Ein Weg zur »angemessenen« IT-Sicherheit – Darf’s noch ein bisschen mehr sein?

Ein Weg zur »angemessenen« IT-Sicherheit

Nicht erst seit den fortwährenden Enthüllungen der NSA-Affäre rückt der Themenkomplex IT-Sicherheit verstärkt in den Fokus des IT-Managements. Auch wiederholte Datenschutzskandale, zunehmende Regulierung und das allgemeine Wachstum von Cyberkriminalität verbunden mit einem breiteren Medienecho haben Sicherheit und Datenschutz – oft in einem Atemzug genannt – einen Platz auf der CIO-Agenda in kleinen und großen Organisationen verschafft.

Konfrontiert mit der Multidimension des Themenkomplexes und der Bedrohungsszenarien herrscht häufig noch Unsicherheit im Umgang mit der Situation. Denn die zahlreichen Berichte über technologische Unsicherheiten und Problemstellungen kommen oft ohne die passende Lösung. Und selbst wenn eine vermeintliche Lösung vorliegt – ist sie auch die richtige für die spezifische Unternehmenssituation? Braucht man das?

Was ist nun also die Schlussfolgerung für einen risikobewussten IT-Manager in dieser Situation? Abschalten sämtlicher WLAN-Funktionen und pauschale Verschlüsselung aller E-Mails? Sicherlich nicht, aber diese Entscheidungen gilt es in einem transparenten, nachvollziehbaren und den Unternehmensgegebenheiten angepassten Verfahren zu erarbeiten. Pauschale Einschätzungen werden der Komplexität der Thematik jedenfalls nicht gerecht.

Ziel muss eine Objektivierung der Risiko- und Bedrohungslage sein, um schließlich in einem transparenten Bewertungs- und Entscheidungsverfahren die Ausgestaltung von IT-Sicherheitsmaßnahmen festlegen zu können. Nur so können organisatorische und technische Maßnahmen – und die notwendigen Sicherheitsinvestitionen – nachvollziehbar erarbeitet, dargestellt und begründet werden. Dies ist auch über die Grenzen der IT-Organisation hinaus nützlich, wo das Verständnis für vermeintlich »sinnlose« Ausgaben in -Sicherheitstechnik bisweilen sehr gering ausgeprägt ist.

Risiko- und Bedrohungslage analysieren. Beim ersten Schritt zur Tat, der Erhebung der Risiko- und Bedrohungslage, gilt es nun folgende grundlegende Fragen der IT-Sicherheit zu beantworten:

  • Welche IT-Ressourcen existieren?
  • Welche Rolle spielen sie in der Wertschöpfung des Unternehmens?
  • Welchen Anforderungen und Risiken sind sie ausgesetzt?

Bereits mit dem Stellen der zweiten Frage wird auch klar, dass die IT in einem solchen Vorhaben nicht isoliert agieren kann. Es bedarf der Mitwirkung anderer Unternehmensteile und -funktionen, um eine realistische Sicht auf Anforderungen und Risikoszenarien zu erarbeiten.

Hilfreich bei der Erfassung der Risiken ist die Kenntnis der vier wesentlichen IT-Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität, die als Frage formuliert bei der Bestimmung von Risiko- und Bedrohungslage für alle IT-Ressourcen dienen können. Was passiert, wenn unser ERP-System für einen längeren Zeitraum ausfällt und damit nicht verfügbar ist?

Bewertung und Behandlung. Sind die Risiken und Bedrohungen nun bekannt und eingeschätzt, gilt es im zweiten Schritt, ein Verfahren zur Bewertung und Behandlung zu entwickeln und organisatorisch zu verankern. In der Praxis ist dieser IT-Sicherheitsmanagementprozess übrigens oft übergreifend definiert und integriert die Risikoerkennung und -Behandlung in einem gemeinsamen Vorgehensmodell.

Die Kernfrage an dieser Stelle ist nun: Passt der bestehende Schutz der IT-Ressourcen zu ihrer Kritikalität für die Organisation? Mit einem klaren Ja ist der Prozess an dieser Stelle für die fragliche IT-Ressource abgeschlossen, bei jeder anderen Antwort folgt nun die Frage der Risikooptimierung, also wie entweder Eintrittswahrscheinlichkeit oder Schadenspotenzial durch IT-Sicherheitsmaßnahmen in günstiger Weise beeinflusst werden kann. Bevor konkret die bessere Sicherheitssoftware beschafft oder ein aufwendiges Audit durch externe Sicherheitsexperten durchgeführt wird, sollte das zentrale Spannungsfeld der IT-Sicherheit angegangen werden: Die Frage der Angemessenheit.

Aufwand und Nutzen. Dahinter verbirgt sich die kontinuierliche Abwägung von Aufwand und Nutzen bei der Behandlung von IT-Sicherheitsrisiken. Genauer heißt das, welche Maßnahmen technischer – etwa die Anschaffung -einer Firewall – und organisatorischer Natur – etwa die Verabschiedung von Nutzungsrichtlinien für IT-Systeme – können zu welchen internen und externen Kosten umgesetzt werden, um einen (IT-Sicherheits-)Nutzen zu erzeugen. Nutzen ist in diesem Kontext weiter gefächert und kann bedeuten, dass die Eintrittswahrscheinlichkeit bestimmter Risiken – etwa der totale Datenverlust bei einem Großbrand im Rechenzentrum – verringert wird, aber auch dass einfach nur gesetzliche Vorgaben – etwa Datenschutzgesetze – oder unternehmerische Anforderungen – etwa Schutz geistigen Eigentums – umgesetzt werden.

Angemessenheit. Angemessenheit kann auf zwei Wegen überprüft -werden. Einerseits durch eine rein rechnerische Betrachtung: Übersteigt die Verringerung des Schadenserwartungswertes (Eintrittswahrscheinlichkeit x Schadenspotenzial) den Investitionsbedarf, so ist eine Umsetzung angemessen. Der klare Nachteil dieses Ansatzes ist die Notwendigkeit, ein sehr klares Bild über Risiken, Wahrscheinlichkeiten und Auswirkungen zu haben. Ein Anspruch, der in der Praxis aufgrund der Komplexität vieler IT-Landschaften schwer durchzuhalten ist.

Sicherheitsbenchmarking. Andererseits gibt es die Möglichkeit, über einen strukturierten Marktvergleich, etwa in der gleichen Branche, das Sicherheitsniveau auf Marktüblichkeit zu überprüfen. In einem solchen IT-Sicherheitsbenchmarking wird dann die gesamte IT-Sicherheitssituation einer Organisation nach strukturierten Kriterien aufgenommen, anonym vergleichbaren Organisationen gegenübergestellt und Unterschiede werden herausgearbeitet. Die Granularität reicht in der Praxis dabei soweit, dass etwa Aussagen zum marktüblichen Einsatz von Festplattenverschlüsselung in bestimmten Branchen getroffen werden können.

Ergebnis: angemessenes Sicherheitsniveau. Auf dem einen oder anderen Wege erreicht man aber schließlich das Ziel: eine Aussage zu einem angemessenen Sicherheitsniveau für seine spezifische Organisation. Durch die vier zentralen Wegweiser auf der Reise dorthin lassen sich Fragestellungen für jeden IT-Verantwortlichen verfassen:

  • Habe ich einen Überblick über meine IT-Ressourcen?
  • Habe ich einen ganzheitlichen und abgestimmten Blick auf die Kritikalität der IT-Ressourcen?
  • Wurde für alle IT-Ressourcen nachvollziehbar ein angemessenes Schutzniveau bestimmt?
  • Habe ich ein Projekt- und Maßnahmenportfolio, was mir dabei hilft, das Schutzniveau für alle IT-Ressourcen nachhaltig zu erreichen?

Können alle Punkte guten Gewissens mit ja beantwortet werden, so führen neuerliche Enthüllungen zu Spähskandalen, Sicherheitslücken und Cyberkriminalität sicher nicht mehr zu schlaf-losen Nächten. Und die Frage »Darf’s noch ein bisschen mehr IT-Sicherheit sein?« kann souverän mit »Nein, danke, unsere Vorkehrungen sind angemessen.« beantwortet werden.


autor_michael_bennemannMichael Bennemann,
LEXTA CONSULTANTS GROUP,
Berlin

 

Titelbild: Shutterstock.com/Palau

 

 

Weitere Artikel zu