Dr. Michael Brenner, Leibniz-Rechenzentrum

Informationen zählen zum wertvollsten Kapital vieler Unternehmen. Egal ob Kunden-, Lieferanten-, Produkt- oder Mitarbeiterdaten - geraten wichtige Informationswerte in die falschen Hände, ist nicht selten das Überleben des Unternehmens gefährdet. Das Schaffen und Aufrechterhalten eines hohen Niveaus an Informationssicherheit muss also als eine unternehmenskritische Aufgabe verstanden werden.

Praktisch liegen dabei in allen, außer den kleinsten Organisationen, die größten Herausforderungen bei der Erhöhung der Informationssicherheit nicht im Bereich der Sicherheitstechnik, sondern im Gestalten, Durchsetzen und Etablieren eines betrieblichen Sicherheitsmanagements.

Die Standardisierungsorganisationen ISO und IEC behandeln in der gemeinsamen Normenreihe ISO/IEC 27000 das Informationssicherheits- Management zwar auch unter technischen Gesichtspunkten, legen den Schwerpunkt aber auf einen qualitätsmanagement- und prozessorientierten Ansatz, um die Sicherheitsmaßnahmen in einem umfassenden "Information Security Management System" (ISMS) zu koordinieren und zu steuern. Zentraler Bestandteil der Normenreihe ist dabei die ISO/IEC 27001, welche die Anforderungen an ein ISMS definiert und der erste internationale Standard ist, der eine ISMS-Zertifizierung ermöglicht.