Dank der international anerkannten und herstellerunabhängigen Sammlung von Best Practises ermöglicht die aktuelle Version ITIL V4 Institutionen und Organisationen große Freiheiten bei der Definition ihrer Prozesse. ITIL Incident Management wird dabei als Service-Management-Praktik aufgeführt, deren primäres Ziel es ist, einen unterbrochenen IT Service für Anwender:innen so schnell wie möglich wieder herzustellen. Dabei werden alle Incidents durch Incident Management über ihren gesamten Lebenszyklus verwaltet. Somit bietet ITIL die Basis für das Zusammenwirken von Servicemanagement und IT-Sicherheit.

Was ist Cyber Security laut BSI?

Laut Bundesamt für Informationstechnik (BSI) ist Informationssicherheit die Voraussetzung für eine erfolgreiche Digitalisierung. Deshalb geht das BSI in seiner Definition von einem ganzheitlichen Ansatz aus, der neben technischen Faktoren auch organisatorische, infrastrukturelle und personelle Aspekte in den Blick nimmt.

Der IT-Grundschutz des BSI liefert eine Leitlinie für IT-Sicherheit, die Behörden, Unternehmen und Institutionen als Methode, Anleitung und Unterstützung bei der Absicherung von Daten, Systemen und Informationen dient. Als bewährter Standard beim Aufbau eines Managementsystem für Informationssicherheit (ISMS) hilft der IT-Grundschutz dabei, die Informationssicherheit zu verbessern und aufrechtzuerhalten.

Dass alle umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen, kann eine Institution durch den Erhalt eines ISO 27001-Zertifikats belegen. Voraussetzung für die Vergabe dieser Zertifizierung auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Dieser sichtet die von der Institution erstellten Referenzdokumente, führt eine Prüfung vor Ort durch und erstellt einen Auditbericht, welcher dem BSI vorgelegt werden muss. Auf Grundlage dieses Auditberichts entscheidet das BSI anschließend über die Vergabe eines ISO 27001-Zertifikats.

Wie unterscheiden sich Datenschutz und Cyber Security?

Anders als beim Thema Datenschutz sind Institutionen und Unternehmen bei Einführung der Informationssicherheit weniger streng an gesetzliche Vorgaben gebunden und können daher verschiedene Konzepte verfolgen und durchsetzen. Denn bei der Umsetzung von Maßnahmen zum Datenschutz gelten klare gesetzliche Anforderungen. Bei Informationssicherheit geht es hingegen viel mehr um den Schutz interner Daten und Informationen aus unternehmerischem bzw. institutionsspezifischem Eigeninteresse. Abgesehen von dieser unterschiedlichen Motivationslage kommt es aber in eigen Fällen zu Überschneidungen der beiden Bereiche. Etwa was den Umgang mit personenbezogenen Daten betrifft: Hier muss sowohl aus Gründen des Datenschutzes als auch im Interesse der Informationssicherheit die Integrität der Daten gewährleistet sein. Denn bei deren Erhebung, Verarbeitung und Nutzung müssen die Vorgaben des Datenschutzgesetzes eingehalten werden. Gleichzeitig liegt es aber auch im unternehmerischen oder institutionsspezifischen Eigeninteresse, Daten von Kund:innen oder Klient:innen vertraulich zu behandeln und vor der Konkurrenz zu schützen.

Was sind Schutzziele der Cyber Security?

Informationssicherheit befasst sich also in erster Linie mit technischen und organisatorischen Maßnahmen zur Sicherung von Daten in Systemen. Die drei primären Schutzziele der Informationssicherheit sind dabei Vertraulichkeit, Integrität und Verfügbarkeit: also die Sicherung vertraulicher Informationen vor dem Zugriff durch Unbefugte, die Gewährleistung, dass die Daten vollständig, nicht beschädigt und unverändert sind sowie die Sicherstellung ihrer fehlerfreien Nutzbarkeit durch Anwender:innen.

Darüber hinaus können je nach Kontext noch weitere Schutzziele der Informationssicherheit definiert werden, etwa die Authentizität von Informationen. Hierbei geht es darum, sicherzustellen, dass die Informationen tatsächlich von der angegebenen Quelle erstellt worden sind. Der Begriff der Authentizität bezieht sich dabei sowohl auf die Identität von Personen als auch von IT-Komponenten und Anwendungen. Denn nur so kann die Vertrauenswürdigkeit des Ursprungs einer Informationen bewertet werden.

Was bedeutet Vertraulichkeit in der Cyber Security?

Vertraulichkeit bezeichnet in der Informationssicherheit die Sicherung vertraulicher Informationen wie Kunden- oder Forschungsdaten zum Schutz vor Preisgabe an oder durch unbefugte Personen. Während die Schutzziele Integrität und Verfügbarkeit auf die Erkennbarkeit und Nutzbarkeit von Daten abzielen, liegt der Fokus der Vertraulichkeit im Bereich IT also auf der Berechtigung. Konkret bedeutet dies: Daten dürfen ausschließlich von befugten Personen eingesehen, verwendet und offengelegt werden. Um dies zu gewährleisten, muss klar definiert sein, wer Zugriff auf die Daten hat. Außerdem müssen die Daten bei der Übertragung verschlüsselt werden. Diese Vertraulichkeit in vollem Umfang sicherzustellen, ist eines daher eines der primären Schutzziele von ITIL.

ITIL Standard im Bereich IT-Service-Management

Wer über eine ITIL-Zertifizierung verfügt, kennt den internationalen ITSM-Standard und hat somit entscheidende Vorteile in diesem Bereich. Dass ITIL nach wie vor der weltweit führende Industriestandard für Serviceorganisationen ist, liegt auch daran, dass das ITIL-Framework mit der aktuellen Version ITIL V4 grundlegend modernisiert wurde und auf aktuelle Trends in den Bereichen Software-Entwicklung und IT-Betrieb reagiert. ITIL V4 fungiert dabei als flexibel einsetzbares Fundament für Institutionen, die beim Verwalten von Services verschiedene Frameworks und Methoden nutzen. Damit verfolgt ITIL V4 von der Nachfrage bis zur Wertschöpfung einen ganzheitlichen Ansatz. Dieser deckt auch alle 4 Schutzklassen der Informationssicherheit ab, von öffentlich bis streng vertraulich.

Warum ist ITIL im Zusammenspiel mit Cyber Security wichtig?

Bei einer konsequenten und nachhaltigen Integration von Sicherheit in Geschäftsprozesse trägt ITIL entscheidend dazu bei, die sicherheitstechnischen Anforderungen transparenter zu gestalten. Dadurch entsteht eine erhöhte Aufmerksamkeit für die IT-Sicherheit im Servicemanagement. Hauptziel der Integration von Incident Management bleibt aber die Minimierung von Ausfallzeiten für einen möglichst reibungslosen Betrieb. Als zentrale Anlaufstelle zwischen IT und Endnutzer:innen dient dabei ein IT-Servicedesk. Bei der Implementierung eines ITIL Service Desk Prozesses werden die Best Practises aus dem Incident Management übernommen und an den Betrieb angepasst. Daher ist die frühzeitige Implementierung von Incident Management in ITIL so zentral für das Zusammenspiel von ITIL Modell und Informationssicherheit.

Integration eines ITIL Incident Management Prozesses

Die Integration eines ITIL Incident Management Prozesses dient also dem Ziel, die schnelle Wiederherstellung von Services zu gewährleisten. Das ITIL Incident Management fungiert nämlich als zentrale Anlaufstelle zur Meldung von Problemen durch Endnutzer:innen und ist in erster Linie mit der reaktiven Störungsbehebung beschäftigt.

Damit ist sie ein zentraler ITIL-Prozess, und sollte bei der Umsetzung von ITIL als einer der ersten Serviceprozesse implementiert werden. Dadurch wird eine frühzeitigere und folglich produktivere Einbindung des Sicherheitsmanagement in Entscheidungsprozesse möglich. So können Einzelaufgaben, die ohnehin in den Aufgabenbereich Sicherheitsmanagement fallen, mit ITIL institutionalisiert werden. Die so etablierten Prozesse unterstützen dabei den gesamten IT-Betrieb.