Schlimme Dinge beginnen oft ganz harmlos: Wer kennt sie nicht, die scheinbar simple Diskussion über die Clear-Desk- und/oder die Clear-Screen- Policy. Verlangen wir «keine vertraulichen Informationen sollten unbeaufsichtigt gelassen werden» oder sagen wir «nicht länger als 15 Minuten» oder sogar «ausserhalb der Bürozeit»? (Mit entsprechenden Folgen für die Parametrisierung des Screen-Savers, etc.) Wenn diese Frage durch einen Security-Officer oder einen Risikomanager auf Stufe Geschäftsleitung eskaliert wird, erntet sie/er im besten Fall Hohn, im schlechtesten wird er/sie als inkompetent disqualifiziert (weil diese Frage nicht selbständig gelöst wurde). Dabei ist die Festlegung dieses Clear-Desk-/Clear-Screen-Parameters eine zentrale Weichenstellung für die Ausgestaltung des Sicherheitsdispositivs. Mehr noch: es ist ein Bekenntnis für eine ganz bestimmte Risikotoleranz, welche für diverse andere Bereiche richtungsweisend ist.
Natürlich liegt die Versuchung nahe – und weil man ja nichts falsch machen will – hier den ambitiösen Wert «vertrauliche Informationen nie unbeaufsichtigt» zu wählen. Tut man das, so ist entweder der zigfache Weisungsverstoss pro Tag vorprogrammiert oder aber die meisten Organisationen würden unproduktiv, weil selbst für einen kurzen Gang zum Kaffeeautomaten (wo man allenfalls den Bildschirm noch sperrt) die sorgfältig vorbereitete Auslegeordnung der sortierten Kundenbriefe, welche sogleich weiter bearbeitet werden müssen, zu Gunsten der Clear- Desk-Policy wegzuräumen ist. Entscheidet sich die Organisation1) jedoch, gar keine Clear- Desk-Policy anzuwenden, wird der erstbeste Auditor (und daneben allenfalls auch das Reinigungspersonal) in diesem Sachverhalt ein ausnutzbares fahrlässiges Handeln sehen. Dieses einfache Beispiel soll zeigen, dass wir uns oft mit der Anforderung konfrontiert sehen, eine exakte Regel festzulegen, hierfür jedoch beliebig viele Beispiele heranziehen können, welche für die eine oder andere Lösung sprechen – und die Lösungen können sich dabei durchaus gegenseitig ausschliessen.
Das Beispiel zeigt jedoch noch mehr. Risikomanagers und Security-Officers müssen an mehrere (mindestens drei) Zielsetzungen gleichzeitig denken. Da wäre einmal die offensichtliche Zielsetzung, dass (1) den wichtigsten mit der Massnahme zusammenhängenden Risiken Rechnung zu tragen ist. Zusätzlich ist darauf zu achten, dass (2) die Massnahme im Tagesgeschäft mit realistischem Schulungs-, Sensibilisierungs- und Kontrollaufwand auch eingehalten wird (überhaupt eingehalten werden kann). Diese zwei Zielsetzungen zu beachten ist Teil der klassischen Überlegungen eines Security-Officer oder Risikomanagers. Als weitere Zielsetzung gilt es – transparent und nachvollziehbar – (3) der (hoffentlich bereits generell festgelegten) Risikotoleranz Rechnung zu tragen.
Die Diffusität wird oft unnötig erhöht
Was bei Risiken im Allgemeinen von Realitätssinn und Erfahrung zeugt, namentlich das Eingeständnis der vorhandenen Diffusität, ist bei der Festlegung der Risikotoleranz nicht angebracht. Wie aber bringt man einen Verwaltungsrat und/oder eine Geschäftsleitung dazu, die Risikotoleranz festzulegen? Und das erst noch im Bereich der Technologie, wo bereits einfachere Fragestellungen auf der Strecke bleiben. Meine persönliche Erfahrung ruft hier die Kommunikation auf den Plan. Und zwar sind zwei an sich logische Sachverhalte unmissverständlich zu kommunizieren. Erstens ist eine Organisation bereit ein gewisses Risiko einzugehen, wenn überhaupt Technologie eingesetzt wird – was sicherlich bei fast allen Organisationen der Fall ist. Das gleiche gilt für Informationen: wenn mit ihnen «umgegangen» wird, wird ein Informationsrisiko eingegangen. Wie hoch dieses ist, hängt nun vor allem vom zweiten Sachverhalt ab, der zu kommunizieren ist. Es geht darum, wie viel vom eingegangenen Risiko (z.B. Informationsrisiko) akzeptiert wird. Die beiden hier referenzierten Begriffe sind 1. Risikobereitschaft und 2. Risikotoleranz. Eine interessante Abhandlung zu diesen Begriffen ist beispielsweise in der Schweizer Finanzmarktregulierung zu finden (vgl. FINMA-Rundschreiben 2008/21).
Der Entscheid zur Risikobereitschaft ist also bereits durch die Tatsache der Aktivität in einem risikobehafteten Bereich gegeben. Für das eingangs geschilderte Beispiel ist jedoch die Festlegung der Risikotoleranz wichtig. Leider gibt es hierzu in der Praxis offizielle Statements von Organisationen, dass betreffend Risiken keine Toleranz herrsche (oft auch «Zero-Tolerance» genannt). Ich möchte der Zero-Tolerance-Strategie nicht gänzlich die Existenzberechtigung absprechen. Bei korrektiven Massnahmen etwa, kann es durchaus angebracht sein, keine Toleranz (im Sinne der Abweichung von einer Zielsetzung in Form eines Control-Objectives) zuzulassen. Bei einer präventiven Massnahme jedoch (wie das bei der Clear-Desk- und Clear-Screen-Policy der Fall ist, um beim Beispiel zu bleiben), würde eine Risikotoleranz «Null» – also keine Risikotoleranz – gleichbedeutend sein mit dem Streben nach einer hundertprozentigen Sicherheit. Es ist selbstredend, dass eine solche Zielsetzung untauglich, unfinanzierbar und unerreichbar ist. Es gilt also zwingend durch die Risiko-Owners Farbe zu bekennen.
Wem das Beispiel mit der Clear-Desk-Policy zu profan ist, kann durchaus die Diskussion um anzuwendende NIST2)-Levels bei einer Out-of-Band Multifaktor-Authentisierung betrachten. Soll für die Benutzerauthentisierung ein Hard-Token verlangt werden oder reicht ein Soft-Token? Wer mit dieser Frage direkt in eine Geschäftsleitungssitzung «platzt», macht in der Regel schlimme Erfahrungen. Wenn jedoch für den Informations- und Technologiebereich bereits eine brauchbare Risikotoleranz festgelegt ist, kann die Frage vorbereitet und es können begründete Alternativen präsentiert werden.
Die Probleme sind lösbar
Es geht an dieser Stelle nicht darum, die technischen und konzeptionellen Details der geschilderten Beispiele darzulegen. Ziel ist es, den Blick zu schärfen für den Umstand, dass exakte Regeln durchaus sinnvoll sind – auch wenn Risiken per Definition diffus erscheinen. Im an sich schwer quantifizierbaren und daher nicht operationalisierten Bereich der Informations- und Technologierisiken empfiehlt es sich, Grundkonzepte vor den eigentlichen direkt risikowirksamen Massnahmen gemeinsam mit den Risikoeignern festzulegen, respektive diesen vorbereitete Alternativen zu präsentieren.
Ein gutes Mittel ist ein sogenanntes «Policy-Statement», in welchem die oberste Führung einer Organisation die Botschaft für den Umgang mit Risiken oder der Sicherheit festhält. Flankiert werden kann dies mit konkreten Entscheiden zur Parametrisierung von Sicherheitsmassnahmen (wie in den zwei Beispielen weiter oben dargelegt). Eine weitere Voraussetzung für ein effizientes Finden von Antworten auf Risikofragen ist zudem, dass genau bekannt ist, worauf Risiken «abzielen», respektive, was zu schützen ist. Letzteres wird im Technologie- und Informationsbereich sinnvollerweise durch die Informationskategorisierung und Informationsklassifizierung erreicht.
Wenn also sorgfältig und exakt Risikobereitschaft, Risikotoleranz, Policy-Statement, Kategorisierung und Klassifizierung festgelegt sind, dann sollten in den meisten Fällen die Antworten auf die Fragen nach den geeigneten Massnahmen für die an sich diffusen Risiken gefunden werden können.
Der Autor
Rainer Kessler ist Wirtschaftsinformatiker und MBA; er forscht als Doktorand in den Gebieten Meta-Recht und Risikomanagement; daneben leitet er Projekte im Bereich Technologie-Compliance und unterrichtet an Hochschulen sowie an der Generalstabsschule; er war u.a. für Big-4-Firmen tätig und CISO einer Grossbank.
Rainer Kessler (Quelle: Isaca)