Einführung eines ISMS in einem mittelständischen Unternehmen

Bachelor Studiengang IT Security

Sascha Prock

Betreuer: FH-Prof. DI Herfried Geyer

Ausgangslage

Die Internetkriminalität steigt weiterhin weltweit an. Betroffen sind nicht nur Privatpersonen, sondern auch verstärkt Unternehmen und Behörden. Auch in lokalen Zeitungen wird vermehrt über Fälle von Hackerangriffen berichtet, die gezielt, Unternehmen in der Region angreifen, entweder um Geld zu erpressen oder einfach um Schaden zu verursachen. Zum Einsatz gelangt dabei vorwiegend Schadsoftware, die Unternehmensdaten verschlüsselt und die schlussendlich das Opfer dazu auffordert Lösegeld zu bezahlen, um die Daten wieder zu entschlüsseln. Unter anderem wird auch “Phishing” sehr häufig eingesetzt, um so an Benutzerdaten und Unternehmensdaten zu gelangen.

Dadurch stehen immer mehr kleine und mittelständische Unternehmen vor der Herausforderung, sich mit dem Thema Informationssicherheit beschäftigten zu müssen. Prozesse werden komplexer und die Datenmengen steigen an. Um als Management noch einen Überblick darüber zu behalten, ist es notwendig eine sinnvolle Strategie in Sachen Informationssicherheit aufzubauen und zu pflegen, um so das wirtschaftliche Überleben des Unternehmens auch bei Angriffen oder Notfällen gewährleisten zu können. Diese Arbeit betrachtet die unterschiedlichen Möglichkeiten ein ISMS zu implementieren und untersucht, welche Sicherheitsfaktoren zusätzlich bei der Auslagerung in die „Cloud“ zu beachten sind.

Ziel

Das Ziel dieser Arbeit ist, die Implementation eines nachhaltigen und effektiven ISMS in einem mittelständischen Unternehmen aus Niederösterreich. Durch diese Implementation sollen die Vorteile und Nachteile eines ISMS eruiert werden und die besonderen Herausforderungen für das Sicherheitsmanagement in Bezug auf die Auslagerung in die Cloud betrachtet werden.

Ergebnis

Durch die Implementation des ISMS bei dem Unternehmen, wurde klar festgestellt, dass Informationssicherheit nicht etwas ist, das in einer Organisation einfach von heute auf morgen eingeführt und angewandt werden kann. Es handelt sich bei der Einführung eines Solchen ISMS um einen sehr langfristigen Prozess, welcher speziell in der Einführungsphase eine Menge Ressourcen benötigt. Schlussendlich überwiegen aber die Vorteile gegenüber den Nachteilen und die investierten Ressourcen zahlen sich aus. Die Auslagerung von Daten in die Cloud, sollte nicht überstürzt erfolgen. Die vielen unterschiedlichen Cloud-Anbieter, Modelle und Dienste müssen zuerst evaluiert und für das Unternehmen spezifisch ausgewählt werden.