Mit den richtigen Fragen ein nachhaltiges System aufsetzen. Das ist die Kunst. Informationssicherheit brennt schließlich vielen Unternehmen unter den Nägeln, da der Gesetzgeber die Anforderungen an die Informationssicherheit und deren Umsetzung strenger kontrolliert.
Gerade das Management der Informationssicherheit stellt für Betriebe eine Herkulesaufgabe dar. Doch es greift zu kurz, das Thema mit einer technologischen Lösung abschließen zu wollen – ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) berücksichtigt immer den Faktor Mensch. Dennoch ist es möglich, ein ISMS ohne Reibungsverluste in die bereits bestehenden Abläufe eines Unternehmens zu integrieren und eine Kultur zu schaffen, die die Sicherheit der Informationen priorisiert.
In der Geschäftswelt dreht sich in Zeiten der Digitalisierung alles um Informationen. Kunden- und Produktdaten, Daten aus Forschung und Entwicklung oder Patente: Sie stellen für Unternehmen Geschäftsbasis und USP dar. Die Sicherheit der Firmen- und Geschäftsdaten hat in den vergangenen Jahren deutlich an Bedeutung gewonnen. Gerade der Gesetzgeber nimmt zunehmend Einfluss: So wurden mit der DSGVO personenbezogene Daten stärker geschützt und mit der KRITIS Verordnung, die den Betrieb kritischer, für die Versorgung der Bevölkerung relevanter Infrastrukturen umfasst, reguliert der Gesetzgeber den Umgang mit IT-Sicherheit. Die Sensibilisierung auf das Thema resultiert in hohen Erwartungen der gesamten Gesellschaft.
Wechselnde Schutzbedarfe
Die schützenswerten Informationen in einem Unternehmen lassen sich allerdings nicht immer leicht identifizieren, da sie von mehreren Faktoren abhängen: Der Perspektive des Beurteilenden, den regulatorischen Rahmenbedingungen wie Gesetzen und Verordnungen sowie dem Zeitpunkt der Betrachtung. Alle drei Faktoren beeinflussen die Schutzbedarfsfeststellung.
Da Unternehmen besonders in ihren Kernprozessen zunehmend abhängig von der IT in der Verarbeitung der Informationen werden, ist zum Beispiel das Wissen um Schwachstellen der IT-Infrastruktur zunächst hochbrisant. Mit der Kenntnis um das Problem wird der Hersteller die Sicherheitslücken jedoch schließen. Früh im Prozess ist die Kenntnis der Schwachstelle noch kritisch für die Sicherheit und erfordert ggfs. kurzfristig umzusetzende Maßnahmen, aber im weiteren zeitlichen Verlauf verliert sie an Bedeutung, sofern die vom Hersteller bereitgestellten Patches „eingespielt“ wurden. Mit der DSGVO dagegen wurde die Definition personenbezogener Daten ausgeweitet und ihr Schutz erhöht: Daten, die ursprünglich keinen hohen Schutz genossen, haben nun einen anderen Stellenwert bekommen.
Drei Grundwerte sind zentral bei der Evaluierung des Schutzbedarfs: Verfügbarkeit, Vertraulichkeit und Integrität von Informationen. Sie gewährleisten, dass Daten immer zur Verfügung stehen, wenn sie benötigt werden, dass nur Berechtigte Zugriff haben und dass sie nur von Berechtigten verändert werden können.
Ein technologisches System löst das Problem nicht
Es ist zu beobachten, dass Informationssicherheit oft zu stark auf die IT-Sicherheit und damit auf die digital gespeicherte und verarbeitete Information begrenzt wird. Doch es ist ein Fehler, zu glauben, dass man ein Informationssicherheitsmanagementsystem mit einem Technik-Tool herstellen kann. Denn das Informationssicherheitsmanagement ist losgelöst von der Darstellungsform der schützenswerten Information: auch schriftliche Dokumente wie Verträge oder die Inhalte von Kundengesprächen oder Emails können schützenswert sein.
In der Folge sind sich Mitarbeiter von Unternehmen natürlich dem Risiko bewusst, den ein Dateianhang in einer Email bergen kann. Aber auf der Dienstreise werden im Flugzeug vertrauliche Dokumente gelesen, sensible Informationen auf dem Notebook angezeigt oder in der Lounge laut telefoniert. Dieser Umgang mit vertraulichen Informationen stellt ein noch größeres Sicherheitsrisiko dar als die klassischen Gefährdungen wie Schadsoftware in IT-Strukturen oder nicht zerstörte Dokumente aus der Personalabteilung.
Mitarbeiter sensibilisieren und eine Unternehmenskultur aufbauen
Vor der Einleitung von technischen Maßnahmen muss deswegen der Faktor Mensch berücksichtigt und die Mitarbeiter sensibilisiert und aufgeklärt werden. Wichtig dabei ist es, Verhaltensalternativen aufzuzeigen, um in verschiedenen Rahmenbedingungen sicher mit den sensiblen Informationen umgehen zu können. Denn Mitarbeiter sind sich zwar manchmal über ihr Fehlverhalten im Klaren, sehen aber keine Alternative dazu. Ziel muss es deswegen sein, eine Kultur und ein Bewusstsein dafür zu schaffen. Hierfür ist notwendig, dass die Mitarbeiter die Regeln und ihre Gründe verstehen, nur, wenn sie motiviert sind, werden sie den Prozess auch unterstützen und sich aktiv daran beteiligen. Die Mitarbeiter im Unternehmen tragen die Informationssicherheit deswegen entscheidend, ISB, CSO oder Management haben es in der Hand, diese förderliche Kultur entstehen zu lassen.
Mit vier Schritten ein ISMS aufbauen
Ein Informationssicherheitsmanagementsystem kann ohne technische Unterstützung funktionieren und dabei schlank sein. Bewährt hat sich die sogenannte Plan – do – check – act -Methodik, die vier Schritte umfasst.
- Ziele definieren: Ein Unternehmen braucht zunächst Klarheit darüber, welche Sicherheitsniveaus erreicht werden soll. Eine komplexe Aufgabe, da dieses Niveau abhängig von Unternehmensbereich und betroffenen Informationen variiert. Der Schutzstatus der Informationen muss erfasst und bewertet werden.
- Risikoanalyse und -assessment. Hier werden die Szenarien durchgespielt, die das Erreichen des angestrebten Sicherheitsniveaus verhindern.
- Maßnahmenplanung: Hier werden die Maßnahmen auf Basis der zur Verfügung stehenden Ressourcen geplant, um die Risiken zu mitigieren.
- Messung: Ergebnisse und Wirksamkeit der Maßnahmen werden validiert. Zudem wird überprüft, ob die Sicherheitsziele noch relevant sind oder angepasst werden müssen.
Alle diese vier Schritte fallen auf die Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität zurück. Ein Informationssicherheitsmanagementsystem ist immer ein Kreislauf, keine einmalige Kraftanstrengung. Der Prozess endet nicht – und in der Folge der stetigen Optimierung des Systems steigt auch das Sicherheitsniveau im Unternehmen.
Die richtigen Fragen finden und stellen
Die Herausforderung für Unternehmen besteht darin, die richtigen Fragen zu stellen. Hier kann eine externe Unterstützung hilfreich sein. Folgende drei Fragen sollten als erstes beantwortet werden: Welche Informationen werden auf jeden Fall benötigt, um das Geschäft am Laufen zu halten? Welche Information darf auf keinen Fall verändert werden? Welche Information darf kein Unberechtigter zu Gesicht bekommen? Mit den Antworten kann aus der Vielzahl der möglichen Informationen eine erste Einschränkung vorgenommen werden. Wichtig ist es, die richtigen Fragen zu stellen, da die unterschiedlichen Perspektiven zu unterschiedlichen Antworten führen können. Deswegen beginnt der Prozess bei der Unternehmensleitung und wird Schritt für Schritt auf die tieferen Unternehmensebenen heruntergebrochen. Sind die schützenswerten Informationen erst einmal identifiziert, ist durch diese Art des Vorgehens auch das Warum geklärt.
Prozesse in iterativem Ansatz bestehenden Abläufen verankern
Wichtig beim Aufsetzen eines Informationssicherheitsmanagementsystems ist es, nicht auf der „grünen Wiese“ anzufangen. Denn der Kunde verfügt bereits über Systeme, Richtlinien und Prozesse. Besser ist es daher, das System auf natürliche Weise in die bestehenden Strukturen einzubetten statt zusätzliche Aufwände und Prozesse neu zu erschaffen. Nur so gelingt es, die Mitarbeiter zu motivieren, eine aktive Rolle zu übernehmen. Wer sofort 100 Prozent anstrebt, überfordert seine Belegschaft und demotiviert sie.
Für viele Unternehmen stellt sich ein ISMS als eine unerreichbare und komplizierte Herkulesaufgabe dar. Entsprechend groß ist die Hemmschwelle, sich ihr anzunehmen. Deswegen ist es wichtig, den Prozess Schritt für Schritt anzugehen. Ausgehend von einem Teilbereich, einer Abteilung oder einem Prozess lässt sich über den sowieso notwendigen Prozess ein höheres Sicherheitsniveau erreichen und das ISMS kann langsam erweitert werden. Mit diesem iterativen Ansatz statt einer globalen Lösung wird der Reifegrad natürlich weiterentwickelt und das System nicht künstlich „aufgebläht“.
Diese Vorgehensweise bietet sich an, da in der Regel ein externer Impuls oder konkrete Schadensfälle Bewusstheit in Unternehmen für die Thematik schaffen. Dort ansetzend, kann ein Informationssicherheitsmanagementsystem aufgebaut werden. Die Lösungen werden so zusätzlich in ein Managementsystem eingebettet – sonst verpuffen sie als einmalige Maßnahme, während andere Probleme nicht adressiert werden.
Randolf Heiko Skerka, zuständig für das IS-Management bei der SRC Security Research & Consulting GmbH, https://src-gmbh.de/de/, ermahnt zur Gelassenheit und Angemessenheit. Risiken und Maßnahmen müssen in einer adäquaten Relation stehen, so dass die Prävention am Ende nicht teurer wird als die Auswirkungen eines Schadensfalls.
Fazit
Es gibt kein Standardrezept für ein Informationssicherheitsmanagementsystem: Ausgangslagen, Rahmenbedingungen und Zielvorstellungen sind individuell. Unternehmen sollten sich dem Thema deswegen Schritt für Schritt annähern und einen Partner suchen, der sie darin unterstützt, die richtigen Fragen zu stellen. Wichtig ist dabei, die Belegschaft ins Boot zu holen und eine Kultur zu erschaffen, die die Informationssicherheit in allen Tätigkeitsbereichen fördert.
Nadja Müller, freie Journalistin
https://src-gmbh.de/de/