09.02.2021

Thorsten Jost, CISM

Was ist Ihr persönlicher Zugang zum Thema?
Als langjähriger Sicherheitsberater für internationalen Konzerne und Behörden habe ich mit meinem Team bereits viele Sicherheitsorganisationen erfolgreich aufgebaut und erfolgreich zum ISO 27001 Zertifikat gebracht. Ich sehe täglich, wie Organisationen durch Cyberangriffe nicht mehr handlungsfähig sind, wie Kundendaten und vertrauliche Daten im großen Stil gestohlen und veröffentlicht werden, wie Unternehmen erpresst werden und letztendlich welcher enorme Schaden entsteht, wenn sich Unternehmen und Behörden nicht Ihrer Sicherheitsrisiken bewusst sind. Auch für Cyberangriffe gilt leider: „Es ist nicht die Frage ob, sondern wann man angegriffen wird“ – und dann zählt nur noch eine gute Vorbereitung.

 

Was sind die Anforderungen um die Norm ISO 27001:2013 zu erfüllen?
Bei der Umsetzung der Norm wird ein sogenanntes Informationssicherheits-Managementsystem, kurz ISMS, innerhalb der Organisation aufgebaut und betrieben. Ein solches Managementsystem besteht aus einer umfangreichen normativ geforderten Dokumentation (Richtlinien, Arbeitsanweisungen, Nachweise) sowie auch einer entsprechenden Sicherheitsorganisation als auch aus mehreren Sicherheitsprozessen, die für den Betrieb und die Aufrechterhaltung der Informationssicherheit, erforderlich sind. Das Ziel ist es, bei sämtlichen Handlungen und Abläufen der Organisation risikoorientiert vorzugehen. Durch entsprechende Methodiken werden Sicherheitsrisiken identifiziert und mit adäquaten Maßnahmen behandelt bzw. reduziert. Die große Herausforderung liegt in der praxistauglichen Umsetzung dieser theoretischen Anforderungen, um den Geschäftsbetrieb nicht zu blockieren. Auch wenn Unternehmen oder Behörden ihr ISMS nicht zertifizieren lassen möchten, bringt ein solches dennoch den großen Vorteil mit sich – nämlich Sicherheitsrisiken zu erkennen und effektiv zu behandeln.

 

Was kann man sich genau unter der Ausbildung vorstellen?
Täglich lesen und hören wir vom Anstieg der der Gefährdungen im Cyberraum. Die fortschreitende Digitalisierung führt einerseits dazu, dass Cyberkriminelle immer mehr Möglichkeiten für erfolgreiche Angriffe erhalten und andererseits erhöht sie die Komplexität in Unternehmen, sodass IT-Abteilung oftmals den Überblick verlieren. Aus diesem Grund ist im Bereich der Cyber- bzw. Informationssicherheit eine gesamtheitliche Betrachtung von Gefährdungen und Maßnahmen erforderlich. Wir bilden in unserem Kurs die TeilnehmerInnen so aus, dass Sie die Anforderungen der Informationssicherheit verstehen und selbständig Risiken ganzheitlich innerhalb der Organisation identifizieren können sowie die erforderlichen Maßnahmen treffen oder vorschlagen können. Dabei orientieren wir uns an der international anerkannten Norm ISO 27001:2013, die auch die Grundlage für die Umsetzung und den Betrieb eines Informationssicherheits-Managementsystems kurz ISMS darstellt.

 

Seit wann gibt es diese Ausbildung und warum ist diese gerade jetzt so wichtig?
Diese Ausbildung findet nun schon seit vielen Jahren an der Donau Universität Krems statt und es wurden bereits mehrere hundert Teilnehmer ausgebildet. Die fortschreitende Digitalisierung, der starke Anstieg an erfolgreichen Angriffen auf Unternehmen und die gesetzlichen Verschärfungen zwingen Unternehmen und Behörden geradezu sich mit dem Thema Cyber- und Informationssicherheit auseinanderzusetzen.

 

Was lernen die TeilnehmerInnen bzw. was ist der Zweck der Ausbildung?
Im Rahmen dieser Ausbildung erhalten die TeilnehmerInnen einen umfassenden Überblick zur Norm ISO 27001:2013. Sie lernen anhand mehrerer praxisbezogener Workshops, wie sie die Anforderungen dieser Sicherheitsnorm in ihrer Organisation umsetzen können und worauf sie insbesondere in Bezug auf eine Zertifizierung achten müssen. Als Zertifizierungsauditor und ehemaliger langjähriger Group CISO kenne ich die Anforderungen sehr gut und gehe entsprechend darauf ein. Die TeilnehmerInnen können am Ende des Kurses freiwillig eine schriftliche Prüfung durch die Zertifizierungsstelle in Anspruch nehmen und somit ihre Kenntnisse nachweisen.

 

Was sind die Voraussetzungen und Kriterien, um den Kurs zu besuchen?
Der Kurs richtet sich an Personen, die innerhalb ihrer Organisation die Verantwortung übernommen haben oder übernehmen werden, ein Informationssicherheits-Managementsystem normenkonform nach „best practices“ aufzubauen. Dies sind vor allem Informationssicherheitsbeauftrage bzw. CISOs, aber auch IT-Leiter und  deren Mitarbeiter, Projektmanager, Qualitätsmanager, Geschäftsführer sowie Unternehmensberater oder Softwarehersteller für Sicherheitsmanagementsoftware. Um vor allem die technischen Risiken und Maßnahmen besser zu verstehen, wird eine gewisse Affinität zur Informationstechnologie empfohlen.

Weiterführende Informationen

Zum Anfang der Seite