/

Die Sicherheit managen

Ein Information Security Management System (ISMS) besteht aus Regeln und Methoden, die für die erforderliche Informationssicherheit sorgen. Ein ISMS ist ein prozessorientiertes Vorgehen auf einem Top-Down-Ansatz.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Laut der ISO Mit Informationssicherheitsmanagement oder kurz IS-Management wird die Planungs- und Len­kungsaufgabe bezeichnet, die zum sinnvollen Aufbau, zur praktischen Umsetzbarkeit und zur Sicher­stellung der Effektivität eines durchdachten und planmäßigen Sicherheitsprozesses sowie aller dafür erforderlichen Sicherheitsmaßnahmen erforderlich ist. Dieses umfasst auch die Erfüllung und Einhal­tung von gesetzlichen und regulatorischen Anforderungen.

Wie sieht ein ISMS in Unternehmen aus? Vielfältig, weil der Begriff unterschiedlich interpretiert wird und unterschichliche Org-Einheiten betrifft.

Disziplin, Geduld, die Übernahme von Verantwortung sowie die realistische und sorgfältige Vorbe­reitung von Projekten sind in vielen Organisationen zwar theoretisch anerkannte Werte, werden aber in der Praxis nicht immer gelebt. Gerade wenig spektakuläre Maßnahmen, wie Prozessoptimierung, Schulung und Sensibilisierung sowie Motivation von Mitarbeitern oder das Anfertigen von verständ­lichen Dokumentationen, verbessern das Sicherheitsniveau in der Praxis deutlich. Komplexe und da­durch teure Maßnahmen, Großprojekte und Investitionen in Technik werden oftmals völlig zu Un­recht als wirksamer dargestellt und sind häufig für den schlechten Ruf von Sicherheitsmaßnahmen als Kostentreiber verantwortlich. Im Folgenden werden daher Management-Prinzipien vorgestellt, deren Berücksichtigung eine gute Grundlage für ein erfolgreiches Informationssicherheitsmanage­ment bietet.

Aufgaben Leitungsebene

Welche Aufgabe hat die Leitungsebene beim ISMS? Erstmal muss die Gesamtverantwortung übernommen werden. Die Leitungsebene ist für das ordnungsgemäße Funktionieren der Organisation verantwortlich. Hierzu zählt nun mal auch die Sicherheit, nach innen und nach außen z.B in Richtung Lieferanten. Wie die Übernahme der Gesamtverantwortung auszusehen hat, wir auch von Gesetzen und Regularien mitbeeinflusst. Ist die verantwortliche Führungskraft gefunden, muss dies auch in der Organisation gegenüber den Mitarbeitern kommnuniziert werden.

Nach der Klärung der Verantwortung muss die Informationssicherheit zum Laufen kommen. Informationssicherheit muss initiiert, gesteuert und überwacht werden. Dieser Prozess (Sicherheitsprozess) kann aus folgenden Aufgaben bestehen:

  • Verabschiedung und Bekanntmachung einer Strategie zur Informationssicherheit sowie die angestebten Sicherheitsziele. Diese Strategie sollte im Einklang mit der Unternehmensstrategie stehen.
  • Als weitere Risiken müssen die Sicherheitsrisiken ermittelt und ihre Auswirkungen untersucht werden. Bis zu welcher Grenze können durch Risiken verursachte Schäden toleriert werden, ab ist die Existenz des Unternehmens gefährdet. Die Leitungsebene entscheidet über den Umgang mit Risiken und hat auch hier die Verantwortung.  
  • Der organisatorische Rahmen für die Informationssicherheit muß geschaffen werden und hierzu Zu­ständigkeiten und Aufgaben zugewiesen werden. 
  • Es muss für ausreichende Ressourcen, Budget, Personen, Räume gesorgt werden, damit Informationssicherheit in einer Organisation überhaupt möglich wird.
  • Für ausreichend Security Awareness muss gesorgt werden, indem Mitarbeiter für das Thema Sicherheit sensibilisiert werden und dies in ihre Aufgaben mitberücksichtigen.
  • Die definierte Sicherheitsstrategie muss regelmäßig geprüft und bewertet werden. Im Falle von Schwachstellen muß die Strategie angepasst werden.

Alle für das Eine, das Eine für alle. 

Das Thema Informationssicherheit ist kein Thema nur für die Leitungsebene, für wenige Mitarbeiter und den Informationssicherheitsbeauftragten. Sicherheit ist eine Querschnittsfunktion, die in alle Geschäftsprozesse und Projekte integriert werden sollte. Beispiele finden sich viele, ob in den Mitarbeiterprozesse, im Projektmanagement oder in Lieferketten. Der Schutzbedarf der Prozesse und Informationen ist zu ermitteln, dann die erforderliche Sicherheit implementieren. 

Ein meiner Meinung nach besonders wichtiger Prozess, der mit dem Thema Informationssicherheit gekoppelt werden muss. ist das Incident Management. Störungen können eine Schutzziele betreffen, sie können durch Angriffe verursacht sein oder verdeutlichen Schwachstellen im Unternehmen. Hier können Auswertungen als Indikatoren rechtzeitig die Organisation vor größeren Schäden bewahren. 

Ohne Sicherheitsprozesse können SIe natürlich ein ISMS aufbauen. In einem meiner Projekte stellte sich nach vielen Interviews heraus, dass eine Abteilungen ihre eigenen ISMS mit unterschiedlichen Reifegraden und Aktualität aufgebaut hatten. Schauen Sie nach Dateiablagen, WIKI oder nach den in den Abteilungen für Sicherheit verantwortlichen. Solche Silos erschweren den Aufbau eines einheitlich Schutzniveau innerhalb des Unternehmen, darüber hinaus werden durch redundante Tätigkeiten Ressourcen vergeudet. Höchste Zeit für ein Gespräch mit der Leitungsebene.  

In kleineren Unternehmen ist das ISMS in einer Hand, bei der IT. In der Regel wurde ein Mitarbeiter zum Informationssicherheitsbeauftragten bestimmt. Der frisch gekürte Mitarbeiter muss nun seine bisherige Aufgabe und die des ISB wahrnehmen, wodurch das eine oder andere Thema hinten runter fällt.

Ein langfristig effizienten ISMS muss einen Verantwortlichen auf Leitungsebene, Teil der Unternehmensprozesse sein und regelmäßig geprüft, angepasst und verbessert werden. Nach einem Vorfall sollte stets geprüft werden, ob das ISMS verbessert werden muss. Ändern sich Geschäftsprozesse muss der ISB darüber informiert werden-Der Erfolg der Sicherheitsprozesse hängt mit dem Erfolg der Unternehmensprozesse zusammen.

Erreichbare Ziele setzen Projekte scheitern oft an unrealistischen oder zu ehrgeizigen Zielvorgaben. Dies ist im Bereich In­formationssicherheit auch nicht anders. Um das angemessene Sicherheitsziel zu erreichen, können viele kleine Schritte und ein langfristiger, kontinuierlicher Verbesserungsprozess ohne hohe Inves­titionskosten zu Beginn effizienter sein als ein groß angelegtes Projekt. So kann es zweckmäßig sein, zunächst nur in ausgewählten Bereichen das erforderliche Sicherheitsniveau umzusetzen und dort etwa in die Breite gehend mit der Basis-Absicherung oder in die Tiefe gehend mit der Kern-Absicherung aus dem IT-Grundschutz zu arbeiten. Von diesen Keimzellen ausgehend, muss dann die Sicherheit innerhalb der Institution jedoch zügig auf das angestrebte Niveau gebracht werden. 5. Sicherheitskosten gegen Nutzen abwägen Eine der schwierigsten Aufgaben ist es, die Kosten für Informationssicherheit gegenüber dem Nutzen und den Risiken abzuwägen. Es erscheint hier sehr wichtig, zunächst in Maßnahmen zu investieren, die besonders effektiv sind oder gegen besonders hohe Risiken schützen. Die effektivsten Maßnah­men sind dabei erfahrungsgemäß jedoch nicht immer die teuersten. Es ist daher unerlässlich, die Abhängigkeit der Geschäftsprozesse und Aufgaben von der Informationsverarbeitung zu kennen, um angemessene Sicherheitsmaßnahmen auswählen zu können. Dabei ist zu betonen, dass Informationssicherheit immer durch ein Zusammenspiel aus technischen und organisatorischen Maßnahmen erreicht wird. Die Investitionen in Technik sind unmittelbar am Budget ablesbar. Damit diese Kosten gerechtfertigt sind, müssen die Sicherheitsprodukte so einge­setzt werden, dass sie den optimalen Nutzen bieten. Dafür müssen sie aber auch zweckgerichtet ausgewählt worden sein und entsprechend bedient werden, also beispielsweise müssen sie in die ganzheitliche Sicherheitskonzeption integriert sein und die Mitarbeiter in deren Nutzung geschult sein. Häufig können technische Lösungen auch durch organisatorische Sicherheitsmaßnahmen er­setzt werden. Erfahrungsgemäß ist es aber schwieriger, sicherzustellen, dass organisatorische Maß­nahmen konsequent umgesetzt werden. Zudem steigt dadurch der personelle Aufwand und belastet somit auch die Ressourcen. 6. Vorbildfunktion Die Leitungsebene muss auch im Bereich der Informationssicherheit eine Vorbildfunktion überneh­men. Dazu gehört unter anderem, dass auch die Leitungsebene alle vorgegebenen Sicherheitsregeln beachtet, selbst an Schulungsveranstaltungen teilnimmt und andere Führungskräfte bei der Aus­übung ihrer Vorbildfunktion unterstützt.

4.3 Erfolgskontrolle im Sicherheitsprozess

Eine Erfolgskontrolle und Bewertung des Sicherheitsprozesses durch die Leitungsebene sollte regel­mäßig stattfinden (Managementbewertung). Bei Bedarf (z. B. bei der Häufung von Sicherheitsvorfäl­len oder einer deutlichen Änderung der Rahmenbedingungen) müssen entsprechende Kontrollen und Bewertungen auch zwischen den Routineterminen vorgenommen werden. Alle Ergebnisse und Be­schlüsse müssen nachvollziehbar dokumentiert werden [DOK]. Bei der Diskussion sollte unter anderem folgenden Fragen nachgegangen werden:

  • Haben sich Rahmenbedingungen geändert, die dazu führen, dass das Vorgehen in Bezug auf In­formationssicherheit geändert werden muss?
  • Sind die Sicherheitsziele noch angemessen?
  • Ist die Leitlinie zur Informationssicherheit noch aktuell?

Der Schwerpunkt bei der Erfolgskontrolle des Sicherheitsprozesses liegt dabei nicht auf der Überprü­fung einzelner Sicherheitsmaßnahmen oder organisatorischer Regelungen, sondern auf einer Ge­samtbetrachtung. Beispielsweise könnte sich der sichere Betrieb eines Internetportals als zu teuer für ein kleines Unternehmen herausstellen. Die Leitungsebene könnte dann als Alternative einen Dienstleister mit der Betreuung des Portals beauftragen. Hierbei ist es hilfreich, zu prüfen, wie sich das Sicherheitskonzept und die Sicherheitsorganisation bisher bewährt haben. Stellt sich z. B. heraus, dass die Sicherheitsmaßnahmen unwirksam oder ausgesprochen teuer sind, kann dies ein Anlass da­für sein, die gesamte Sicherheitsstrategie noch einmal zu überdenken und anzupassen. Dabei sollten sich die Betroffenen die folgenden Fragen stellen:

  • Ist die Sicherheitsstrategie noch angemessen?
  • Ist das Sicherheitskonzept geeignet, um die gesteckten Ziele zu erreichen? Werden z. B. die ge­setzlichen Anforderungen erfüllt?
  • Ist die Sicherheitsorganisation geeignet, um die Ziele realisieren zu können? Muss deren Stellung innerhalb der Institution gestärkt oder sie stärker in interne Abläufe eingebunden werden?
  • Steht der Aufwand – also Kosten, Personal, Material –, der zur Erreichung der Sicherheitsziele betrieben wird, in einem sinnvollen Verhältnis zu den Geschäftszielen bzw. dem Auftrag der Insti­tution?

4.4 Kontinuierliche Verbesserung des Sicherheitsprozesses

Die Ergebnisse der Erfolgskontrolle müssen konsequent zu angemessenen Korrekturen genutzt wer­den. Dies kann bedeuten, dass die Sicherheitsziele, die Sicherheitsstrategie und/oder das Sicherheits­konzept geändert werden müssen und die Sicherheitsorganisation den Erfordernissen angepasst wer­den sollte. Unter Umständen erscheint es sinnvoll, grundlegende Änderungen an Geschäftsprozessen oder der IT-Landschaft vorzunehmen sowie Geschäftsprozesse aufzugeben oder auszulagern, wenn z. B. deren sicherer Betrieb mit den zur Verfügung stehenden Ressourcen nicht länger gewährleistet werden kann. Wenn größere Veränderungen vorgenommen und umfangreiche Verbesserungen um­gesetzt werden, schließt sich der Management-Kreislauf wieder durch den erneuten Beginn der Pla­nungsphase.