Die Daten sind sicher

Was genau ist die ISO 27001?

In der Norm geht es um die Frage, ob ein Unternehmen ein Informationssicherheits-Managementsystem korrekt implementiert hat – gemäß den Anforderungen, die ans Unternehmen gestellt werden. In einem Zusatz zur Norm sind die technischen Dinge geregelt: dass man Firewallsysteme implementiert, die internen Systeme entsprechend absichert, ein Schwachstellenmanagement hat. All solche Fragen werden festgeschrieben – in der Regel durch Richtlinien. Aus denen machen wir einen ganzen Satz von Sicherheitsrichtlinien, die für das Unternehmen gültig sind und die für die Mitarbeitenden wie Dienstanweisungen verpflichtend gelten. Schließlich verarbeiten wir Gesundheitsdaten: sehr sensible Daten, bei denen wir Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen müssen.

Wie stellen Sie das sicher und wie gehen Sie vor?

In erster Linie dadurch, dass wir uns überlegen: Wo liegen die Risiken? Welche Risiken müssen durch entsprechende Maßnahmen gesenkt werden? Welche Risiken sind akzeptabel? Das alles spiegelt sich in den Sicherheitsrichtlinien und dem Regelwerk für die Mitarbeitenden wieder, das aus diesen Fragen formuliert wird. Und dabei muss man wirklich laufend am Ball sein! Vieles an organisatorischem und technischem Know-How haben wir vor Ort, sind aber auch darauf angewiesen, es von außen einzukaufen. Das bringt die Gewissheit, immer up to date zu sein.

Wo genau liegen denn die Risiken?

Bei uns natürlich speziell darin, dass die Vertraulichkeit von Informationen gefährdet wird. Wir nehmen Daten an, müssen mit Daten umgehen, haben Schnittstellen nach außen. Schließlich können wir uns nicht abschotten, sondern müssen kommunizieren.

Da jeder PC die Möglichkeit hat, E-Mails zu empfangen, ist die Internetnutzung das größte Risiko: Bekommt man einen Verschlüsselungstrojaner ins Haus und merkt nicht, wie er sich verbreitet, würden – wenn er die Daten flächendeckend verschlüsselt – Geschäftsprozesse nicht mehr arbeiten. Davor schützt man sich, indem man ein vernünftiges Rechtemanagement implementiert und eine gute Firewall installiert, indem man aktiv Virenschutz betreibt und auch die Mitarbeitenden sensibilisiert. Denn trotz aller technischen Maßnahmen besteht immer noch ein Risiko, das in der Endanwendung liegt.

Für uns ist es ja zum Beispiel nicht verwunderlich, wenn wir eine E-Mail mit einer Rechnung als PDF-Dokument bekommen. Theoretisch könnten in diesem Dokument Viren enthalten sein – insofern kann das Risiko darin bestehen, dass die Mitarbeitenden auf eine Anlage mit dem Vermerk „Rechnung beigefügt“ treffen. Würden sie draufgehen und das öffnen, hätten wir das Problem im Haus.

Haben Sie Ergebnisse aus den letzten Jahren? Wo waren Sie besonders erfolgreich?

Wir überwachen unsere Systeme und hatten tatsächlich keine großen Virenvorfälle. Auch mit Spam-E-Mails sind wir im Vergleich zum Bundesschnitt sehr gut unterwegs: Im Durchschnitt sind es 50 bis 60 Prozent Spamanteil, bei uns ist er viel niedriger und liegt nur bei 20 bis 25 Prozent. Dazu trägt einerseits unsere sehr restriktive Haltung – wir geben unsere E-Mail-Adressen nicht aktiv raus –, andererseits haben wir natürlich auch entsprechende technische Geräte, Spamfilter, die im Vorfeld vieles identifizieren.

Aber tatsächlich gab es mal einen Vorfall, bei dem es einen Angriff auf uns gab und wir dadurch auf einer Spam-Liste standen. Wir haben aber den Vorfall sofort erkannt und festgestellt, dass unsere Maßnahmen gut greifen.

Hat sich an der Bedrohungslage etwas geändert?

Interessanterweise hat sich durch das Corona-Virus die Lage geändert. Jetzt fragen wir uns auch: Wie sieht es mit dem Personal aus? Wie gehen wir mit Ausfällen um? Solche Dinge spielen jetzt verstärkt eine Rolle – nicht für die Informationen selbst, aber für den Geschäftsprozess, den es ja sicherzustellen gilt. Überhaupt hat sich die Bedrohungslage im letzten Jahr insbesondere, was Verschlüsselungstrojaner betrifft, prinzipiell verschärft. Die Angreifer verwenden da unheimlich gute Methoden. Das Umfeld hat sich professionalisiert, als Angriffsmethode wird auch social engineering benutzt: Mitarbeitende werden bewusst ausgespäht und es wird versucht herauszubekommen, in welchem Kontext der Mitarbeitende arbeitet. Und wenn da etwas nicht rausgefiltert wird, kann es schon mal sein, dass auch Schadcode durchkommt.

Vielen Dank für das Gespräch Herr Künzler und Ihnen alles Gute!