gewährleistet. Alle diese Dokumente werden unter dem Begriff „ISMS“ zusammengefasst.
Indem Sie alle für Ihre IT-Sicherheit relevanten Prozesse strukturiert dokumentieren, sorgen Sie für eine einheitliche Ablage und damit für nachvollziehbare Informationen. Sicherheit soll ein kontinuierlicher und koordinierbarer Prozess sein. Und das erreicht man mit einer solchen Zusammenfassung. Für Unternehmen, die die Vorgaben der Regulierung durch das IT-Sicherheitsgesetz und NIS2 einhalten müssen, ist ein ISMS obligatorisch.
Wie funktioniert ein ISMS?
Betrachten Sie das ISMS als übergeordnetes System, das Ihre Dokumente, Unterlagen und Prozesse zur IT-Sicherheit steuert. Dieses System können Sie zum Beispiel mit einer Wiki-Lösung umsetzen, in der alle Dokumente zu finden sind. Dort werden auch Prozesse dokumentiert, die das Change-Management ebenso wie das Vorgehen bei Sicherheitsvorfällen definieren.
Welche Vorgaben für ein ISMS gibt es?
Einschlägige Normen oder Standards legen fest, was in welchem Umfang und auf welche Art von einem ISMS geregelt wird. Legen Sie Wert auf eine Zertifizierung, etwa nach ISO 27001, dann müssen Sie sich an die entsprechende Norm halten. Für Industriebereiche ist die Norm IEC 62443 maßgeblich, weil sie auf die Absicherung in der Automation ausgelegt ist. Die Vorgehensweise für den Aufbau eines ISMS für OT-Bereiche lehnt sich dabei grundsätzlich an die IEC 27001 und ein ISMS in der IT an, berücksichtigt aber die Anforderungen der Industrie. Maßnahmen werden dabei auf Automationsnetze zugeschnitten.
Auch wenn Sie keine Zertifizierung anstreben, können Sie Normen und Standards trotzdem als Denkanstoß nutzen. Sie kommen meist aus der Praxis und beinhalten Best Practices, also optimale Vorgehensweisen. Sich daran zu orientieren, kann daher sinnvoll sein. Mit welcher Detailtiefe das geschieht, entscheiden Sie entsprechend der individuellen Anforderungen in Ihrem Betrieb.
Wie baut man ein ISMS auf?
In erster Linie besteht die Aufgabe darin, dass Sie alle Ihre Unterlagen und Prozesse, die für die IT-Sicherheit im Unternehmen wichtig sind, unter dem Oberbegriff ISMS zusammenfassen. Denken Sie außerdem daran, dass Prozesse und Regelungen im Unternehmen gelebt werden müssen, damit sie ihren Zweck erfüllen können. Ihre Mitarbeiterinnen und Mitarbeitermüssen die Dokumente und ihre Inhalte kennen!
Brauche ich dazu einen externen Berater?
Ob Sie einen externen Berater benötigen, hängt davon ab, ob Sie eine Zertifizierung anstreben. Ein weiterer Entscheidungsfaktor ist, auf wie viele Ressourcen und auf wie viel Wissen Sie im Bereich ISMS zurückgreifen können. Theoretisch können Sie sich einfach an die Norm halten oder sich Lektüre und professionelle Checklisten kaufen. In der Praxis ist die Arbeit mit einem Berater jedoch oft effizienter. Denn ein guter Berater weiß, worauf es ankommt und, was noch wichtiger ist, was man weglassen kann. Letztlich hängt es vom Einzelfall ab. Die „Abschlussprüfung“ für eine Zertifizierung muss allerdings ein dafür zugelassener Auditor durchführen.
Was sollte ich noch beachten?
Zwei Dinge gilt es zu beachten: Erstens kostet das Erarbeiten eines ISMS Zeit und damit Geld. Es kann aber langfristig Geld sparen und IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen etablieren. Zweitens sollten Sie bei der Auswahl eines externen Beraters darauf achten, dass der Dienstleister tatsächlich Automationserfahrung hat. Allzu oft versuchen Anbieter mit ISO 27001-Expertise im Enterprise-Bereich auch den Zusatzauftrag für die Produktionssicherheit zu übernehmen. Das ist jedoch nur in den seltensten Fällen sinnvoll!
Sie möchten mehr wissen?
Mehr zum Thema gibt es in unserem Artikel über die IEC 62443.
Checkliste: Angriffserkennung in KRITIS Betrieben
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.