Das vorhandene oder fehlende technische Wissen des Informationssicherheitsbeauftragten

Sollte ein Informationssicherheitsmanager technisches Wissen haben? Warum eigentlich?

Technisches Wissen des Informationssicherheitsbeauftragten

InformationssicherheitBlogThema

Die Informationssicherheit hat neben rechtlichen, organisatorischen und personellen Aspekten auch mit technischen Fragestellungen zu tun. Systeme, die Informationen erfassen, verarbeiten und speichern müssen geschützt werden und sollten verfügbar sein. Ohne ein gewisses Grundverständnis sollte hier vorliegen.

Natürlich kann ein Sicherheitsmanager nicht die IT bis in die binäre Tiefe kennen. Hierzu stehen interne und externe Berater zur Verfügung, die mit ihrer Expertise einen detaillierten Einblick in einzelne Themen haben. Zu den internen Beratern zähle ich die IT Administration, aber andere Experten im Unternehmen, wie z.B. Programmierer oder Inhouse Softwarearchitekten. Externe Berater finden wir in Consulting Unternehmen - oder günstiger – als Freiberufler auf diversen Portalen.

Ich hatte anfangs schon hingewiesen, dass ein gewisses Grundverständnis vorhanden sein sollte, damit ein Sicherheitsmanager in der Lage, seine Arbeit auszuüben. Auch als Nicht-Experte sollte die Person, die diese Rolle ausübt, Überlegungen treffen, wie mit komplexen bzw. unbekannten Techniken umzugehen ist. Hier bietet sich ein standardisiertes Vorgehen an.

Ein einfaches Vorgehen, kann in Form Checklisten abgebildet werden. Ich benutze solche Checkliste gerne, um auch im Vorfeld allgemeine und wiederkehrende Aspekte zu prüfen. Checklisten sind ein praktischer roter Faden, der sicherstellt, dass alle Bereiche geprüft und keins vergessen wird. Gute Checklisten sind auch von außenstehenden leicht zu verstehen und zu beantworten.

Der allgemeinen Ansatz reicht in vielen Fällen nicht und ist eher ein Einstieg in Detailbetrachtungen. Für die angestrebte Vergleichbarkeit und – nicht zu vergessen – Nachvollziehbarkeit der durchgeführten Schritte sollte nach einem Schema vorgegangen werden. Ich beschreibe die betrachteten Anwendungen oder System aus Herstellersicht, dann wird diese Darstellung ergänzt mit der Funktion der betrachteten Lösung für das Unternehmen. Technologien bringen eine Vielzahl von Einsatzmöglichkeiten mit sich. Aus Gründen der Wirtschaftlichkeit sollten sich die Betrachtungen auf die im Unternehmen genutzten Funktionen beschränken. Warum soll ich die Serienfunktion von Word betrachten, wenn diese im Unternehmen nicht zum Einsatz kommt.

Eine Quelle, die ich gerne nutze, sind die Standards des BSI. Neben dem veralteten IT-Grundschutz-Katalog steht das aktuelle IT-Grundschutz-Kompendium zur Verfügung. Ein wesentlicher Unterschied liegt hier in der stärkeren Orientierung an die ISO 27001.

Die Standards des BSI beschreiben neben Vorgehensmodelle zum Thema Sicherheit, Risiko- und Notfallmanagement auch viele Bausteine zu Gefährdungen, Anforderungen und Maßnahmen. Um Kunden unnötige Aufwände zu ersparen, übernehme ich wenn möglich, Inhalte aus den vorhandenen Standards. Natürlich sollte mit Bedacht vorgegangen werden, nur Copy&Paste führt zu keinem erfolgreichem Ergebnis.

Andere Quellen sind einschlägige Medien zum Thema IT oder Portale z.B. zu Schwachstellen oder Ticker zu aktuellen Angriffen. Eine weitere Empfehlung sind die OWASP-Seiten, die ihren Schwerpunkt in der Betrachtung von Web-Anwendungen haben. Neben Vorgehensmodellen und Frameworks, bieten die Seiten auch Tools zum Testen von Schwachstellen bzw. Simulieren von Angriffen an. Weitergehende Erläuterungen helfen beim Verständnis so mancher Schwachstelle.

Kurz vor Ende dieses Beitrags möchte ich auf die Anwender hinweisen, die beabsichtigt oder unwissend so manchen Sicherheitsvorfall auslösen können. Hier hilft technisches Verständnis, aus der Anwenderperspektive Probleme zu erkennen und vielleicht später in Sensibilisierungsmaßnahmen, wie Schulungen, einfließen zu lassen.

Unabhängig, ob unternehmensspezifisch oder nach Standards, die Arbeitsweise des Sicherheitsmanagers sollte standardisiert und auch nach Jahren nachvollziehbar sein. Nur so lassen sich Fragen, nach dem Grund einer Entscheidung oder einer Handlung leicht klären. Fangen Sie einfach an und vermeiden bitte unnötige Komplexität.