Normen zur Informationssicherheit
Welche Normen zur Informations-, IT- und Datensicherheit gibt es? Was besagen diese Normen? Nach welchen Normen ist eine Zertifizierung möglich? Welche Norm eignet sich für welches Unternehmen bzw. welche Branche?
Warum Informationssicherheitsnormen?
Nahezu alle Organisationen stehen vor dem Problem, für angemessene Informationssicherheit sorgen zu müssen. Dies ergibt sich bereits aus ganz allgemeinen Anforderungen, was Sorgfalt und Schadensvermeidung angeht.
Aber auch Gesetze stellen mehr oder weniger konkrete Anforderungen an die Informationssicherheit auf. Die EU-Datenschutz-Grundverordnung (DSGVO), die gesamte IT-Sicherheitsgesetzgebung (z.B. das IT-Sicherheitsgesetz) und selbst Einzelgesetze, wie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sprechen von „technischen und organisatorischen Vorkehrungen/Maßnahmen“.
Hinzu kommen die Anforderungen aus dem Bereich der als wichtig angesehenen oder gar kritischen Infrastrukturen (NIS2, KRITIS).
Nicht wenige Unternehmen sehen sich aber auch unabhängig einer gesetzlichen Regelung gezwungen, ein geeignetes Informationssicherheits-Managementsystem (ISMS) aufzubauen, schlicht, weil dies zwingende Anforderung wichtiger Kunden ist.
Informationssicherheits-Normen wie vor allem die ISO 27001 und die ISO 27002 stellen für diese Aufgabe umfangreiche Hilfe zur Verfügung.
Wie sind Normen aufgebaut?
Im Bereich der Informationssicherheit gibt es die vor allem die Normenreihe ISO 27000, angeführt von der zentralen Norm zu Informationssicherheit Managementsystemen, der ISO 27001.
Korrekt angewandt sind diese für Organisationen jeder Art oder Größe geeignet. Aus diesem Grund sind die Hinweise in den Normen sehr generisch gehalten, konkrete Vorgaben findet man in den Texten regelmäßig nicht. Die Normen müssen folglich durch jede Organisation erst noch passend interpretiert und angewandt werden, was regelmäßig nur mit entsprechender Fachkunde möglich ist.
Freilich gibt es neben der ISO 27001 noch diverse andere Informationssicherheitsnormen, etwa den IT-Grundschutz oder den branchenspezifischen Regelsatz TISAX.
Etwas neuer, aber mit zunehmender Bedeutung gibt es noch die sogenannten Branchenspezifischen Sicherheitsstandards (B3S), die sich auf den Bereich der Kritischen Infrastruktur (KRITIS) gemäß BSI-Gesetz beziehen. Ein markantes Beispiel ist der B3S Medizinische Versorgung für Krankenhäuser.
Der Begriff Norm ist hierbei für viele zuerst missverständlich. Er darf nicht mit Gesetz verwechselt werden. Die von entsprechenden Fachgremien erarbeiteten Regelungen enthalten Aussagen zu den derzeit jeweils anerkannten Best Practices. Sie entfalten keine unmittelbare rechtliche Wirkung, enthalten aber die derzeit gültigen Regeln der Kunst. Als solche werden sie typischerweise auch bei der rechtlichen Beurteilung als Standard oder Mindestvorgabe zugrunde gelegt. Eine Abweichung nach unten kann damit als sorgfaltswidrig bzw. als Schlechtleistung angesehen werden und zur Haftung führen.
Nachdem sich sowohl Rahmenbedingungen (etwa die gesetzlichen Anforderungen oder die Cyber-Bedrohungslage) als auch die Technik laufend ändern, werden die Normen immer wieder angepasst und auf Stand gebracht.
Abgesehen von der Allgemeintauglichkeit der Normen lässt sich das Bestehen eines Informationssicherheits-Managementsystems schließlich auch durch eine Zertifizierung durch eine anerkannte Stelle objektiv überprüfen und nachweisen.
