Sicherheit (managen) ist keine One-Man-Show

Die Lösung: Ein kooperativer Ansatz, um Sicherheit in Organisationen zu verwirklichen.

https://pixabay.com/de/

Vertrauen gehört zu den erfolgskritischsten Faktoren für Organisationen in der heutigen Zeit. Das Vertrauen von Kunden, Mitarbeitern und Partnern will gewonnen und behalten werden. Neben professionellen Services ergibt es sich zumeist aus nicht-eintretenden Sicherheitsvorfällen und einem umfassenden Schutz der Organisations- und Kundeninformationen. Letzterer wird erzielt durch Integrität, Verfügbarkeit und Vertraulichkeit der Daten. Entsprechend sollten sämtliche Sicherheitsmaßnahmen, die in organisatorische, betriebliche, rechtliche, infrastrukturelle und IT-bezogene Abläufe und Strukturen eingreifen, klar definiert und umgesetzt werden.

 

Die Realität zeigt andere Bilder

Anzeige

Vor diesem Hintergrund ist es umso verwunderlicher, dass das Thema Sicherheit in nur wenigen Organisationen ganzheitlich betrachtet und umgesetzt wird. Die Realität zeigt, dass Sicherheitsthemen in der Regel von einzelnen Personen bearbeitet werden. Die Organisationseinheiten für Informationssicherheit, IT-Sicherheit, Datenschutz, Notfallmanagement und Geheimschutz arbeiten zumeist unabhängig voneinander, ihr Austausch ist nur gering. Diese Beobachtungen sind unabhängig von der Unternehmensgröße, -form oder Branche. Zu großen Teilen wird an gleichen Fragestellungen gearbeitet, jedoch aus unterschiedlichen Blickwinkeln, da verschiedene Aspekte geschützt werden müssen. Es besteht grundsätzlich die Gefahr von Zielkonflikten zwischen den einzelnen Sicherheitsbereichen. Für die eine Organisationseinheit steht der Schutz der Organisation und der Informationen im Fokus, für andere ist der Schutz der Betroffenen oberste Priorität. Es muss darum gehen, beide Schutzgüter in angemessenem Rahmen abzusichern und Gefahren zu minimieren. Wenn beispielsweise der Sicherheitsbeauftragte und der Datenschutzbeauftragte getrennt voneinander nach notwendigen Sicherheitsanforderungen bei der Konzeption eines Projektes angefragt werden und unabgestimmt antworten, ist das einer gemeinsamen beziehungsweise einheitlichen Lösung nicht dienlich.

Ebenso herausfordernd für Organisationen ist es, wenn Prozesse, Zuständigkeiten und Anforderungen nicht definiert sind. Dies führt dazu, dass oftmals der kurze Dienstweg gewählt wird, um offene Fragen schnell zu klären oder es erfolgt erst gar keine Kommunikation zu den Sicherheitsbereichen. Zu spät eingebunden, können sie ungeplant intervenieren oder das Vorhaben gänzlich stoppen. Unnötiger Verzug und Frustration bei allen Beteiligten sind die Folge.

 

Vier Blickwinkel auf ein gemeinsames Thema

Anzeige

Sicherheitsstandards und entsprechende Vorgaben, wie zum Beispiel DSGVO und IT-Grundschutz, haben zum Ziel, dass die entsprechenden Schutzgüter angemessen abgesichert werden. Neben der operativen Absicherung geht es jedoch auch um notwendige Nachweise, damit die Organisation »compliant« ist, also die verbindlichen Vorgaben nachweislich umsetzt. Ein abgestimmtes und standardisiertes Vorgehen hilft, um den unterschiedlichen Anforderungen gerecht zu werden und Ressourcen zielgerichtet einzusetzen.

Es lassen sich im Kern sehr ähnliche Muster und Herausforderungen erkennen, auch wenn die Rahmenbedingungen in Organisationen und Unternehmen meist unterschiedlich sind. Meist ist zu wenig Personal und zu wenig Zeit vorhanden, um die notwendigen Aktivitäten angemessen umsetzen zu können. Erfahrungsgemäß fehlt zudem eine zentrale Anlaufstelle, die alle sicherheitsrelevanten Themen kanalisiert. Die Folge: In den Organisationen arbeiten die vier zentralen Sicherheitsbereiche – überspitzt formuliert – unabgestimmt und eigenständig nebeneinander, obwohl sie alle in unterschiedlichen Dimensionen den Schutz von Informationen zum Ziel haben. Fragestellungen zur Sicherheit können jedoch beispielsweise nicht mehr allein vom Datenschützer oder Informationssicherheitsbeauftragten beantwortet werden. Diese One-Man-Shows führen zu relevanten Zeitverlusten und möglichen Sicherheitsvorfällen, wenn nicht alle Aspekte ausreichend und abgestimmt betrachtet werden. In allen Bereichen der Sicherheit sind Maßnahmen notwendig, die jeweils sehr ähnliche Anforderungen an Organisationen stellen. Daher müssen die Verantwortlichen effektiv zusammenarbeiten und Synergien in Steuerung, Umsetzung und Verwaltung nutzen. Nur so können sie schneller werden und gleichzeitig Aufwände reduzieren.

 

Wie kann ein kooperatives Modell der Zusammenarbeit aussehen?

Die Definition und Steuerung von Sicherheitsthemen sollten, auch in kleineren Organisationen, nie allein von einer Person ausgehen. Den Kern sollte ein gemeinsam organisiertes ISMS (Managementsystem für Informationssicherheit) bilden. Die sicherheitsrelevanten Bereiche sind dabei organisatorisch so aufgestellt, dass eine enge Zusammenarbeit erfolgt, die einzelnen Prozesse aufeinander abgestimmt und Verantwortlichkeiten und Zuständigkeiten eindeutig geregelt werden. Die Sicherheitsbereiche sollten sich als Dienstleister verstehen und entsprechend organisieren, sodass aus Sicht eines »Kunden« insbesondere die Ansprechpartner und Kommunikationswege eindeutig sind.

 

(Zeitkritische) Informationen dürfen nicht dadurch verloren gehen, dass die falsche Stelle angesprochen wurde oder in Ermangelung eines Ansprechpartners keine Weitergabe der Informationen erfolgen konnte. Daher ist eine zentrale Anlaufstelle für Sicherheitsthemen (SPOC = single point of contact) von entscheidender Bedeutung. Die Ad-hoc-Lösung kann hier das Einrichten eines Mailverteilers sein. Für ein nachhaltiges und effektives Management der Anfragen und Entscheidungsbedarfe sorgt hingegen die Schaffung eines Security Desks. Die Mitarbeiter des Security Desks sollten alle Anfragen und die weitere Bearbeitung sowie Entscheidungsfindung vorbereiten und koordinieren. Es bietet sich an, dass meist schon etablierte ISMS-Team in diese Aufgaben zu involvieren. Die finale Entscheidungsfindung sollte dann durch die entsprechenden Sicherheitsrollen der Organisation gemeinsam vorgenommen werden. Mit der Etablierung eines Security Boards als Entscheidungsgremium für alle sicherheitsrelevanten Themen kann deren kooperative Bearbeitung gelingen. Nach festgelegten Regeln entscheiden die Mitglieder über alle relevanten Sicherheitsbelange.

 

Interne Sicherheitsberatung als Dienstleitung verstehen

Die Erfahrungen aus der Praxis belegen, dass es sinnvoll und zunehmend zwingend notwendig ist, alle gesetzlich zulässigen, strategischen und taktischen Sicherheitsthemen von den zuständigen Personen gemeinsam bearbeiten und entscheiden zu lassen. Von entscheidender Bedeutung ist dabei, dass sicherheitsrelevante Aspekte bei allen Vorhaben von Anfang an mitgedacht und umgesetzt sowie kontinuierlich gemeinsam weiterentwickelt und gesteuert werden. Ein wesentlicher Erfolgsfaktor ist die Akzeptanz der Sicherheitsorganisation in der Gesamtorganisation. Wenn die Sicherheitsorganisation nicht akzeptiert oder nur als störend wahrgenommen wird, so können die Vorgaben und Prozesse noch so gut und eindeutig sein; relevante Entscheidungen zu Sicherheitsfragen werden wahrscheinlich nicht mit den übergreifenden Bereichen abgestimmt, sondern selbst entschieden. Die übergreifenden Sicherheitsbereiche sollten sich als interne Dienstleister verstehen und ihre Tätigkeiten als Service für die Geschäftsbereiche und Fachverantwortlichen ausrichten. Die Schaffung dieser neuen Form der Zusammenarbeit ist die Basis für ein integriertes Sicherheitsmanagement und mittelfristige Ersparnis von Zeit und Frustration.

 

Sicherheit agil steuern und umsetzen.

Erfolgreich wird der kooperative Ansatz jedoch nicht allein durch geänderte Prozesse und Vorgaben. Vielmehr braucht es ein Bewusstsein dafür, dass Sicherheit nicht einmalig geschaffen und linear gedacht werden kann. Sicherheitsaufgaben sind oft komplex und die Umsetzung ist nicht exakt planbar. Größere Themen und Anforderungen in einzelne Aufgaben herunterzubrechen und umzusetzen ist flexibler und oftmals bedarfsgerechter als die umfassende Lösung direkt zu planen. Diese agile Methodik sowie weitere Kernthemen des agilen Arbeitens komplettieren die neue, kooperative Form des Sicherheitsmanagements. Alle Vorhaben und Entscheidungen sollten daher transparent und nachvollziehbar dokumentiert werden. Informationssicherheit sollte messbar und sichtbar sein. Diese Aspekte der Optimierung sind noch verhältnismäßig leicht umzusetzen. Bei der Erreichung von Sicherheitszielen entstehen jedoch oftmals Zielkonflikte zwischen den Sicherheitsbereichen eines Unternehmens. Partnerschaftlich und mit Offenheit statt Silo-Denken können diese Herausforderungen angegangen werden.

 

Erfolgsfaktoren einer integrierten Sicherheitsarchitektur

Abschließend und zusammenfassend bilden die nachfolgenden sechs Bausteine die Grundlage für die erfolgreiche Gestaltung von Sicherheit in Organisationen:

  1. Bildung von starken Partnerschaften zwischen allen Sicherheitsrollen
  2. Schaffung einer zentralen Anlaufstelle für alle Sicherheitsfragen
  3. Organisation mit selbstorganisierten und proaktiven Sicherheitsteams
  4. Agile Steuerung und Umsetzung von Sicherheitsaufgaben
  5. Struktur, Transparenz und Visualisierung von Informationssicherheit
  6. Kreativität, Fehlerkultur und Selbstreflexion zur kontinuierlichen Verbesserung

Ob Start-up, Mittelstand, Großkonzern oder Verwaltung – das Thema Sicherheit und Datenschutz geht alle etwas an. Mehr zum vorgestellten Modell erfahren Sie in einem Erklärvideo unter https://youtu.be/s-FQpNEeJ7w .

 

Sabrina Klopsteg, Sven Malte Sopha

 

 

Über die Autoren
Sabrina Klopsteg ist Senior Consultant bei Cassini Consulting am Standort Berlin. Ihre Schwerpunkte sind Projektmanagement (klassisch/agil/hybrid) und Organisationsberatung in Konzernen und Öffentliche Verwaltung genauso wie in Start-ups. [s. Porträtaufnahme]

 

 

Sven Malte Sopha ist Management Consultant bei Cassini Consulting am Standort Berlin. Seine Schwerpunkte sind die Management- und Organisationberatung im Bereich Sicherheit, insbesondere im Public Sector. [s. Porträtaufnahme]

 

 

 

 

Informationssicherheit: Der Bereich der Informationssicherheit definiert und steuert die übergreifenden Anforderungen im Bereich Informationssicherheit/IT-Sicherheit. Die Rolle IT-Sicherheitsbeauftragter (IT-SiBe) oder Informationssicherheitsbeauftragter (ISB) verantwortet meist diesen Bereich.

Datenschutz: Der Datenschutz steuert im Rahmen der rechtlichen Vorgaben (u.a. DSGVO) das Thema Datenschutz zur Wahrung der Betroffenenrechte für die Gesamtorganisation. Die konkrete Umsetzung obliegt meist den Fachbereichen. Gesteuert wird der Datenschutz meist durch die Rolle Datenschutzbeauftragter.

Notfallmanagement: Das Notfallmanagement definiert und steuert die Umsetzung der übergreifenden Vorgaben für das präventive Notfallmanagement (Business Impact Analyse, Wiederanlaufpläne, Notfallübungen) einer Organisation. Die Steuerung erfolgt meist durch den Notfallbeauftragter/Business Continuity Manager. Das reaktive Notfallmanagement wird meist durch einen Notfallstab im Falle eines Notfalls gesteuert (dies ist im Artikel nicht gemeint).

Geheimschutz: Der Geheimschutz kümmert sich um den Schutz und die Geheimhaltung von Informationen. Für den öffentlichen Bereich ist die Verschlusssachenanweisung einschlägig. Der Bereich wird meist durch die Rolle Geheimschutzbeauftragter in öffentlichen Einrichtungen gesteuert. Für Wirtschaftsteilnehmer ist das Geheimschutzhandbuch einschlägig, in Unternehmen steuert die Rolle Sicherheitsbevollmächtigter den Bereich.

 

 

672 Artikel zu „Sicherheit Architektur“

Sichtbarkeit, Erkennung und Reaktion: SIEM-freie Architekturen für vereinfachte Cybersicherheit

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen. Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an »Alarmmeldungen« in den Unternehmensnetzen steigt, als…

Konsolidierung der Anbieter und Architekturansatz in komplexen Sicherheitsumgebungen schafft mehr IT-Sicherheit

Mehr Vertrauen in Cloud-Security. Höhere Investitionen in Abwehr, Sicherheitstraining und Risikoanalysen. CISOs fürchten Nutzerverhalten, Daten, Geräte und Apps.   Verantwortliche für IT-Sicherheit setzen vor allem auf die Konsolidierung der Anbieter in komplexen Sicherheitsumgebungen, einer engeren Zusammenarbeit zwischen Netzwerk- und Sicherheitsteams sowie Schulungen, um die Sicherheitslage des Unternehmens zu verbessern. Das zeigt die fünfte jährliche CISO…

Sichere APIs für Open-Banking-Partnerschaften: Referenzarchitektur für Cybersicherheit

Wie können Finanzinstitute und FinTechs neue Technologien am besten einführen und gleichzeitig den Vorgaben und Gesetzen der Europäischen Union (EU) entsprechen?   In seinem ersten Beitrag beschreibt der Autor, Open Banking-Berater und Trainer, Jon Scheele welche Ansätze man braucht um Cybersicherheit in Partnerschaften zwischen Finanzinstituten und FinTechs zu integrieren. Sein zweiter Artikel beleuchtet die Auswirkungen der…

Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen

In fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in die Clouds von Amazon Web Services (AWS) und Microsoft Azure verschoben. Dies ist durchaus sinnvoll, weil beispielsweise Klinikverwaltungen sich auf die Behandlung von Patienten, anstatt die Verwaltung von Rechenzentren konzentrieren wollen. »Die Tatsache, dass die Cloud eine kostengünstigere Option ist,…

Neue Hochsicherheitsarchitektur: Rechenzentrum wird zum »Stealth Data Center«

Mit dem »Stealth Data Center« präsentierte Fujitsu in diesem Jahr auf der CeBIT ein völlig neues Sicherheitskonzept. Jetzt beginnt im Wilken Rechenzentrum in Ulm der Aufbau einer derartigen Infrastruktur: Zunächst wird im Rahmen des Pilotprojekts ein Sicherheitsrack von Fujitsu installiert, das den unerlaubten physischen Zugriff auf die Systeme verhindert. Zum Schutz vor elektronischen Angriffen kommt…

Cybersicherheit: Die Trends des ersten Halbjahrs 2019

Auch in den ersten sechs Monaten des Jahres stand die Cybersicherheit in den Schlagzeilen, sei es aufgrund der Betrugsfälle mit falschem technischem Support oder der Cyberangriffe auf bestimmte Länder. Stormshield hat einen Rückblick des ersten Halbjahres 2019 erstellt und die wichtigsten Tendenzen hervorgehoben.     Tendenz: Cyberkriminalität, neues Gesellschaftsphänomen Die Cyberkriminalität schleicht sich zunehmend in…

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

5 Bereiche in denen Cybersicherheit von KI profitiert

Illustration: Geralt Absmeier Eine Untersuchung von Markets and Markets prognostiziert, dass die Industrie für künstliche Intelligenz bis zum Jahr 2025 auf ein Volumen von 190 Milliarden Dollar wächst. Bis zum Jahr 2021 werden dreiviertel aller kommerziellen Unternehmensanwendungen KI nutzen. Ein Bereich, in dem künstliche Intelligenz weiterhin auf dem Vormarsch ist, ist die Cybersicherheit. Wie in…

Europäische Unternehmen signalisieren wachsende Sicherheitslücke im Zuge der digitalen Transformation

Während unzutreffende Prognosen zur digitalen Transformation langsam verblassen erreichen wir in puncto Business eine neue Ära. Weltweit, und in einem bisher beispiellosen Ausmaß haben die digitale Transformation und neue, erstmals digitalisierte Geschäftsumgebungen eine Welle von Vorteilen mit sich gebracht. Größere Effizienz, bessere Kundenerfahrung und Kundenbindung, um nur einige zu nennen.   Das ist in Europa…

Europäische Unternehmen beim Thema IT-Sicherheit unter globalem Durchschnitt

Eine aktuelle Studie zeigt, dass europäische Unternehmen deutlichen Nachholbedarf beim Schutz vor Cyberbedrohungen haben: Mit einem Reifegrad der IT-Sicherheit von 1,42 von fünf Punkten lagen sie 2018 unter dem generell niedrigen Wert von 1,45 im globalen Durchschnitt. Die Unterschiede besonders zwischen den Branchen sind groß, Vorreiter ist der Technologiesektor, während die Finanzindustrie hinterherhinkt. Safety first?…

Neue Storage-Architekturen: Hybrid- und Multi-Cloud-Strategien beschleunigen

Auch wenn alle Welt über Daten und ihre Bedeutung für mehr Wettbewerbsfähigkeit und Flexibilität spricht, so fällt es vielen Unternehmen dennoch schwer, dieses Potenzial zu nutzen – und zwar aus einem einfachen Grund: Traditionelle Storage-Anbieter halten sie davon ab, ihr System zu modernisieren, weil sie an herkömmlichen Architekturen mit all ihrer inhärenten Komplexität und Einschränkungen…

Sicherheitsteams verdienen einen besseren Ansatz für Erkennung und Reaktion auf Cyberangriffe

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto…

Wettlauf zwischen Angreifern und Verteidigern – KI und IT-Sicherheit

Die vom Bundesministerium für Bildung und Forschung (BMBF) initiierte Plattform Lernende Systeme (PLS) hat das Ziel, künstliche Intelligenz und maschinelles Lernen im Sinne der Gesellschaft zu gestalten. Im aktuellen Whitepaper »Künstliche Intelligenz und IT-Sicherheit« analysiert die Arbeitsgruppe »IT-Sicherheit, Privacy, Recht und Ethik« der PLS eines der Spannungsfelder der KI. Beigetragen haben dazu auch Experten des…

Gebündeltes Expertenwissen für ganzheitliche IT-Sicherheit

Allgeier CORE betritt mit umfassendem Leistungsspektrum den Informationssicherheits- und IT-Markt.   Die secion GmbH, die consectra GmbH und die Allgeier ONE AG haben sich zur Allgeier CORE GmbH zusammengeschlossen. Seit Ende Dezember gehört zum neu gegründeten Unternehmen auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie umfassendem Know-how im…