Die Bedrohungen für die Informationssicherheit (ISEC) haben in den letzten Jahren Umfänge und Ausmaße angenommen, welche nicht mehr nur das »Problem« der IT sind, sondern Unternehmen insgesamt schaden können. Die Unternehmensführung muss sich zukünftig mehr mit den Inhalten und Auswirkungen beschäftigen, um die Pflichten zur ordnungsgemäßen Geschäftsführung erfüllen zu können. Eine individuelle ISEC-Strategie kann dabei helfen, den Verantwortlichen für das Informationssicherheitsmanagement Vorgaben zu geben und diese in ihrer Arbeit zu unterstützen.
In den vergangenen Monaten haben insbesondere zwei Vorfälle Aufsehen erregt: Die Ransomware Wanna-Cry hat weltweit über 220.000 Systeme befallen. Die Betroffenen haben bisher über 50.000 US-Dollar als Lösegeld gezahlt, ein großer Automobilhersteller musste die Produktion anhalten, Krankenhäuser Operationen verschieben und die Deutsche Bahn auf handgeschriebene Abfahrtstafeln ausweichen. Der volkswirtschaftliche Schaden hält sich zwar in Grenzen, jedoch haben die betroffenen Unternehmen Reputationsschäden erlitten. Ein anderer Fall betraf einen Automobilzulieferer aus dem fränkischen Raum: durch einen sogenannten CEO-Fraud wurde das Unternehmen um fast 40 Millionen Euro betrogen. Neben dem direkten monetären Schaden sackte der Aktienkurs nach der Bekanntmachung um mehr als sieben Prozent ab. Nach eigener Aussage wurden die IT-Systeme zwar nicht ausspioniert, nichtsdestoweniger mussten Informationen im wesentlichen Umfang kompromittiert werden, damit die betroffenen Mitarbeiter von der scheinbaren Rechtmäßigkeit der Anweisung überzeugt werden konnten.
- Die genannten Beispiele verdeutlichen mehrere Aspekte in Bezug auf die Informationssicherheit beziehungsweise der Bedeutung einer Informationssicherheitsstrategie (kurz: ISEC-Strategie):
- Die zunehmend schnelleren Innovationszyklen und die ständig wachsende IT-Durchdringung führen dazu, dass sich Malware und andere Bedrohungen immer rasanter und auf bis dato unbekannten Wegen ausbreiten können, was die negativen Auswirkungen steigen lässt. Die Frage ist nicht mehr, ob, sondern wann ein Sicherheitsvorfall entsteht – ein direkter Angriff auf die Informationssicherheit.
- Organisierte Kriminalität, staatliche Geheimdienste und Wettbewerber »verdrängen« die klassischen Hacker und Web-Aktivisten. Ziele werden spezifisch nach dem »Bedarf« der Täter ausgewählt, beispielsweise hinsichtlich potenzieller Lösegelder oder zu erbeutender Technologien.
- Die Angriffe werden zunehmend ausgefeilter und aufwendiger: Advanced Persistent Threats, Spear Phishing, Business-Process-Compromise-Angriffe und Social-Engineering-Attacken – die Menge an unternehmensspezifischen Bedrohungen und Angriffen stieg in Deutschland in den letzten zwölf Monaten um fast das Vierfache.
- Nur ein koordiniertes Vorgehen vieler Beteiligter, sowohl staatlicher als auch privater Akteure, kann die sich aus dieser Bedrohungslage ergebenden Risiken zumindest teilweise verringern. Der Gesetzgeber hat dies ebenfalls erkannt und regelt die ISEC-Aspekte immer umfangreicher, etwa im Rahmen der KRITIS-Gesetzgebung.
Vor diesem Hintergrund ist die in der Vergangenheit häufig zu beobachtende »Vernachlässigung« der Informationssicherheit durch die Geschäftsführung ebenso fatal wie eine reine Fokussierung ausschließlich auf die Aspekte der IT-Sicherheit als Teilmenge der Informationssicherheit. Für die ISEC-Praktiker reichen allgemein gehaltene Grundsätze wie »So viel Sicherheit wie nötig, aber so wenig wie möglich« längst nicht mehr aus, um ihr Handeln an der Absicht der Geschäftsführung ausrichten zu können. Dazu gehört auch ein unternehmensweites Umdenken von der Prävention hin zur Resilienz – und das unter Berücksichtigung aller Aspekte des Unternehmens. So wie die Bedrohungen immer zielgerichteter werden, muss sich die ISEC-Strategie spezifisch an den Bedürfnissen des Unternehmens ausrichten.
Zwecke einer ISEC-Strategie. Eine Informationssicherheitsstrategie verfolgt im Wesentlichen folgende Zwecke:
- Vorgabe von »Leitplanken« in Bezug auf die Etablierung, Anpassung und Kontrolle der Informationssicherheit im Unternehmen.
- Abbildung der Risikofreudigkeit und -aversion des Unternehmens im Sinne einer Risikostrategie.
- Ein- und Abgrenzung als Scoping und zur Priorisierung der Informationssicherheit (»Selbstverständnis«).
- Darstellung des Bewusstseins der Unternehmensführung für Informationssicherheit im Sinne eines »Commitments« zur Einführung und Durchsetzung der Inhalte der ISEC-Strategie.
In der Folge stellt die ISEC-Strategie den Orientierungsmaßstab für die Verantwortlichen der Informationssicherheit dar. Diese können so den an sie gestellten Auftrag besser im Sinne der Geschäftsführung erfüllen, da in der Folge die Absicht der Leitung klar zur Geltung kommt.
Bestandteile einer ISEC-Strategie. Die Informationssicherheitsstrategie besteht aus vier Elementen, welche aufeinander aufbauen: Ausgehend von einer Lagefeststellung und -analyse (1) werden die Anforderungen an die Informationssicherheit (2) identifiziert. Anschließend sollten die konkreten, unternehmensspezifischen Grundsätze und Ziele für die Informationssicherheit (3) aufgestellt werden. Um diese Ziele umsetzen zu können, sollten abschließend auch die organisatorischen und ressourcenbezogenen Rahmenbedingungen sowie Vorgaben zur Durchführung und Kontrolle (4) abgebildet werden. Die jeweiligen Bestandteile werden im Folgenden detailliert.
1. Analyse des Unternehmensumfeldes.
Das erste Element stellt eine Analyse der Implikationen aus unternehmensinternen Geschäftsanforderungen, den Anforderungen aus Beziehungen zu anderen Unternehmen (Zulieferer und Abnehmer), den Branchenspezifika und den Vorgaben und Erwartungen des Unternehmensumfeldes, etwa von Anteilseignern und dem Gesetzgeber, dar. Die Kernfrage dieses Bereichs lautet: »Welche relevanten Rahmenfaktoren bestehen für das Informationssicherheitsmanagement im Unternehmen?« Hierzu können Prüffragen eine schnelle und hinreichende Erfassung unterstützen:
- Unternehmensinterne Geschäftsanforderungen: Aus der Unternehmensstrategie und den zugehörigen Teilstrategien und anderen Aussagen der Leitung (z. B. Geschäftsbericht) sollten die entsprechenden Implikationen für die ISEC-Strategie identifiziert werden. Plant das Unternehmen die Erschließung von neuen Märkten (Reisetätigkeiten von besonders gefährdetem Personal) oder den Aufbau einer Produktionslinie im Ausland (erhöhte Gefahr von Industriespionage)? Sollen zukünftig neue Technologien (IoT-Devices) eingesetzt werden? Welche Besonderheiten (Dislozierung der Werke) ergeben sich aus der Unternehmensstruktur?
- Anforderungen aus Beziehungen zu anderen Unternehmen: Welche (vertraglichen) Herausforderungen entstehen aus der Verbindung mit anderen Unternehmen? Bestehen bestimmte Verpflichtungen aus Vereinbarungen und Verträgen? Müssen IT-Dienstleister auch aus ISEC-Sicht gesteuert werden?
- Branchenspezifika: Existieren besondere Vorgaben in Bezug auf die Unternehmensbranche, etwa durch Anforderungen der Branchenverbände (vgl. Information Security Assessment des VDA)?
- Vorgaben und Erwartungen des Unternehmensumfeldes: Unterliegt das Unternehmen bestimmten regulatorischen Anforderungen wie dem BSIG, dem Geheimschutz, dem KWG oder dem EnWG? Welche Implikationen ergeben sich durch aktuelle Anpassungen der Gesetzgebung, beispielsweise aus der DSGVO? Gibt es besondere Herausforderungen aus dem Kreis der Anteilseigner?
2. Anforderungen an die Informationssicherheit.
Ausgehend von der Lagebeschreibung werden die sich ergebenden Implikationen gegen die grundlegende Bedrohungslage des Unternehmens gestellt. Hierzu ist eine Betrachtung der generellen und der unternehmensspezifischen Bedrohungen auf strategischer Ebene notwendig. Diese Anforderungen drücken grundsätzlich die jeweiligen Schwerpunkte aus Geschäftsleitungssicht in Bezug auf die jeweiligen Risiken aus. Diese ergeben sich unter anderem aus dem Grad der Digitalisierung der Geschäftsprozesse, der Vielfalt an Informationen im Unternehmen (Produktions- und Entwicklungsdaten, personenbezogene Daten) und dem Umfang mit technischen und organisatorischen Schnittstellen zu unternehmensexternen Stellen. Der Abgleich zwischen den Implikationen und der Bedrohungslage führt zu Anforderungen an die Informationssicherheit in drei Dimensionen:
- Interne Anforderungen: Welche Schwerpunkte muss die Informationssicherheit verfolgen? Stellen bestimmte Assets, Informationen oder Geschäftsprozesse die »Kronjuwelen« des Unternehmens dar, welche vorrangig zu schützen sind, etwa Entwicklungsdaten? Will sich das Unternehmen als »sicheres« Unternehmen auch öffentlich am Markt platzieren? Dies alles sind wesentliche Fragestellung bei der Erarbeitung einer ISEC-Strategie.
- Anforderungen an Lieferanten, Dienstleister und Abnehmer: Wie wird die Informationssicherheit in die Beziehungen zu den direkten und indirekten Beteiligten der Wertschöpfungskette des Unternehmens einbezogen? Sind entsprechende Vereinbarungen langfristig anzupassen? Welche müssen dabei priorisiert werden?
- Anforderungen an Dritte: Welche ISEC-spezifischen Anforderungen sollten bei der Zusammenarbeit mit Dritten (regulatorische Stellen, Öffentlichkeit) berücksichtigt werden, wie etwa ein regelmäßiger Austausch im Rahmen einer Branchen-Arbeitsgruppe?
3. Grundsätze und Ziele für die Informationssicherheit.
Die Grundsätze und Ziele für die Informationssicherheit setzen die Anforderungen in auf lange Frist zu sehende, spezifische, (teilweise) messbare, erreichbare, realistische und zeitlich eingeordnete Ziele um (SMART). Diese Ziele stellen das Rahmenwerk für die zukünftige Ausrichtung der Informationssicherheit aus und sollten für die Verantwortlichen einen Ansatz zur Beantwortung folgender Fragen bieten:
- Was soll geschützt werden?
- Wie soll geschützt werden?
- Wie soll das System verbessert werden?
Hierzu sollten Ziele insbesondere in folgenden Bereichen abgebildet werden (die Formulierungen sind mögliche Vorschläge, die stets den individuellen Bedürfnissen angepasst werden sollten):
- Umgang mit Risiken: »Das Informationssicherheitsmanagement stellt sicher, dass für jedes relevante Asset Risiken regelmäßig erfasst und bewertet werden. Dabei ist grundsätzlich von einer zurückhaltenden Betrachtung der Auswirkungen und einer hohen Risikoaversion des Unternehmens auszugehen. Risiken sind so weit wie möglich zu mitigieren beziehungsweise zu versichern.«
- Schutzbedarfe: »Der Schutzbedarf der Assets ist stets an den jeweiligen Auswirkungen auf den übergeordneten Geschäftsprozess auszurichten. Dabei verfügen die zentralen Wertschöpfungsstufen über den höchsten Schutzbedarf, insbesondere die Fertigungs- und Entwicklungsprozesse.«
- Priorisierung: »Bei der Etablierung eines Informationssicherheitsmanagementsystems (ISMS) sind zuvorderst die Kerngeschäftsprozesse zu betrachten, erst in der Folge sind die Unterstützungsprozesse aufzunehmen. Dabei hat die Entwicklung die höchste Priorität.«
- Abgrenzung der Informationssicherheit: »Das Informationssicherheitsmanagement des Unternehmens berücksichtigt alle Informationen im Konzern mit Ausnahme des strategischen Geschäftsfeldes ›C‹, welches aufgrund der Spezifika ein eigenes ISMS aufbaut. Für die Schnittstellen zeichnen die jeweiligen CISOs verantwortlich.«
- Anforderungen aus ISEC-Sicht an andere (Teil-) Strategien, z. B.: »Die Verantwortlichen für die strategische Entwicklung der Bereiche stellen sicher, dass Informationssicherheitsaspekte angemessen in den Bereichsstrategien berücksichtigt werden.«
- Berichterstattung: »Im ISMS ist eine quartalsweise Berichterstattung an die Geschäftsführung auf Basis eines Kennzahlensystems vorzusehen, dabei sind auch die Implikationen aus den anderen Bereichen, wie etwa entstandene Produktionsschäden, zu berücksichtigen.«
- Awareness und Bewusstsein: »Unsere Mitarbeiter werden regelmäßig in Bezug auf aktuelle Vorgaben und Inhalte zielgruppengerecht weitergebildet und geschult. Weiterhin soll ein angemessenes Bewusstsein für die Informationssicherheit herrschen, indem im Unternehmen offene Kommunikation und Transparenz (vor-) gelebt werden. Eine Meldung von Informationssicherheitsvorfällen darf nicht zu negativen Konsequenzen für den Meldenden führen, nur weil dieser auf den Vorfall aufmerksam gemacht hat.«
- Grundsätze zur Wirtschaftlichkeit: »Es sind stets diejenigen Maßnahmen auszuwählen, die einen vergleichbaren Schutz zu geringeren Kosten als die Alternativen bieten.«
Durch eine entsprechende Zielvorgabe wird die Wertigkeit der Informationssicherheit aus strategischer Sicht festgelegt. Zugleich wird auch die Kernfrage beantwortet, wann ein Unternehmen die Systeme, Prozesse und (Informations-) Entitäten als »sicher« betrachtet.
4. Rahmenbedingungen.
Im Rahmen dieses Kapitels sind die Rahmenbedingungen für das Informationssicherheitsmanagement hinsichtlich der Positionierung innerhalb der Unternehmensorganisation, der Berichtspfade, der Zusammenarbeit mit anderen Bereichen und der Ressourcenausstattung festzulegen:
- Position des Informationssicherheitsbeauftragten (CISO).
- Festlegung der Weisungsbefugnis und Abgrenzung zwischen Durchführung und Kontrolle, etwa dass die Umsetzung der Grundsätze in Eigenverantwortung der Bereiche erfolgt und die ISEC-Verantwortlichen hierbei Hilfestellung geben.
- Relative Ressourcenausstattung (etwa als FTE je 1.000 Mitarbeiter).
- Berichtspfade für eine regelmäßige Berichterstattung über die Informationssicherheit, das ISMS und die entsprechende ISEC-Kommunikation (regelmäßige Mitarbeiterinformationen).
- Integration von Informationssicherheit in die Handlungs- und Führungsgrundsätze (Governance).
- Zusammenarbeit mit anderen Bereichen (Compliance / interne Revision, Betriebsrat, Datenschutzbeauftragter, IT-Abteilung).
- Kontrolle des Informationssicherheitsmanagements durch die Geschäftsleitung.
Erfolgsfaktoren einer ISEC-Strategie. Damit eine individuelle ISEC-Strategie auch erfolgreich umgesetzt werden kann, sollten im Rahmen der Erstellung mehrere Aspekte berücksichtigt werden. Insbesondere die Kongruenz zur Geschäftsstrategie und eine langfristige Orientierung stellen kritische Erfolgsfaktoren für eine »gute« Informationssicherheitsstrategie dar. Zugleich sollte darauf geachtet werden, dass das geforderte Sicherheitsniveau auch zum Unternehmen »passt« – viele der in der Finanzbranche gestellten Anforderungen sind in großen Teilen des Mittelstands einfach nicht umsetzbar. Damit einhergehend ist auch die Akzeptanz durch die Mitarbeiter. Dementsprechend sollte die ISEC-Strategie auch formuliert und durch die Geschäftsführung getragen werden. Hierzu gehört ebenfalls die Durchsetzung der Compliance und eine entsprechende »Chain of Custody« sowie die Verantwortungszuweisung an geeignete Rolleninhaber. Als weitere Anforderungen an die Informationssicherheitsstrategie sind folgende Kriterien zu sehen:
- Fokus auf strategische Aspekte.
- Klare Abbildung von Prioritäten.
- Umsetzbarkeit der Anforderungen und Ziele.
Eine solche unternehmensspezifische Informationssicherheitsstrategie bietet Orientierung und Hilfestellung für die ISEC-Verantwortlichen und stellt das elementare Dach für eine effiziente und effektive Begegnung mit den zukünftigen komplexeren Herausforderungen und Bedrohungen der Informationssicherheit – und damit des Unternehmens insgesamt – dar.
Marcus Schwertz,
LEXTA CONSULTANTS GROUP, Berlin,
www.lexta.com
Titelbild: © ostill /shutterstock.com
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Deutsche Cyber-Sicherheitsorganisation unterstützt Unternehmen bei Abwehr von Gefahren aus dem Netz
Sechs Gründe, weshalb IT-Sicherheit Sache des Managements ist
Deine, Meine, Unsere – Passende IT-Sicherheitslösungen auf den Leib geschneidert
Unternehmen zu einseitig bei der Wahl ihrer IT-Sicherheitsstrategie
Security-Trends 2015: Unternehmen werden ihre Sicherheitsstrategien stärker gewichten
Cybersicherheit: Die Absicherung von Produktionsumgebungen im Fokus