Interview

Informationssicherheitsmanagementsystem.

© leowolfert - Fotolia.com

26.4.2018 (bz) – ISMS steht für Informationssicherheitsmanagementsystem. Peter Loibl (pl) erklärt, dass IT- und Informationssicherheit schon lange ein wichtiges Thema auch für die Sicherheitstechnik ist, um das sich alle kümmern müssen.

 

"Alles astreine IT!"

Peter Loibl
Geschäftsführer von zur Mühlen'sche GmbH, Bonn

bz: Herr Loibl, Sie haben die Öffentlichkeit kürzlich darüber informiert, dass die ersten acht Berater der von zur Mühlen’sche GmbH (VZM), bei der Sie Geschäftsführer sind, eine Ausbildung erfolgreich mit dem Zertifikat "ISMS Lead Auditor nach ISO/IEC 27001" absolviert haben. Erklären Sie unseren Lesern, was mit ISMS gemeint ist.

pl: Die Abkürzung ISMS steht für Informationssicherheitsmanagementsystem. Dieses umfasst im Groben zwei Aspekte: zum einen die Sicherung von Informationen - aus heutiger Sicht digitale Daten. Daten müssen vor Verlust und Zerstörung geschützt werden. Es ist die Nutzbarkeit, Echtheit und die richtige Herkunft zu gewährleisten. Diese obersten Schutzziele werden bei einem ISMS auch mit den Oberbegriffen Verfügbarkeit, Authentizität und Integrität ausgedrückt.

Zum anderen müssen Verfahren und Regeln für den Umgang mit den schützenswerten Daten des Unternehmens erstellt und umgesetzt werden. Dabei wird ein prozessualer Managementansatz – analog zum bekannten Qualitätsmanagementansatz der ISO 9001 – eingeführt, der ein ISMS aufbaut, verwirklicht, aufrechterhält und, ganz wichtig, fortlaufend verbessert. Dieser Regelkreis muss sich durch alle wichtigen Bereiche eines Unternehmens ziehen und, besonders wichtig, von der Unternehmensführung getragen und unterstützt werden. Schließlich geht es ja auch um wesentliche Werte, nämlich Daten, also um Assets des Unternehmens.

bz: Der Begriff ISMS ist nicht unbedingt neu. Dabei kann auch ein Zusammenhang zwischen Informationssicherheit und Securitymanagement gesehen werden. Diesen Zusammenhang haben Sie neulich im Sicherheits-Berater, ebenfalls auf Basis eines Interviews, recht ausführlich beschrieben.

pl: Um den Zusammenhang etwas anschaulicher darzustellen, habe ich eine Rückschau auf die Zeit meines Diplom-Ingenieurstudiums der Elektro-/Nachrichtentechnik vor inzwischen fast 30 Jahren unternommen. Damals gab es noch kein ISMS – wohl aber Sicherheitstechnik: Als ein Universitätsklinikum gebaut wurde, sollten die sicherheitstechnischen Anlagen über ein Sicherheitsmanagementsystem verwaltet und betreut werden. Da niemand mit einem derartigen, aus damaliger Sicht neuen System viel anzufangen wusste, schob man mir als dem Jüngsten die Arbeit zu. Dabei bestätigte sich, dass nicht alles, was die Bezeichnung IT trägt, prinzipiell neu ist. Ohne dass es uns bewusst war, mussten schon damals in diesem Projekt zwei Seiten der Sicherheitstechnik bedient werden: zum einen die klassisch fernmeldetechnisch basierte Sicherheitstechnik, zum Beispiel EMA, also Einbruchmeldeanlage, und BMA, Brandmeldeanlage. Video gab es natürlich auch nur analog - Bilder gingen über Koaxkabel und die Steuerung übernahmen klassische Kreuzschienen.

Zum anderen aber war das Sicherheitsmanagementsystem, natürlich noch in erster Generation, mit heutigen Gefahrenmanagementsystemen überhaupt nicht zu vergleichen, dennoch schon ein astreines EDV-System: Servertechnik mit Speicher, ein von der Herstellerfirma proprietär angepasstes Betriebssystem und das Managementsystem – heute würde man es App oder Software nennen. Die Bedienung erfolgte über die Arbeitsplätze, nach heutiger Nomenklatur die Clients. Verbunden wurde alles über Datenkabel, neu formuliert: das Netz.

IT- und EDV-Technik in der Sicherheitstechnik konzentrierte sich damals und auch noch lange Zeit auf die übergeordneten Plattformen, also die Sicherheitsmanagementsysteme. Der gleiche Ansatz übrigens wie im Gebäudemanagement. In der Feldebene mit Aktoren und Sensoren entstanden die ersten Bussysteme, die aber alle noch auf Fernmeldetechnik basierten. Die übergeordnete Intelligenz, die herkömmliche Gebäudeleittechnik, war aber schon rechnergestützte IT- und EDV-Technik.

bz: Und wie ging die Entwicklung weiter?

pl: Heute sind wir schon lange an einem Punkt angelangt, an dem auch die klassischen sicherheits- und gebäudetechnischen Systeme fast nur noch lupenreine IT-Systeme sind. Beispiele: aktuelle Video- oder Zutrittskontrollsysteme oder Leitstellentechnik und Systeme für Sicherheitszentralen oder Alarmempfangsstellen. Und im Hintergrund stehen hinter den dezentralen Techniken kleine Rechenzentren oder Serverräume.

bz: In Ihrem Beitrag haben Sie das noch weiter spezifiziert, indem Sie die IT-affinen Bereiche nennen: Servertechnik, Storagesysteme, Clients, dann das Netz selbst mit allen seinen Komponenten, Firewalls, Redundanzsysteme zur Verfügbarkeitssicherung und die Virtualisierung von Servern und Terminals.

pl: Wie gesagt, alles astreine IT! Und die Entwicklung dahin haben wir in der VZM GmbH schon vor 20 Jahren gesehen. Wir haben bereits damals Veranstaltungen zur Qualifizierung der klassisch fernmeldetechnisch geprägten Sicherheitstechniker und –verantwortlichen in Richtung IT durchgeführt.

bz: Müssen sich die herkömmlichen Sicherheitstechniker und -planer als klassische Elektro- oder Nachrichtentechniker Sorgen machen um ihre berufliche Zukunft?

pl: In gewisser Weise schon. Keineswegs werden künftig nur Informatiker und IT-ler gebraucht. Die herkömmlichen Leistungen bei Konzeption und Planung von sicherheitstechnischen Systemen werden ja weiterhin benötigt. Nehmen wir z. B. ein videotechnisches System: Die klassischen Kenntnisse zur Kameratechnik wie z. B. Blende, Belichtung, Optik, Spitzlicht, Speicherberechnung etc. und auch die Kenntnisse zur Kameraprojektierung wie z. B. Aufstellung, Masten, Kameraschutzgehäuse, strategische Projektierung mit Schuss und Gegenschuss und vor allem das Einbinden der Videotechnik in ein schlüssiges Sicherheitskonzept auf Basis von videotechnischen Schutzzielen, wie sie die DIN EN 62676-4 endlich empfiehlt, brauchen wir nach wie vor.

Aber wir brauchen bei jedem System und Projekt heute und künftig erst recht auch die IT-spezifischen Ansätze: Redundanzen, Netztrennungen und –segmentierungen, Datensicherung, Patchmanagement, Lizenzsysteme, Bandbreitemanagement, Berechtigungsmanagement, Datensicherung, Detektion und Abwehr von Schadsoftware, Monitoring und, und, und.

Wenn Planer und Techniker diese IT-Themen nicht verstehen, dann sind sie abgehängt. Dazu kommt, dass der Einfluss der jeweiligen Unternehmens-IT zunimmt. Hier müssen wir auf Augenhöhe agieren, die Themen gleichwertig verstehen und die gleiche Sprache sprechen können. Diese Qualifikation muss sein.

bz: Sie sagen, dass für die Planung von Security- und Leitstellentechnik die gleichen Grundsätze und Kenntnisse wie sie zum Erstellen einer hoch- und höchstverfügbaren IT-Landschaft benötigt werden.

pl: Security- und Leitstellenplanung wurde und ist heute weitestgehend IT-Planung. Die Mechanismen für ausfallsichere IT-Technik, -Räume und Rechenzentren gelten in identischer Weise und müssen angewandt werden. Wie bei Rechenzentren haben wir es mit hochsensiblen Themen der Informationssicherheit zu tun, die im Grunde genau das gleiche wie die Sicherheitstechnik erreichen will, nämlich Werte – hier Daten – schützen. Dabei verfolgt sie selbstverständliche und wichtige Ziele, nämlich Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit. Damit sind die grundlegenden Schutzziele der Informationssicherheit beschrieben. Die Ansätze der Informationssicherheit sind wunderbar mit einer qualifizierten Sicherheitskonzeption und -planung zu vergleichen, bei der ebenso auf Basis einer Gefährdungs- und Risikoerhebung die Schutzziele definiert werden. Es handelt sich also 1:1 um den gleichen Ansatz.

bz: Daraus leiten Sie im Grunde einen Zugzwang ab für die Installation eines ISMS in Unternehmen, die Sicherheitstechnik nutzen.

pl: Ich zitiere eine Aussage, die im Sicherheits-Berater 7/2018, S. 97, im Beitrag "DS-GVO fordert ISMS", zu lesen war: "Wo es noch kein ISMS gibt, muss eines etabliert werden." Diese Aussage ist optimaler Weise auf das ganze Unternehmen zu beziehen, mindestens aber aufden Bereich der Sicherheit.

bz: Die Informations- und Datensicherheit, auch die Verfügbarkeit von Rechenzentren, waren seit jeher Gegenstand im Sicherheits-Berater.

pl: Das wird auch ziemlich sicher so bleiben. Und selbstverständlich versorgen wir die Heftabonnenten auch weiterhin regelmäßig mit praktikablen Hinweisen zu geeigneten Maßnahmen zur optimalen Informations- und Datensicherheit.

bz: Vielen Dank für das Gespräch, Herr Loibl.

 

Kontakt zum Interviewpartner:
lop@vzm.de (Peter Loibl)

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)