Gründe für eine umfassende Informationssicherheit gibt es viele. Der wichtigste ist die Gewährleistung der Vertraulichkeit, der Verfügbarkeit und
der Integrität der Informationen und IT-Ressourcen eines Unternehmens. Diese können durch verschiedene Ereignisse gefährdet werden – vom einfachen Entreissdiebstahl eines Laptops bis hin zu einer Brandkatastrophe, die einen totalen Betriebsausfall zur Folge hat. Ziel aller Aktivitäten im Bereich der IT-Sicherheit ist es deshalb, solche schädigenden Ereignisse für das Unternehmen, die Mitarbeitenden, die Kunden, die Partner und für die Umwelt auf ein absolutes Minimum zu reduzieren, und zwar sowohl in ihrer Häufigkeit als auch in ihrer Auswirkung.
In der Praxis entspricht ein systematisches und kontinuierliches Sicherheitsmanagement oft nur einem Idealbild. Fehlende Zeit, mangelndes Bewusstsein oder auch ungenügende Kenntnisse können dazu führen, dass die Informationssicherheit nicht genügt und sich ein Unternehmen in trügerischer Sicherheit wähnt. Doch werden bei fehlerhaftem Verhalten eines Systems keine Massnahmen eingeleitet, so kann aus einem kritischen Zustand schnell ein Notfall oder gar eine Krise werden. Wird das Sicherheits- und Risikomanagement jedoch richtig angepackt und fest in bestehende Strukturen integriert, so kann es auf lange Sicht und ohne unnötigen finanziellen Aufwand Schäden verhindern.
Voraussetzung für die Informationssicherheit ist der Aufbau eines systematischen IT-Sicherheits- und Risikomanagements. Das Sicherheitsmanagement erstellt Sicherheitskonzepte und definiert Massnahmen zum Schutz der Daten und Systeme vor Angriffen von innen und aussen, Spionage, Missbrauch und Zerstörung oder Veränderung. Das Risikomanagement hingegen befasst sich mit der Erstellung
von Notfallkonzepten und defi-niert Massnahmen zur Aufrechterhaltung des Betriebes bei Störungen, Krisen und Katastrophen. Die Organisation des IT-Sicherheits- und Risikomanagements erfolgt idealerweise in fünf
Schritten:
• Risiko- und Sicherheitsaudit: Die Ist-Situation wird genau analysiert und daraus ein Stärken-/Schwächenprofil erstellt. Wichtig ist, dass diese Audits periodisch und in allen Geschäftsbereichen eines Unternehmens durchgeführt werden.
• Identifikation und Bewertung der Risiken (Risk Assessment): Die Risiken werden identifiziert und objektiv bewertet. Ziel ist ein bewertetes Risikoinventar, aus welchem sich konkrete Massnahmen ableiten lassen.
• Massnahmenplanung: Anhand eines Masterplans werden die Massnahmen in Pakete mit Kostenschätzung zusammengefasst. Diese Pakete werden auf den Business Plan, die Ressourcen und die Risikobereitschaft abgestimmt. Die Risikoanalyse besteht nicht nur darin, Massnahmen umzusetzen, sondern auch darin, die Bedrohungen und Schadensausmasse bewusst zu machen.
• Massnahmenumsetzung: Die Umsetzung des Massnahmenpakets erfolgt unter Berücksichtigung der Termine, der Kosten und der Ressourcen.
• Risk Controlling: Aus neutraler Sicht sollen dem Management nachvollziehbar mögliche Schwachstellen und Problembereiche sowie das weitere Optimierungspotential in einem Risikomanagementprojekt aufgezeigt werden. Sicherheits- und verfahrensbezogene Aspekte sollen phasengerecht einfliessen, damit teure Mehraufwendungen, beispielsweise die Nachrüstung technischer Systeme, vermieden werden können.
Prozessorientierte Sicherheitsstandards/-module
Sicherheitskonzept gibt Aufschluss über Massnahmen
Das Ziel eines umfassenden Sicherheits- und Risikomanagements ist ein harmonisierter Schutz, auch Grundschutz genannt. Denn es nützt wenig, an einem Ort mittels immensen Aufwendungen höchste Sicherheit zu veranlassen, während anderswo die Türen weit geöffnet sind. Ein entscheidender Faktor für eine prozessorientierte Risikoerkennung und für die Erreichung einer profunden Sicherheitsqualität liegt darin, sich von der reinen Informatiksichtweise zu lösen. Denn im Zentrum stehen die Geschäftsprozesse: Sicherheits- wie auch Risikomanagement beinhaltet immer auch die Optimierung der Prozesse mit dem Ziel der Gewährleistung von Qualität. Erkannte Risiken haben auch einen Einfluss auf die Steigerung der Qualität der Produkte eines Unternehmens. Essentiell ist auch die Kommunikation: Wichtigster Bestandteil der Risikokommunikation ist die Beschreibung von Risiken und die Festlegung ihrer Vergleichsgrössen sowie die dadurch erreichte Mitarbeitersensibilisierung.
Um das Sicherheits- und Risikomanagement auch langfristig zu gewährleisten, ist die Integration des Sicherheits- und Risikomanagements in bestehende Strukturen unumgänglich. Dies bedeutet konkret, dass ein Mitglied der Geschäftsleitung als Delegierter für die integrale Sicherheit und damit auch die Informationssicherheit zu bestimmen ist. Weitere sinnvolle Funktionen sind ein Steuerungsausschuss, ein Fachteam unter der Leitung des Security Managers sowie ein IT-Sicherheitsverantwortlicher. Selbstverständlich können einzelne Bereiche auch durch Outsourcing abgedeckt werden. Ein Sicherheitskonzept muss die Verantwortlichkeiten und Stellvertretungen, die Bezugsobjekte, die Risikobeurteilung sowie die organisatorischen und technischen Massnahmen festhalten.
Ein professionelles Sicherheits- und Risikomanagement lebt im Endeffekt aber nur durch die Mitarbeitenden. Dies bedeutet, dass ein Sicherheitsbewusstsein geschaffen werden muss. Und: Am Anfang ist das Sicherheits- und Risikomanagement ein Projekt. Am Ende muss es jedoch zur Daueraufgabe werden.
Roland A. Bamert ist Dozent
für Informatik an der Fernfachhochschule Schweiz.
