Sichere Kommunikation gemäß ISO 27001

Eine Anforderung der Sicherheitsnorm DIN ISO/IEC 27001:2015 ist die Regelung der internen und externen Kommunikation (Kapitel 7.4). Dadurch sind Unternehmen gezwungen, sich im Rahmen ihres Informationssicherheits-Managementsystems (ISMS) bereits frühzeitig Gedanken über ihre Kommunikationsprozesse zu machen. Der Vorteil bei korrekter Umsetzung ist ein großes Plus an Datensicherheit. Wir erklären Ihnen anhand von fünf wichtigen Schritten, wie das geht und zeigen praktische Beispiele für die Umsetzung.

Warum ist Kommunikation eine Frage der IT-Sicherheit?

Die Regelung der Kommunikation ist aus sicherheitstechnischer Perspektive sehr wichtig. Denn gerade die Kommunikation stellt einen Baustein des ISMS dar, dessen fehlerhafte Ausübung das gesamte System ad absurdum führen kann. Immerhin sind die Verbreitung von Informationen und das Vorhandensein entsprechenden Wissens bei Entscheidungsträgern die Basis eines jeden Managementsystems, da nur das Wissen um eine Information ein reagierendes Handeln ermöglicht.

Für die Ausgestaltung der Kommunikation steht Unternehmen eine ganze Reihe von Möglichkeiten offen. Daher ist es wichtig, konkrete Rahmenbedingungen für die Kommunikation verbindlich festzusetzen. Dies schafft Klarheit und vermeidet etwa das versehentliche Außerachtlassen von Informationsempfängern, für die eine Information von Bedeutung wäre.

Interne und externe Kommunikation im Fokus der ISO 27001

Entsprechend der Norm DIN ISO/IEC 27001:2015 (Kapitel 7.4 Kommunikation) ist zunächst der Bedarf für interne und externe Kommunikation im Rahmen des ISMS zu ermitteln. Neben der Kommunikation innerhalb des Unternehmens müssen wohlgemerkt auch Kommunikationswege zu externen Beteiligten, beispielsweise Dienstleistern oder Vertragspartnern, berücksichtigt werden.

Wichtig ist zu beachten, dass der Fokus im Rahmen des Kapitels 7.4 der DIN ISO/IEC 27001:2015 auf dem Inhalt der Kommunikation liegt. Im Gegensatz hierzu meint Kommunikation im Rahmen des Annex A (Kapitel 13 Kommunikationssicherheit) der DIN ISO/IEC 27001:2015 die technische Kommunikation. Ziel dieses Anhangs ist es, die Kommunikation in Netzwerken und den unterstützenden Informationsverarbeitungseinrichtungen zu gewährleisten. Hierbei sollen beispielsweise Regelungen erstellt werden, die eine Steuerung der sicheren Übertragung von Informationen sowohl innerhalb als auch außerhalb des Unternehmens ermöglichen. Kurz gesagt, geht es darum, wie die Inhalte der Kommunikation durch technische Maßnahmen geschützt werden und weniger darum, was inhaltlich kommuniziert werden soll.

Bedarfsermittlung: In 5 Schritten zur normgemäßen Kommunikation

1. Inhalte der Kommunikation

Zunächst gilt es herauszufinden, welche konkreten Inhalte transportiert werden müssen bzw. dürfen. Dabei ist Wesentliches von Unwesentlichem zu trennen. Es ist also zu fragen, welche Informationen für den Betrieb oder die Optimierung des ISMS notwendig bzw. welche Informationen für das ISMS grundsätzlich von Bedeutung sind:

  • Im Bereich der internen Kommunikation ist hierbei insbesondere an die Kommunikation im Personalbereich zu denken. Hierunter fallen beispielsweise Entwicklungsgespräche mit Mitarbeitern, regelmäßige Teammeetings, aber auch strategische Entscheidungen des Managements.
  • Im Bereich der externen Kommunikation sind gängige Beispiele die Übermittlung der betriebswirtschaftlichen Auswertung (BWA) des Unternehmens an Banken oder auch das Vorhalten von Zertifizierungen beispielsweise nach ISO 27001 oder ISO 9001 auf der Unternehmenswebseite, wodurch indirekt gegenüber Kunden und Interessenten die Einhaltung von gewissen (Qualitäts-)Standards garantiert wird.

2. Zeitpunkte der Kommunikation

Wichtig sind zudem die Zeitpunkte der Kommunikation. Je nach Einzelfall ist es beispielsweise erforderlich, dass eine Information innerhalb einer bestimmten Frist oder Zeitspanne zum Empfänger gelangt (beispielsweise wenn neue Regelungen im Unternehmen eingeführt und gegenüber den Mitarbeitern kommuniziert werden sollen, um die Einhaltung sicherzustellen). In anderen Fällen können aber auch regelmäßige Kommunikationsintervalle nötig sein (beispielsweise für die Berichterstattung der Leistung des ISMS).

3. Adressaten der Kommunikation

Mindestens ebenso wichtig ist die Frage, wohin eine Information gelangen muss, wer also der konkrete Empfänger sein soll. Dabei geht es unter anderem darum, welche Stelle oder welche Person innerhalb einer Abteilung eine Information erreichen muss. Vorab ist also zu untersuchen, wer eine bestimmte Information zur Erfüllung seiner Aufgaben oder auch nur zur Kenntnisnahme benötigt.

4. Verantwortliche für die Kommunikation

Daneben sind die jeweiligen Verantwortlichen für die Kommunikationen zu ermitteln, also diejenigen, die für die Weitergabe einer Information zuständig sind. Welche Person oder Stelle diese Rolle innehat, ist stets individuell und deshalb jeweils nach den Umständen des Einzelfalls zu beurteilen. Dies kann beispielsweise derjenige sein, der eine Information erhoben hat, oder auch der jeweilige Abteilungsleiter oder die Geschäftsführung.

5. Kommunikationsprozesse

Letztlich gilt es, die angemessene Art und Weise der Kommunikation sowie die Kommunikationswege zu ermitteln. Insbesondere das Medium und die Form sind hier relevant. So ist es gängige Praxis, dass interne Meetings mündlich erfolgen, wohingegen die wesentliche Kommunikation mit Interessenten und Kunden schriftlich erfolgt. Es ist ratsam, bedeutende Informationen ausschließlich schriftlich zu kommunizieren bzw. mündlich Kommuniziertes entsprechend zu Dokumentationszwecken schriftlich festzuhalten.

Bedarf verbindlich regeln

Allein die Ermittlung des Bedarfs führt im Unternehmen noch nicht zu einer Verbesserung der Sicherheit. Deshalb ist der anhand dieser Kriterien ermittelte Bedarf anschließend in eine verbindliche Regelung umzusetzen, die den jeweils festgelegten Kriterien Rechnung trägt.

Im Ergebnis dürfte wohl ein eigenes Konzept zur sicheren Kommunikation das geeignetste Mittel sein, um die Kommunikationsvorgänge zu strukturieren und zu kanalisieren. Die folgenden Tabellen zeigen Ihnen, wie eine solche Gliederung praktisch umsetzbar ist.

Beispiel: interne Kommunikation im Rahmen der Softwareprogrammierung

Bezeichnung Inhalt Zeitpunkte Adressat Verantwortlicher Prozess
Daily SCRUM Update der erledigten Aufgaben, Planung des Tages täglich Entwicklungsteam SCRUM Master mündlich mit Dokumentation
2 Weekly Sprint Meeting Überblick Fortschritte alle 2 Wochen Entwicklungsteam SCRUM Master mündlich mit Dokumentation
Monthly Reporting an Product Owner monatlich Entwicklungsteam und SCRUM Master Product Owner mündlich mit Dokumentation

Beispiel: interne Kommunikation innerhalb eines Unternehmens

Bezeichnung Inhalt Zeitpunkte Adressat Verantwortlicher Prozess
Weekly Neue Regelungen im Unternehmen wöchentlich Alle Mitarbeiter Geschäftsführung mündlich mit Aufzeichung und Teilnehmerliste
Jahresgespräch Entwicklungsgespräche jährlich zum Jahresende Mitarbeiter (einzeln) Geschäftsführung mündlich mit Protokoll
Team-Meeting Organisatorische und Prozess-Änderungen monatlich und anlassbezogen Jeweilige Team-Mitglieder Team-Leiter mündlich mit Dokumentation

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!