Durch die rasant zunehmende Leistungsfähigkeit von Computern, Endgeräten, Speichern und Übertragungsnetzen sowie der weltweiten Vernetzung von Rechnersystemen können grosse Mengen von Informationen sehr rasch verbreitet und verarbeitet werden. Vertrauen in die Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit der Informationen sowie Verlässlichkeit unserer Informationssysteme sind heute unerlässliche Grundbedingungen für den Geschäftserfolg. Sorgloser Umgang mit Informationen und Informatikmitteln kann zu grossen Schäden führen, einschliesslich Imageschäden und Vertrauensverlust. Nur eine einzige spektakuläre Zahl: heute sind mehr als 80'000 Viren bekannt. Und es werden täglich mehr. Der technische Schutz allein ist dieser Flut von Neuschöpfungen und Mutanten nicht mehr gewachsen. Das Problem verschärft sich zusätzlich, weil die Benutzer einerseits keine Sicherheitsexperten sind und weil andererseits die Nutzung von neuen Technologien wie Mobilgeräten und Internetanwendungen für zusätzliche Gefahrenquellen sorgen.
Die Informationssicherheit war in den letzten Jahren einem starken Wandel ausgesetzt, nicht zuletzt getrieben von Vorfällen und steigender Bedrohungsvielfalt, die in den Medien für Schlagzeilen und in den betroffenen Unternehmungen für erhebliche Aufregung sorgten. So verfolgten viele Unternehmen den Ansatz, ihre Informationen und Daten nur durch technische Massnahmen zu schützen. Informationssicherheit kann heute, gerade in einem sensitiven Geschäftsfeld, nicht isoliert ohne Einbezug von Prozessen, den Menschen sowie der Geschäftsziele betrachtet werden. Wir können einen hohen Grad an Informationssicherheit nur erreichen, wenn wir nicht nur von Technologie reden. Vielmehr ist ein ganzheitlicher Ansatz (siehe Grafik) in einem Spannungsfeld zwischen Bewusstseinsbildung (Awareness), Organisation, Prozessen sowie der Technologie notwendig! Eine Grundlage für die Definition eines integralen Sicherheitsansatzes bildet eine auf die Geschäftspolitik abgestützte Sicherheitspolitik.
Schutz vom Anfang bis zum Ende
Informationen stellen einen bedeutenden Wert dar. Aus der Bearbeitung von Informationen erfolgt eine Wertschöpfung, welche einen kritischen Erfolgsfaktor im Wettbewerb darstellt. Aus diesem Grund müssen heute diverse Vorkehrungen zum Schutz der Informationen umgesetzt werden. Massgebende Grundlage eines sicherheitspolitischen Ansatzes ist die Information Security Policy (ISP) und der Code of Conduct. Beide sollten Bestandteile eines Mitarbeiterhandbuchs oder Arbeitsvertrages sein.
Diese formulierten Grundsätze haben zum Ziel, Informationen und insbesondere Mitarbeiter- und Kundendaten zu schützen. Grundsätzlich sind Informationssysteme so zu entwerfen, herzustellen und einzusetzen, dass
• Informationen für Unberechtigte nicht einsehbar sind (Stichworte: Bank- und Geschäftsgeheimnis);
• ohne Berechtigung Daten nicht erfasst, verändert oder gelöscht werden können;
• Informationen jederzeit – auch nach Katastrophenfällen – in angemessener Zeit wieder verfügbar sind;
• alle Informationen, ungeachtet
Das bedeutet:
• Vertraulichkeit ist gewahrt und keine Informationen können an unberechtigte Dritte abfliessen;
• Verfügbarkeit von Informationen ist für die tägliche Bearbeitung sichergestellt;
• Integrität der Informationen wird nicht verletzt;
• Nicht-Abstreitbarkeit ist gesichert;
• Nachvollziehbarkeit (Audit Trail) ist jederzeit möglich.
Sicherheit durch ganzheitlichen Ansatz
Ohne einen Schwerpunkt im Aufbau einer unternehmensweiten Sicherheitskultur zu setzen, können die minimalen Ziele eines «good practice»- Ansatzes – geschweige «best practice» – nicht erreicht werden. Ein ausgeprägtes Sicherheitsbewusstsein jedes einzelnen Mitarbeiters ist der beste Garant für hohe Qualität und fördert das Vertrauen von Geschäftspartnern und Kunden. Dies ist heute eine unerlässliche Grundbedingung für den Geschäftserfolg. Der langfristig wirksame Erfolg einer Sicherheitskultur stellt sich ein, wenn es gelingt, eine allseits anerkannte und vom Management wie auch von allen Mitarbeitern gelebte Sicherheitskultur zu etablieren.
Stefan Burau besitzt den Titel eines Executive Master of Information Security und ist Head of Information Security bei der Coutts Bank von Ernst LTD.
