Die Lösung: Ein kooperativer Ansatz, um Sicherheit in Organisationen zu verwirklichen.

https://pixabay.com/de/

Vertrauen gehört zu den erfolgskritischsten Faktoren für Organisationen in der heutigen Zeit. Das Vertrauen von Kunden, Mitarbeitern und Partnern will gewonnen und behalten werden. Neben professionellen Services ergibt es sich zumeist aus nicht-eintretenden Sicherheitsvorfällen und einem umfassenden Schutz der Organisations- und Kundeninformationen. Letzterer wird erzielt durch Integrität, Verfügbarkeit und Vertraulichkeit der Daten. Entsprechend sollten sämtliche Sicherheitsmaßnahmen, die in organisatorische, betriebliche, rechtliche, infrastrukturelle und IT-bezogene Abläufe und Strukturen eingreifen, klar definiert und umgesetzt werden.

Die Realität zeigt andere Bilder

Vor diesem Hintergrund ist es umso verwunderlicher, dass das Thema Sicherheit in nur wenigen Organisationen ganzheitlich betrachtet und umgesetzt wird. Die Realität zeigt, dass Sicherheitsthemen in der Regel von einzelnen Personen bearbeitet werden. Die Organisationseinheiten für Informationssicherheit, IT-Sicherheit, Datenschutz, Notfallmanagement und Geheimschutz arbeiten zumeist unabhängig voneinander, ihr Austausch ist nur gering. Diese Beobachtungen sind unabhängig von der Unternehmensgröße, -form oder Branche. Zu großen Teilen wird an gleichen Fragestellungen gearbeitet, jedoch aus unterschiedlichen Blickwinkeln, da verschiedene Aspekte geschützt werden müssen. Es besteht grundsätzlich die Gefahr von Zielkonflikten zwischen den einzelnen Sicherheitsbereichen. Für die eine Organisationseinheit steht der Schutz der Organisation und der Informationen im Fokus, für andere ist der Schutz der Betroffenen oberste Priorität. Es muss darum gehen, beide Schutzgüter in angemessenem Rahmen abzusichern und Gefahren zu minimieren. Wenn beispielsweise der Sicherheitsbeauftragte und der Datenschutzbeauftragte getrennt voneinander nach notwendigen Sicherheitsanforderungen bei der Konzeption eines Projektes angefragt werden und unabgestimmt antworten, ist das einer gemeinsamen beziehungsweise einheitlichen Lösung nicht dienlich.

Ebenso herausfordernd für Organisationen ist es, wenn Prozesse, Zuständigkeiten und Anforderungen nicht definiert sind. Dies führt dazu, dass oftmals der kurze Dienstweg gewählt wird, um offene Fragen schnell zu klären oder es erfolgt erst gar keine Kommunikation zu den Sicherheitsbereichen. Zu spät eingebunden, können sie ungeplant intervenieren oder das Vorhaben gänzlich stoppen. Unnötiger Verzug und Frustration bei allen Beteiligten sind die Folge.

Vier Blickwinkel auf ein gemeinsames Thema

Sicherheitsstandards und entsprechende Vorgaben, wie zum Beispiel DSGVO und IT-Grundschutz, haben zum Ziel, dass die entsprechenden Schutzgüter angemessen abgesichert werden. Neben der operativen Absicherung geht es jedoch auch um notwendige Nachweise, damit die Organisation »compliant« ist, also die verbindlichen Vorgaben nachweislich umsetzt. Ein abgestimmtes und standardisiertes Vorgehen hilft, um den unterschiedlichen Anforderungen gerecht zu werden und Ressourcen zielgerichtet einzusetzen.

Es lassen sich im Kern sehr ähnliche Muster und Herausforderungen erkennen, auch wenn die Rahmenbedingungen in Organisationen und Unternehmen meist unterschiedlich sind. Meist ist zu wenig Personal und zu wenig Zeit vorhanden, um die notwendigen Aktivitäten angemessen umsetzen zu können. Erfahrungsgemäß fehlt zudem eine zentrale Anlaufstelle, die alle sicherheitsrelevanten Themen kanalisiert. Die Folge: In den Organisationen arbeiten die vier zentralen Sicherheitsbereiche – überspitzt formuliert – unabgestimmt und eigenständig nebeneinander, obwohl sie alle in unterschiedlichen Dimensionen den Schutz von Informationen zum Ziel haben. Fragestellungen zur Sicherheit können jedoch beispielsweise nicht mehr allein vom Datenschützer oder Informationssicherheitsbeauftragten beantwortet werden. Diese One-Man-Shows führen zu relevanten Zeitverlusten und möglichen Sicherheitsvorfällen, wenn nicht alle Aspekte ausreichend und abgestimmt betrachtet werden. In allen Bereichen der Sicherheit sind Maßnahmen notwendig, die jeweils sehr ähnliche Anforderungen an Organisationen stellen. Daher müssen die Verantwortlichen effektiv zusammenarbeiten und Synergien in Steuerung, Umsetzung und Verwaltung nutzen. Nur so können sie schneller werden und gleichzeitig Aufwände reduzieren.

Wie kann ein kooperatives Modell der Zusammenarbeit aussehen?

Die Definition und Steuerung von Sicherheitsthemen sollten, auch in kleineren Organisationen, nie allein von einer Person ausgehen. Den Kern sollte ein gemeinsam organisiertes ISMS (Managementsystem für Informationssicherheit) bilden. Die sicherheitsrelevanten Bereiche sind dabei organisatorisch so aufgestellt, dass eine enge Zusammenarbeit erfolgt, die einzelnen Prozesse aufeinander abgestimmt und Verantwortlichkeiten und Zuständigkeiten eindeutig geregelt werden. Die Sicherheitsbereiche sollten sich als Dienstleister verstehen und entsprechend organisieren, sodass aus Sicht eines »Kunden« insbesondere die Ansprechpartner und Kommunikationswege eindeutig sind.

(Zeitkritische) Informationen dürfen nicht dadurch verloren gehen, dass die falsche Stelle angesprochen wurde oder in Ermangelung eines Ansprechpartners keine Weitergabe der Informationen erfolgen konnte. Daher ist eine zentrale Anlaufstelle für Sicherheitsthemen (SPOC = single point of contact) von entscheidender Bedeutung. Die Ad-hoc-Lösung kann hier das Einrichten eines Mailverteilers sein. Für ein nachhaltiges und effektives Management der Anfragen und Entscheidungsbedarfe sorgt hingegen die Schaffung eines Security Desks. Die Mitarbeiter des Security Desks sollten alle Anfragen und die weitere Bearbeitung sowie Entscheidungsfindung vorbereiten und koordinieren. Es bietet sich an, dass meist schon etablierte ISMS-Team in diese Aufgaben zu involvieren. Die finale Entscheidungsfindung sollte dann durch die entsprechenden Sicherheitsrollen der Organisation gemeinsam vorgenommen werden. Mit der Etablierung eines Security Boards als Entscheidungsgremium für alle sicherheitsrelevanten Themen kann deren kooperative Bearbeitung gelingen. Nach festgelegten Regeln entscheiden die Mitglieder über alle relevanten Sicherheitsbelange.

Interne Sicherheitsberatung als Dienstleitung verstehen

Die Erfahrungen aus der Praxis belegen, dass es sinnvoll und zunehmend zwingend notwendig ist, alle gesetzlich zulässigen, strategischen und taktischen Sicherheitsthemen von den zuständigen Personen gemeinsam bearbeiten und entscheiden zu lassen. Von entscheidender Bedeutung ist dabei, dass sicherheitsrelevante Aspekte bei allen Vorhaben von Anfang an mitgedacht und umgesetzt sowie kontinuierlich gemeinsam weiterentwickelt und gesteuert werden. Ein wesentlicher Erfolgsfaktor ist die Akzeptanz der Sicherheitsorganisation in der Gesamtorganisation. Wenn die Sicherheitsorganisation nicht akzeptiert oder nur als störend wahrgenommen wird, so können die Vorgaben und Prozesse noch so gut und eindeutig sein; relevante Entscheidungen zu Sicherheitsfragen werden wahrscheinlich nicht mit den übergreifenden Bereichen abgestimmt, sondern selbst entschieden. Die übergreifenden Sicherheitsbereiche sollten sich als interne Dienstleister verstehen und ihre Tätigkeiten als Service für die Geschäftsbereiche und Fachverantwortlichen ausrichten. Die Schaffung dieser neuen Form der Zusammenarbeit ist die Basis für ein integriertes Sicherheitsmanagement und mittelfristige Ersparnis von Zeit und Frustration.

Sicherheit agil steuern und umsetzen.

Erfolgreich wird der kooperative Ansatz jedoch nicht allein durch geänderte Prozesse und Vorgaben. Vielmehr braucht es ein Bewusstsein dafür, dass Sicherheit nicht einmalig geschaffen und linear gedacht werden kann. Sicherheitsaufgaben sind oft komplex und die Umsetzung ist nicht exakt planbar. Größere Themen und Anforderungen in einzelne Aufgaben herunterzubrechen und umzusetzen ist flexibler und oftmals bedarfsgerechter als die umfassende Lösung direkt zu planen. Diese agile Methodik sowie weitere Kernthemen des agilen Arbeitens komplettieren die neue, kooperative Form des Sicherheitsmanagements. Alle Vorhaben und Entscheidungen sollten daher transparent und nachvollziehbar dokumentiert werden. Informationssicherheit sollte messbar und sichtbar sein. Diese Aspekte der Optimierung sind noch verhältnismäßig leicht umzusetzen. Bei der Erreichung von Sicherheitszielen entstehen jedoch oftmals Zielkonflikte zwischen den Sicherheitsbereichen eines Unternehmens. Partnerschaftlich und mit Offenheit statt Silo-Denken können diese Herausforderungen angegangen werden.

Erfolgsfaktoren einer integrierten Sicherheitsarchitektur

Abschließend und zusammenfassend bilden die nachfolgenden sechs Bausteine die Grundlage für die erfolgreiche Gestaltung von Sicherheit in Organisationen:

Bildung von starken Partnerschaften zwischen allen Sicherheitsrollen
Schaffung einer zentralen Anlaufstelle für alle Sicherheitsfragen
Organisation mit selbstorganisierten und proaktiven Sicherheitsteams
Agile Steuerung und Umsetzung von Sicherheitsaufgaben
Struktur, Transparenz und Visualisierung von Informationssicherheit
Kreativität, Fehlerkultur und Selbstreflexion zur kontinuierlichen Verbesserung

Ob Start-up, Mittelstand, Großkonzern oder Verwaltung – das Thema Sicherheit und Datenschutz geht alle etwas an. Mehr zum vorgestellten Modell erfahren Sie in einem Erklärvideo unter https://youtu.be/s-FQpNEeJ7w .

Sabrina Klopsteg, Sven Malte Sopha

Über die Autoren

Sabrina Klopsteg ist Senior Consultant bei Cassini Consulting am Standort Berlin. Ihre Schwerpunkte sind Projektmanagement (klassisch/agil/hybrid) und Organisationsberatung in Konzernen und Öffentliche Verwaltung genauso wie in Start-ups. [s. Porträtaufnahme]

Sven Malte Sopha ist Management Consultant bei Cassini Consulting am Standort Berlin. Seine Schwerpunkte sind die Management- und Organisationberatung im Bereich Sicherheit, insbesondere im Public Sector. [s. Porträtaufnahme]

Informationssicherheit: Der Bereich der Informationssicherheit definiert und steuert die übergreifenden Anforderungen im Bereich Informationssicherheit/IT-Sicherheit. Die Rolle IT-Sicherheitsbeauftragter (IT-SiBe) oder Informationssicherheitsbeauftragter (ISB) verantwortet meist diesen Bereich.

Datenschutz: Der Datenschutz steuert im Rahmen der rechtlichen Vorgaben (u.a. DSGVO) das Thema Datenschutz zur Wahrung der Betroffenenrechte für die Gesamtorganisation. Die konkrete Umsetzung obliegt meist den Fachbereichen. Gesteuert wird der Datenschutz meist durch die Rolle Datenschutzbeauftragter.

Notfallmanagement: Das Notfallmanagement definiert und steuert die Umsetzung der übergreifenden Vorgaben für das präventive Notfallmanagement (Business Impact Analyse, Wiederanlaufpläne, Notfallübungen) einer Organisation. Die Steuerung erfolgt meist durch den Notfallbeauftragter/Business Continuity Manager. Das reaktive Notfallmanagement wird meist durch einen Notfallstab im Falle eines Notfalls gesteuert (dies ist im Artikel nicht gemeint).

Geheimschutz: Der Geheimschutz kümmert sich um den Schutz und die Geheimhaltung von Informationen. Für den öffentlichen Bereich ist die Verschlusssachenanweisung einschlägig. Der Bereich wird meist durch die Rolle Geheimschutzbeauftragter in öffentlichen Einrichtungen gesteuert. Für Wirtschaftsteilnehmer ist das Geheimschutzhandbuch einschlägig, in Unternehmen steuert die Rolle Sicherheitsbevollmächtigter den Bereich.

672 Artikel zu „Sicherheit Architektur“

NEWS | BUSINESS PROCESS MANAGEMENT | CLOUD COMPUTING | EFFIZIENZ | FAVORITEN DER REDAKTION | INFRASTRUKTUR | IT-SECURITY | RECHENZENTRUM | SERVICES

Sichtbarkeit, Erkennung und Reaktion: SIEM-freie Architekturen für vereinfachte Cybersicherheit

30. April 2019

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen. Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an »Alarmmeldungen« in den Unternehmensnetzen steigt, als…