![[Im Zentrum des IT-Sicherheitsprozesses stehen Steuerung, Koordination und Kommunikation - der Prozess arbeitet als Kreislauf: Ziele festlegen -> Realisierung -> Betrieb -> Kontrolle -> Risiken bewerten -> Ziele festlegen usw.]](10-1.jpg)
Der IT-Sicherheitsprozess funktioniert nur als Kreislauf.
Der Medien-Hype um Hacker und andere Bedrohungen aus dem Internet hat manche Unternehmen zwar wachgerüttelt, ihnen aber nicht zum Durchblick verholfen. Die Sensibilität für IT-Sicherheit hat angesichts von E-Mail-Würmern und anderem elektronischen Ungeziefer, das es bis in die Fernsehnachrichten zur Prime Time schafft, zwar spürbar zugenommen – Gleiches gilt für die Bereitschaft, in Maßnahmen zur Absicherung zu investieren. Doch die erhöhte Investitionsbereitschaft der Unternehmen in IT-Sicherheit ist nicht ganz unproblematisch.
Nach einer Studie der Infor AG haben 61 % der deutschen Großunternehmen in den vergangenen beiden Jahren in die "falsche" Software investiert. Die größten Flops haben Unternehmen erwartungsgemäß bei Internet- und E-Commerce-Software (41 %) gelandet, doch schon an zweiter Stelle folgen IT-Sicherheits-Tools: Rund 38 % der Anwender sind mit der installierten Lösung unzufrieden. Der Hauptgrund: Sie sind nicht exakt auf die Bedürfnisse der Anwender abgestimmt. Oft deshalb, weil die gar nicht genau wissen, welche Produkte und Lösungen sie für ihren Sicherheitsbedarf tatsächlich benötigen.
Die Folge: Zahlreiche Firmen, insbesondere im Mittelstand, investieren blind oder ohne sorgfältige Abwägung. Aus nur sehr vage definierten Entscheidungskritierien entsteht fast zwangsläufig eine Fehlinvestition. Außerdem will nicht jede Firma aufwändige Sicherheitssysteme einführen, deren Nutzen sich nur indirekt auf die Geschäftsentwicklung auswirkt. Das Bild vom Geschäftsmann, der einen teuren Sportwagen kauft, wo er doch mit einem Lieferwagen besser bedient gewesen wäre, drängt sich auf – und beschreibt tatsächlich die Situation recht gut.
Und selbst wo das richtige Werkzeug existiert, wurde nicht immer bis zu Ende gedacht: So werkelt bei manchem Unternehmen nun ein Intrusion Detection System (IDS), das sofort Alarm schlagen soll, wenn jemand lange Finger nach den Unternehmensdaten macht. Doch wehe, wenn es wirklich so weit käme: Kaum einer hätte die organisatorischen Voraussetzungen, um mit den Verantwortlichen die Situation zu bewerten und mit kühlem Kopf vernünftige Maßnahmen zu ergreifen. Welcher Betriebsleiter traute sich zum Beispiel in einer Bank wirklich, beim IDS-Alarm den Netzstecker zu ziehen und die Bildschirme der Wertpapierhändler dunkel werden zu lassen? Aber keine Angst: Vermutlich war das System ohnehin nicht auf die individuellen Kommunikationsmuster des Unternehmens trainiert und hätte, wenn überhaupt, nur einen Fehlalarm produziert...
Die Enttäuschung der Anwender ist verständlich, wenn man sieht, wie versucht wird, Sicherheitsprodukte in den Markt zu drücken, die teilweise nicht ausgereift sind – siehe die jüngsten vernichtenden Testergebnisse biometrischer Zugangskontrollen [1] – oder die lediglich an Symptomen herumkurieren und nicht die Ursachen analysieren.
Wie kann man nun aber der Investitions- und Frustfalle entgehen, ohne in eine Nabelschau zu verfallen, die jegliche Sicherheitsaktivität lähmt und das Unternehmen nicht vorwärts bringt? Für IT-Sicherheit gelten die gleichen Regeln wie für andere unternehmerische Entscheidungen: Man muss sich genügend Überblick verschaffen (und ihn behalten), um seine Entscheidungen auf eine belastbare Basis zu stellen.
Überblick bedeutet hier zunächst, IT-Sicherheit als querschnittliche Aufgabe zu begreifen, die praktisch alle Bereiche des Unternehmens erfasst. Es geht zunächst nicht um eine neue Firewall oder einen zusätzlichen Schnörkel am Virenschutzkonzept, sondern um die Frage, wie viel Sicherheit man überhaupt für das eigene Unternehmen benötigt, wie diese Sicherheit erreicht werden kann und welche Bereiche im Vergleich zu anderen besonders im Argen liegen. Derart identifizierte Risiken müssen effizient gemanagt werden, wobei man eine Balance zwischen dem Streben nach mehr Sicherheit, den wirtschaftlichen Möglichkeiten und der Handlungsfähigkeit finden muss.
Die Beteiligten am IT-Sicherheitsprozess sind in erster Linie die IT-Verantwortlichen. Die Anforderungen, wie viel Sicherheit benötigt wird, sollten aber aus den Fachabteilungen kommen, für die die IT ihre Dienste bereitstellt. Und auch Revision, Datenschutz, Werkschutz und Personalabteilung sind mit unterschiedlichen Aufgaben in den Sicherheitsprozess einzubinden.
Die Etablierung eines IT-Sicherheitsprozesses bedeutet im Unternehmen keine zusätzliche Aufgabe und muss auch nicht unbedingt zusätzliche Kosten verursachen. Es geht im Wesentlichen darum, die Kommunikationsstrukturen und Entscheidungswege, die es schon gibt (oder die es geben sollte), zu formalisieren und damit transparent zu gestalten. Damit einher geht eine Sicherheitsorganisation, bei der ebenfalls gilt, dass eine explizite Zuweisung von Rollen, Zuständigkeiten und Verantwortungen nicht zu mehr Overhead führen muss. Im Gegenteil können hier Kosten gespart werden, wenn Entscheidungsvorlagen nicht beliebig lange durch das Unternehmen irren sondern auf den Schreibtischen von denen landen, die vernünftige Beiträge dazu leisten können.
Ein derart entstandene IT-Sicherheitsstrategie wirkt Frustration und Fehlinvestitionen dadurch entgegen, dass die Entscheidungen nachvollziehbar sind, im Konsens getroffen werden und sich – sofern die Machtverhältnisse in der dazugehörenden IT-Sicherheitsorganisation stimmen – vernünftig in die Unternehmensstrategie einpassen.
Der IT-Sicherheitsprozess funktioniert nur als
Kreislauf.
Der Einstieg in den IT-Sicherheitsprozess geschieht über die Festsetzung der Ziele, die im Unternehmen zur IT-Sicherheit verfolgt werden. Schon hier mangelt es aber meist: Nur 13 % der deutschen Unternehmen haben überhaupt eine klar definierte Security Policy. Die Unternehmensberatung PriceWaterhouseCoopers befragte hierzu im vergangenen Jahr rund 4 500 IT-Verantwortliche. 71 % der Firmen überprüfen die Effizienz ihrer Policy überhaupt nicht. Nur wenige Unternehmen dokumentieren ihr Vorgehen schriftlich (in der Stichprobe der KES/KPMG-Studie sieht das alles erfreulicherweise besser aus – vgl. KES 2002/4, S. ??). Wenn die Leitlinien im Aktenordner verstauben, nehmen auch die Mitarbeiter die fixierten Sicherheitsziele nicht ernst. Hinzu kommen in vielen Unternehmen gewisse Vorbehalte gegenüber bestimmten Methoden der Überprüfung und den Kosten für zusätzliche Maßnahmen bei der IT-Sicherheit.
Sind die Ziele grob festgesetzt, kann aus einem Soll-Ist-Vergleich der Realisierungsbedarf ermittelt und angegangen werden. Sicherheit ist zu komplex und vielschichtig, um zum Projektende "noch mal eben" abgehakt zu werden. Deshalb muss man sie bereits von Anfang an in jede IT-Projektplanung integrieren. Hier sind die IT-Sicherheitsexperten als Berater und Gestalter in den IT-Projekten gefordert. Sie dürfen dabei nicht mit Maximalforderungen als Projektbremse auftreten, sondern müssen helfen, angemessene Sicherheitsfunktionen zu implementieren. In Entwicklungsprojekten ist die Einbeziehung von IT-Sicherheit, besonders auch die Umsetzung von Grundanforderungen an die Vertrauenswürdigkeit der Software und die Sicherheit des Entwicklungsprozesses selbst, ein "winning factor", der nicht nur nach außen verkauft werden kann, sondern auch intern die Kosten begrenzt, indem er die Entwicklungsdisziplin stärkt.
Eine besondere Bedeutung kommt im IT-Sicherheitsprozess der Kontrolle zu. Mit Sicherheitsaudits, laufender Auswertung anfallender Log-Files und regelmäßigen Berichten über Sicherheitsvorfälle wird die Grundlage geschaffen, im nachfolgenden Schritt die verbleibenden und neu hinzugekommenen Risiken fundiert zu bewerten und damit vernünftige Entscheidungen zur IT-Sicherheit und zu erforderlichen Korrekturen an der eigenen Strategie zu treffen, bevor es in die nächste Runde geht.
Wie viel Kontrolle und wie viel Reflexion über die eigene Sicherheitssituation erforderlich ist, muss jeder selbst entscheiden. Wichtig ist auch hier wieder die Erkenntnis, dass dies keine neuen Aufgaben sind, sondern nur die strukturierte Form des bestehenden Entscheidungsprozesses, der heute, weil unvollständig und durch zufällige Einflüsse gesteuert, oft zu den eingangs erwähnten Fehlentscheidungen führt.
Wenn der IT-Sicherheitsprozess einmal läuft, tut sich auch eine weitere Dimension auf: Mit der Zeit werden sich die anfangs nur groben Vorstellungen verfeinern. Mit jeder Runde steigt der Grad der Differenzierung und der Tiefe, in der man die IT-Sicherheitsbelange versteht.
Aller Anfang ist jedoch schwer: Um den Prozess aufzusetzen, die Fehler der anderen nicht selbst durchleiden und den Aufbau des nötigen Know-hows nicht abwarten zu müssen, helfen externe Sicherheitsexperten. Sie bringen nicht nur die notwendige Expertise ein, sondern moderieren und finden auch dort Gehör, wo der Prophet im eigenen Lande nichts gilt. Im laufenden Prozess ist externes Sicherheits-Know-how immer dann gefragt, wenn sich bei speziellen Problemen der Aufbau eigener Expertise nicht lohnt oder schnell Abhilfe geschaffen werden muss.
Firmen benötigen eine umfassende Strategie, die Mitarbeiter konstruktiv einbindet und auch die Chefetage in die Pflicht nimmt. Mitarbeiter haben eine sensible Antenne dafür, wie wichtig ihren Vorgesetzten bestimmte Themen sind. Bloße Lippenbekenntnisse werden schnell und sicher als solche entlarvt und dann ignoriert.
Der Grad an IT-Sicherheit hängt unmittelbar mit der Unternehmenskultur zusammen. Entscheidend ist nicht, was auf dem Papier steht, sondern ob Verantwortung und Kompetenz tatsächlich gelebt werden. Die Belegschaft wird Lücken im Netzwerk und Störfälle beim Datenverkehr nur melden, sofern klar ist, dass die Geschäftsleitung dies wünscht und auf das Vertrauen und die Mitarbeit aller setzt.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Die Kommunikation muss immer in beide Richtungen laufen: Wenn Geschäftsziele, Grundsätze und die Strategie klar von oben nach unten kommuniziert sind, dann stoßen praktische Direktiven und Projekte der Geschäftsleitung auch auf offene Augen und Ohren der Mitarbeiter. In der umgekehrten Richtung läuft das Feedback, das die Bedürfnisse vor Ort formuliert. Seine Berücksichtigung zeigt den Mitarbeitern, dass sie ernst genommen werden und ihr Beitrag zur IT-Sicherheit erwünscht ist, was eben zu einer Unternehmenskultur führt, in der IT-Sicherheit einen selbstverständlichen Platz einnimmt.
Zur Initiierung des Prozesses eignen sich punktuelle Schulungen, die für das Thema sensibilisieren. Die Aufmerksamkeit von Mitarbeitern und Management wird langfristig jedoch nur aufrecht erhalten, wenn Sicherheit auf vielfältige Weise immer wieder präsent wird. Von Artikeln in Intranet und Betriebszeitung, Berichten an die Mitarbeiter, Vorstellung von Themen bei Abteilungstreffen bis hin zum Unternehmenspreis zur Würdigung besonderer Leistungen: Der Phantasie sind keine Grenzen gesetzt.
Wichtig ist die Kommunikation aber auch nach außen: Die Kunden sind das wichtigste Kapital, deren Kredit und Vertrauen nicht leichtfertig aufs Spiel gesetzt werden darf. Die Erwartungen der Kunden an die IT-Sicherheit des Unternehmens im Umgang mit den Kundendaten sollte man ernsthaft abfragen, die Anstrengungen zur IT-Sicherheit den Kunden offensiv vermitteln.
Es gibt keine allgemein gültige Erfolgsformel für das richtige Maß an IT-Sicherheit. Alle Parameter, die die Entscheidung beeinflussen, werden sich mit der Zeit ändern. Deshalb ist eine lebendige Struktur unabdingbar, die alle "Stakeholder" am runden Tisch versammelt und sich selbst immer wieder an die aktuellen Bedürfnisse anpasst. Es kommt auf das gute Zusammenspiel an, das zwischen der Geschäftsleitung, IT-Abteilung und den Fachabteilungen bis hin zur Revision stattfindet. Gemeinsam kann man sich auch auf einen Investitionsplan verständigen, der ausgewogen die Ziele von Unternehmen und IT-Sicherheit berücksichtigt.
Wenn Unternehmen IT-Sicherheit als ganzheitliches System begreifen, das sie ständig weiterentwickeln und überprüfen, dann steigen auch die Chancen, dass sich unvermeidbare Funken an einem Brandherd nicht zum Flächenbrand im gesamten Netzwerk des Unternehmens ausweiten. Gut durchdachte Maßnahmenpläne zur Schadensbegrenzung und ausgereifte Konzepte für präventives Risikomanagement stehen am Ende eines sorgfältig durchdachten Investitionsplanes in die IT-Sicherheit. Von der Spitze bis in jede Abteilung sorgen dann alle gemeinsam dafür, dass ein Störfall durch ein systematisches Vorgehen aufgefangen wird.
IT-Sicherheit ist ein umfassendes Thema, und es konfrontiert jede Firma mit sich selbst. Wer dies positiv sieht und als Möglichkeit auch zur Optimierung anderer Bereiche erkennt, wird den maximal möglichen Nutzen aus der IT-Sicherheit ziehen.
Dr. Goswin Eisen ist Leiter des Competence Center IT-Sicherheit und Technologie bei der CSC Ploenzke AG in München. Gerald Krummeck ist sein Stellvertreter.
![[externer Link]](../../../../images/link.gif)
Körperkontrolle, Biometrische Zugangssicherungen auf die Probe
gestellt, c't 2002/11, S. 114© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 10
