/

Never Ending Security...

Informationssicherheit, ein Prozess mit einen Anfang und keinem Ende

Sicherheitsprozesse haben so eine lästige Eigenschaft. Sie fangen irgendwann an, aber sie kennen kein Ende und keine Abschluss. Hier liegt der große Unterschied z.B. zu einem Projekt, welches Anfang und Ende sehr wohl kennt.

In manchen Projekten entsteht der Eindruck, dass nach den anfänglichen Ambitionen nach Erreichen eines angestrebten Ziels die Luft ausgeht. Entweder werden bisher verfügbaren Ressourcen abgezogen für andere Projekte oder das Unternehmen entdeckt neue strategische Themen, die neu im Fokus stehen. Hier unterliegen die Verantwortlichen einem großen Fehlurteil, denn die Schaffung von Informationssicherheit ist nicht  zeitlich begrenzte oder auf eine Zielerreichung beschränkt, sondern Informationssicherheit ist ein kontinuier­licher Prozess im Unternehmen. Doch was bedeutet das?

Informationssicherheitsmanagementsysteme (ISMS) definieren Regularien und geben Handlungsanweisungen vor, jedoch muß die Wirksamkeit der implementierte Sicherheitssysteme regelmäßig überprüft werden. Ein Unternehmen wächst, es findet eine Umstrukturierung statt oder veränderte bzw. neue Geschäftsfelder verändert das Unternehmen, ist das bisherige ISMS noch angemessen? Diese ständige Überprüfung der eigenen Informationssicherheit beginnt bei den einzelnen SIcherheitsmaßnahmen und reicht bis in die Sicherheitsstrategie des Unternehmens. Zum Beispiel spiegeln sich in den KRITIS-Verordnungen die Anforderungen an die unterschiedliche  Unternehmen und deren -größen wieder. neben Regularien können auch Stakeholder ihre Wünsche im Umfeld Sicherheit platzieren. 

Die regelmäßige Überprüfung der Sicherheitsmaßnahmen und deren Umsetzung sollte intern und extern auditiert werden. Bei internen Audits, die in kürzeren Zeitabständen als externe erfolgen können, sollten die Prüfer keinen direkten Bezug zu den Sicherheitsmaßnahmen haben, z.B. aus einer anderen Abteilung. Mit Hilfe von Checklisten und Interviews wird in Stichproben dann ermitteln, wie weit die aktuele Umsetzung der Maßnahmen von den angestrebten entfernt sind. Berücksichtigen diese Überprüfungen auch Übungen und die Sensibilisierung der Mitarbeiter kann auch die Wirksamkeit der Maßnahmen untermauert werden. Auf diese Weise kann auch festgestellt werden, ob alle vorgesehenen Abläufe z.B. im Falle eines Notfalls auch funktionieren würden.

Bei den erfolgten Überprüfungen wird der Bedarf an Beseitung von Schwach­stellen und der Verbesserungsbedarfs an der Sicherheit sichtbar. Die Verantwortlichen sollten im Vorfeld geklärt werden und nicht in z.B. Diskussionen über das Bugdet eine Optimierung der eigenen SIcherheit erschwert werden. Fehlende Sicherheit oder missachtete Sicherheit erfordet deutliche Konsequenzen bis hin zur Umstrukturierung der Prozesse und Verantwortlichen. Die Agilität eines Unternehmens im Bereich Sicherheit sollte bestehen und erhalten werden, um im Ernstfall rasch auf Gefährdungen zu reagieren zu können. 

Informationssicherheit unterliegt auch zukünftige Entwicklungen in der Gesellschaft und in der Technik. Neben den Vorteilen birgen neue Techniken auch neue Risiken für das Unternehmen und deren Geschäftsprozesse. Als Beispiel ist das Internet of Things (IoT) zu benennen, welchen mit den vielen anfänglichen Problemen eines leichtes Ziel von Angreifern war. Um solchen kommenden und möglichen potenzielle Gefährdungen sich rechtzeitig vorzubereiten, sollten Informationssicherheitsbeauftragte früh in die Einführung von Technologien und neuen Prozessen eingebunden werden. 

Zum Abschluß dieses Artikel sollte festgehalten werden, dass eine Überprüfung der Informationssicherheit nicht nur eine Fehlersuche sein solte, sondern die Verbesserung bis hin zu den Sicherheitsprozessen anstreben sollte. Werden Verbesserungspotentiale erkannt, sollte diese auch einfließen. Möglicherweise müssen Sicher­heitsziele oder die Sicherheitsstrategie angepasst werden. Die erreichten Verbesserungen sind nicht nicht nur unter finanziellen Aspekten zu sehen, auch Themen wie das Image des Unternehmens oder die Motivation der Mitarbeiter können durch Optimierungen einen Nutzen ziehen.