Informationssicherheit und Marketing-IT

Immer mehr Informationen werden in der Cloud gehostet und gemanagt. Dies erfordert Maßnahmen bei der Informationssicherheit.

rb omnichannel

Warum ist Informationssicherheit so relevant wie nie?

Es ist offensichtlich, dass Marketingprozesse zunehmend IT-lastig werden. Immer mehr Systeme werden im Zusammenhang mit Marketing genutzt und vernetzt. Dabei spielen Cloud-Lösungen als SAAS (Software as a Service) oft eine entscheidende Rolle, da sie flexibler, schneller einsetzbar und oft auch kostengünstiger sind als eine On-Premises-Software, die auf unternehmenseigenen Servern installiert wird.

Produkt- und Kundendaten sowie Media Assets werden dabei verteilt auf unterschiedlichsten Servern gespeichert. Durch Webapplikationen lässt sich auch außerhalb des Unternehmens auf diese Daten zugreifen, was natürlich hocheffiziente Marketingprozesse ermöglicht, da externe Partner so optimal eingebunden werden können. Auch wenn es um eCommerce-Prozesse geht ist Informationssicherheit ein relevantes Thema.

Doch wie kann sichergestellt werden, dass nicht irgendwo ein Datenleck entsteht, und vertrauliche Unternehmensinformationen irrtümlicherweise öffentlich werden oder in falsche Hände geraten? Dieser Artikel soll einen kurzen Überblick zu Normen, Richtlinien und Tools geben, die helfen, das Thema „Informationssicherheit“ angemessen für Ihre Marketingprozesse abzubilden.

Welche Themen umfasst der Begriff „Informationssicherheit“?

Grundsätzlich sind die Schutzziele, die unter dem Begriff „Informationssicherheit“ behandelt werden, oft in folgende Kategorien unterteilt:

Vertraulichkeit

Hier geht es darum, Information vor unbefugtem Zugriff zu schützen. Beispiel: Es ist zu vermeiden, dass das Passwort zu einem System durch einen Unbefugten ausgespäht wird.

Integrität

Das Thema „Integrität“ befasst sich mit der Verlässlichkeit/Unveränderlichkeit von Daten und Systemen. Beispiel: Es muss sichergestellt sein, dass die Daten eines Bestellvorgangs (Artikel, Menge, Preise) unverändert bleiben und verlässlich weiterverarbeitet werden.

Authentizität

Unter Authentizität versteht man die Echtheit und Glaubwürdigkeit von Informationen. Beispiel: Eine E-Mail, welche einen Link zur Eingabe von Benutzerdaten enthält, stammt tatsächlich vom angegebenen Absender.

Verfügbarkeit

Hierunter versteht man die Eigenschaft von Systemen/Diensten zugänglich und nutzbar zu sein. Beispiel: Die Verfügbarkeit eines Webportals wird mit 99,9 % angegeben und sichergestellt.

Mensch oder Maschine?

Häufig spricht man von „IT-Sicherheit“, einem Teilbereich der „Informationssicherheit“. Und in der Tat neigen wir oft dazu, uns zunächst um reine IT-Themen zu kümmern und den Faktor „Mensch“ zu vernachlässigen.

Allzu oft liegt hier aber das höhere Risiko: Während IT-Systeme häufig technisch gut geschützt sind, wird das verlorene Smartphone, der nicht gesperrte Bildschirm, oder der Mitarbeiter, der das Unternehmen verlassen, jedoch noch Zugang zu Webapplikationen hat, zur potentiellen Gefahr. Informationssicherheitsthemen sind also sowohl in Bezug auf Technologie, aber auch in Bezug auf allgemeine Unternehmensprozesse relevant.

Normen und Richtlinien

Normenreihe ISO 2700X

Primär spielt die Norm ISO 27001 in Bezug auf Informationssicherheit eine zentrale Rolle. Hier wird die Einrichtung, Umsetzung, Aufrechterhaltung und ständige Verbesserung eines Informationssicherheits-Managementsystems (ISMS) beschrieben. Unternehmen können sich nach ISO 27001 zertifizieren lassen, oder aber die Norm lediglich als interne Vorgabe für ein ISMS nutzen.

Die Norm zielt auf unterschiedlichste Aspekte zum Management der Informationssicherheit ab. So werden neben IT-orientierten Themen auch prozessuale, physikalische und personelle Aspekte berücksichtigt. Dabei spielt auch die ständige Verbesserung (Plan – Do – Check – Act, PDCA) eine wichtige Rolle.

ISO 27002 beschreibt die passenden Kontrollmechanismen, um ein ISMS in der Praxis umzusetzen.

VDA Information Security Assessment

Ein Tool zum Self-Assessment in Bezug auf Informationssicherheit hat der Verband der Automobilindustrie bereits vor einigen Jahren veröffentlicht und regelmäßig aktualisiert. Eine Arbeitsgruppe, bestehend aus Vertretern unterschiedlicher Automobilhersteller, hat dieses „Information Security Assessment“ erarbeitet, welches inhaltlich grundsätzlich auf ISO 27002 basiert. Es hilft insbesondere auch Automobil-Zulieferern (und dazu gehören beispielsweise auch Agenturen oder Hersteller von Marketing-IT) zunächst eine Bestandsanalyse der aktuellen Situation zur unternehmenseigenen Informationssicherheit durchzuführen, um im nächsten Schritt dann Optimierungspotentiale zu erkennen und eine ständige Verbesserung herbeizuführen. Hier finden Sie weitere Informationen zu diesem Thema: https://www.vda.de/de/themen/sicherheit-und-standards/informationssicherheit/informationssicherheit-sicherheitsanforderungen.html

BSI IT-Grundschutz

Ein weiteres Tool zur praktischen Umsetzung von Informationssicherheitsaufgaben sind die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Hier werden unter anderem umfangreiche Gefährdungs- und Maßnahmenkataloge veröffentlicht, welche praxisnahe Empfehlungen enthalten. Auch die BSI-Grundschutz-Methodik basiert auf ISO 27001 und ist zu dieser Norm kompatibel, jedoch umfangreicher als das VDA Information Security Assessment. Details zum BSI IT-Grundschutz finden Sie hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/grundschutz.html

Wie ist mit Informationssicherheit konkret für Marketingprozesse und Marketing-IT zu verfahren?

Diese Frage lässt sich sicherlich allgemein nur schwer beantworten, zumal auch der Grad der Sicherheit von Ihren individuellen Anforderungen abhängt.

Informationssicherheit

Wenn Sie IT-Systeme einsetzen, wird seitens der Hersteller oft die Aussage „unser System ist sicher“ gemacht. Schauen Sie hier genauer hin. Denn „sicher“ gibt es nicht – es gibt lediglich unterschiedliche Sicherheitslevel. Und hier müssen Sie als Nutzer/Betreiber des Systems entscheiden, ob das jeweilige Sicherheitslevel zu Ihren Anforderungen passt. Hinzu kommen personelle und prozessuale Anforderungen der Informationssicherheit, die ohnehin nur durch das eigene Unternehmen umgesetzt werden können.

Haben Sie Fragen oder möchten Sie weitere Details zu diesem Thema mit mir besprechen? rb omnichannel verfügt über Erfahrung bei der Einführung und Umsetzung im Bereich ISMS. Wir unterstützen Sie hier bei allen Fragen im Dialog mit Ihnen und Ihren Lieferanten. Kontaktieren Sie mich jederzeit über unser Kontaktformular oder rufen Sie mich unter 04211 9808260 an.

Herzliche Grüße

Ihr Roland Bühler