Sicherheits-Richtlinien: Des IT-Managers Alptraum
Artikel erschienen in Swiss IT Magazine 2003/05
Sicherheitsrichtlinien, im Fachjargon auch Information Security Policies genannt, sind mittlerweile in allen grösseren Firmen ein Thema. Sie bilden die Grundlage der Information Security. Durch sie kann das Firmenmanagement umfassende Vorgaben geben, wie die Informationssicherheit aussehen soll, und spurt damit auch die Strategie vor. Sie legen ausserdem die Grundlage für die organisatorische Umsetzung der notwendigen Richtlinien. Soviel zur Theorie.
In der Praxis sieht es leider ganz anders aus. Die wenigsten Firmen haben überhaupt Security Policies definiert. Vor allem bei kleinen und mittelgrossen Unternehmen sucht man solche vergebens. Aber selbst Grossfirmen sind keine Musterschüler, dort allerdings hapert's meist an der Durchsetzung.
Der Grund dafür liegt primär in der mangelnden Sensibilität des Managements für Fragen rund um die Information Security und, zweitens, in der nicht eben einfachen Durchsetzung der Richtlinien. Denn eins ist klar: Policy-Dokumentationen bringen herzlich wenig, wenn sie im Schrank des Sicherheitsverantwortlichen vor sich hin modern. Die Durchsetzung von Security Policies bedingt, dass Angestellte, IT-Personal, Contractors und Partner die Regeln lesen, verstehen und auch akzeptieren. Zusätzlich muss die Anwenderschaft trainiert werden. Dies gilt besonders für alles, was schwierig nachzuvollziehen ist.
Security Policies greifen leider nicht selten zu kurz und enden auf einem sehr allgemeinen Level. Ein Security Policy Framework sollte aber auch konkrete technische Standards und Prozesse beschreiben, die etwa sicherstellen, dass Netzwerke, Systeme und Applikationen sicher konfiguriert sind und bleiben.
Eine effektive Security Policy beinhaltet die Entwicklung und Instandhaltung eines robusten Frameworks sowie die effektive Durchsetzung bei allen Personen. Die Systeme müssen so betrieben werden, dass diese mit der aktuellen Security Policy übereinstimmen, so dass neue Schwachstellen erkannt und entschärft werden, bevor Hacker diese ausnützen können. Ein Security Policy Framework stellt ferner sicher, dass Angestellte ihre Verantwortungen kennen, und bietet diesen eine Anleitung.
Ein Teil des ganzen Frameworks kann auch ein fester Bestandteil von Arbeitsverträgen sein. Missachtungen und Zuwiderhandlungen können somit Konsequenzen nach sich ziehen. Ein informatives Memo wird niemand dazu bringen, sich an die Richtlinien zu halten. Wichtig ist auch, dass die Regulierungen einfach durchsetzbar sind. Komplizierte Prozesse, die die Security Policies vorgeben, werden in der Praxis kaum angewendet. Kann man sie nicht vereinfachen, sollte man sie möglichst automatisieren.
Witzigerweise hat sich die Definition und Durchsetzung von Policies in anderen Bereichen schon lange durchgesetzt. So hat praktisch jede Firma ein Personalreglement, das diverse Aspekte des Arbeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer reguliert. Fahrlässiger Umgang mit Information Security kann eine Firma schnell weit mehr kosten als ein Verstoss gegen einen Paragraphen des Personal-Reglements.