![[Illustration]](06-5-018-1.jpg)
Unternehmens-IT besteht aus Menschen, Prozessen und Technik. Um Arbeitsabläufe zu sichern, müssen alle diese Komponenten berücksichtigt werden – die zentrale Steuerung erfolgt dabei nach Maßgabe der Security Policy.
Vor rund 20 Jahren haben sich Manager in Lebensmittel- und Automobilkonzernen zusammengesetzt, um ein umfassendes Qualitätsmanagement zu realisieren. Unter dem Schlagwort "Total Quality" begann man Lieferketten und Produktionsprozesse einer ganzheitlichen Kontrolle zu unterwerfen. Dieses Modell lässt sich heute auf den Bereich der Informationstechnik übertragen: Jeder Mitarbeiter, der Zugriff auf Daten im Unternehmen hat, ist quasi Teil der "IT-Lieferkette" und muss daher vorgegebene Sicherheitsrichtlinien umsetzen. Statt von Total Quality könnte man hier von "Total Security" sprechen.
Entsprechend weit ist der Begriff Datenzugriff auszulegen: Jeder Link in einer E-Mail kann ein Betrugsversuch sein. Unangenehme Folgen hat es auch, wenn der Sohn des Außendienstmitarbeiters auf dem Firmenhandy ein Klingelton-Abo bestellt. Aber auch an der Team-Assistentin gehen die Sicherheitsrichlinien nicht spurlos vorüber: Wer E-Mails verteilt, sollte Phishing erkennen können. Die einzige Maßnahme, um Bedrohungen von außen nachhaltig zu begegnen, ist die Verlagerung von Sicherheits-Know-how aus dem "Elfenbeinturm" der IT-Security-Abteilung in die Köpfe und das Bewusstsein aller Mitarbeiter.
Unternehmens-IT besteht aus Menschen, Prozessen und Technik. Um Arbeitsabläufe zu sichern, müssen alle diese Komponenten berücksichtigt werden – die zentrale Steuerung erfolgt dabei nach Maßgabe der Security Policy.
IT-Systeme bestehen aus Technik, Prozessen und Menschen. Systeme lassen sich mehrmals im Monat über Patches auf den neuesten Stand bringen, Prozesse kann man durch technische Maßnahmen sichern, doch der Anwender – eines der größten Risiken – bleibt oft unberücksichtigt. Ein ganzheitliches Sicherheitsmanagement sollte aber gerade beim Menschen ansetzen – bei jedem einzelnen.
Analysten schätzen, dass rund 70 % aller laufenden Kosten in der IT Arbeitskosten sind. Um eine effektive und effiziente Sicherheitsumgebung aufzubauen, ist eine reibungslose Zusammenarbeit aller Mitarbeiter erforderlich. Der Kleinkrieg darum, ob beispielsweise das Datenbank-Backup sicherheitsrelevant ist und ob somit IT-Betrieb oder Sicherheitsabteilung dafür zuständig sind, sollte der Vergangenheit angehören. Sicherheitsrichtlinien (Security Policies), Rollen und Verantwortlichkeiten im Unternehmen sollten alle Vorgänge an die Aufgaben der Mitarbeiter anpassen und auch messbar werden lassen.
Solche zielgruppenorientierten Vorgaben bescheren den betroffenen Abteilungen zunächst eine ganze Portion Mehrarbeit: Sie müssen verständliche Sicherheitsrichtlinien erstellen, die sich am Know-how der Mitarbeiter orientieren; diese Richtlinien sollten auch von nichttechnischen Anwendern verstanden werden.
Anschließend gilt es, das zugehörige Sicherheitswissen aufzubauen und zu festigen. Wissen und Verständnis der Mitarbeiter über die IT-Sicherheit kann dann über Prüfungen abgefragt werden. Die Ergebnisse zeigen sofort, ob die Anordnungen für die Anwender auch verständlich und damit durchführbar sind. Am einfachsten geht das alles, wenn der Workflow zu Policy-Erstellung und -Verbreitung, Maßnahmenkatalog, Reporting, Schulung und Prüfung durch ein gemeinsames Workflow-Tool unterstützt werden.
Sicherheit lässt sich nicht einfach "von oben" verschreiben. Für die Mitarbeiter sind die dazugehörigen Maßnahmen vielleicht nur ein weiteres Programm, das sie nicht unbedingt verinnerlichen wollen. Mit einem dreistufigen Ansatz können Verantwortliche auf diese Problematik reagieren:
Ein Unternehmen lässt sich nicht von heute auf morgen absichern. Wichtig sind die einzelnen Schritte und vor allem ein sauber definierter Prozessablauf. Leider wird heute viel zu oft ein eher projektorientiertes Vorgehen beobachtet – nur wenige Unternehmen analysieren zuerst ihre spezifische Gesamtsituation und leiten dann alle erforderlichen Schritte ein.
Auch Manager sind Menschen – und gehören meist zur Gruppe derer, die von neuen Maßnahmen überzeugt werden wollen. Diese Argumentation sollte nicht technologisch vorangetrieben werden, sondern auf wirtschaftlichen Fakten beruhen. Sicherheit muss also in Euro und Cent bemessen werden. Um mögliche Investitionen zu begründen, lässt sich die übliche Amortisationsbetrachtung (Return on Investment, RoI) oft nicht heranziehen. Hier sind andere Modelle gefragt.
Ein möglicher Ansatz ist eine Evaluierung des Verlustpotenzials: Die Single Loss Expectancy (SLE – Berechnung der Verlusterwartung) beziffert, welcher Schaden bei einem einmaligen Ereignis auftreten kann. Mehr als diese einmalige Schätzung eines Verlustes beeindrucken den Unternehmensvorstand meist die zu erwartenden jährlichen Verluste durch den Ausfall eines IT-Systems. Dazu werden die SLE-Ereignisse mit der Häufigkeit ihres Auftretens multipliziert und zum "erwarteten" Jahresverlust zusammengefasst, der so genannten Annual Loss Expectancy (ALE).
Am konkreten Beispiel könnte ein Szenario folgendermaßen aussehen: Ein Beratungsunternehmen beschäftigt 1000 Mitarbeiter zum Stundensatz von 100 Euro. Während der Arbeitszeit legt ein Virus den Mail- und File-Server lahm, sodass die Hälfte der Berater für 30 Minuten keinen Zugang zu ihren Arbeitsgrundlagen erhält. Die SLE für einen solchen Vorfall liegt bei 25.000 €. Wenn so etwas "statistisch" vier Mal pro Jahr auftritt, ergibt sich eine ALE von 100.000 €.
Falls die Kosten für das anvisierte Sicherheits-Equipment geringer sind als die ALE, ist es in der Regel ein guter Kauf. Wenn nicht, ist davon auszugehen, dass die Investition in der Regel abgelehnt wird.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Es herrscht derzeit kein Mangel an Lösungen für das Risiko-Management. Jeder dieser Ansätze weist Stärken und Schwächen in punkto Genauigkeit, Ressourcen, Zeit, Komplexität und Subjektivität auf, die passend zum eigenen Unternehmen gewählt werden müssen. Ein Risiko-Management-Prozess definiert die Prioritäten, listet Bedrohungen (Threats) auf und schlägt einen Plan vor, wie auf Schwachstellen reagiert werden kann. Ausführliche Risikoanalysen sollten jede Sicherheitsstrategie untermauern.
Um die Menschen im Unternehmen in diesen Prozess einzubeziehen, sollte man mit jeder Business-Unit einen Aktionsplan zur Umsetzung der Sicherheit vereinbaren. Dieses unternehmensweite Sicherheitsprogramm besteht aus drei Hauptteilen: Teil 1 definiert die Sicherheitsarchitektur in der unternehmensweit die "Spielregeln" festgelegt werden. Dazu zählen unter anderem Sicherheitsrichtlinien, gesetzliche Bestimmungen, Best Practices, eine Methode zur Klassifizierung von Informationen und ähnliche Vorgaben. Der zweite Teil beschäftigt sich mit der internen Abstimmung im Unternehmen und erstellt einen Prozess, der die erwähnte Sicherheitsarchitektur und die (in Schritt 3) anzustrebende Business-Zertifizierung zusammenführt. In diesem Prozess geht es maßgeblich um Strukturen, Rollen und Verantwortlichkeiten sowie Reporting-Relationships.
Der dritte Schritt ist die Business-Zertifizierung – er wählt einen eher ungewöhnlichen Ansatz zur Sicherheit: Anstelle eines Top-Down-Prinzips im Sinne von "Der Vorstand bestimmt: Wir machen jetzt Sicherheit!" ist hierbei vielmehr jede Business-Unit des Unternehmens selbst für die eigene Sicherheit verantwortlich. Jeder Bereich kann in einem gewissem Rahmen darüber bestimmen, in welchem Zeitraum die mit der IT-Security-Abteilung abgestimmten und von ihr betreuten Maßnahmen eingeführt werden können. Dies hängt natürlich maßgeblich von den Anforderungen der Geschäftsabteilung ab – so haben die Mitarbeiter die Möglichkeit, Sicherheit als "eigenen" Prozess zu erkennen und auch zu leben, und nicht als einen von oben diktierten Prozess zu durchleben, der womöglich überhaupt nicht auf die eigenen Anforderungen abgestimmt ist.
Monatliche Berichte (Follow-up-Reports) sollten die Einführung dieses Plans begleiten. Sie liefern eine Orientierung, wie sich beispielsweise der Wissensstand der Mitarbeiter entwickelt. Aber vor allem dienen sie dazu, den jeweiligen Sicherheitsstatus der Business-Unit zu dokumentieren. So werden sie zu einem wertvollem Berichtswerkzeug, Sicherheit zu einem täglich geübten und hinterfragten Verhalten der Teilnehmer.
Parallel zu den Reporting-Maßnahmen dienen definierte Meilensteine dazu, Ziele schrittweise festzulegen und zu erreichen. Damit wird sichergestellt, dass die Basisprozesse tatsächlich laufen. Darüber hinaus sollten Workshops das grundlegende Umdenken der Mitarbeiter fördern und die notwendigen Tools erläutern. Die dafür notwendige Beratung in punkto Prozesse und Management können eventuell auch beteiligte Anbieter übernehmen.
Für die Auswahl der Sicherheits-Technik ist die Best-of-Breed-Methode die geeignetste Strategie: So wählt man beispielsweise aus den Bereichen Anti-Virus, Firewall und Spam-Filter die passendsten Lösungen. Anschließend geht es darum, die gesammelten Informationen logisch und effizient auszuwerten. Hier kommt wieder der Mensch ins Spiel: Logfile-Einträge, die niemand liest, sind letztlich die Bits nicht wert, in die sie gespeichert sind.
Um eine integrierte Lösung mit einer konsistenten Datenbank aufzubauen, sollten unter anderem die Protokolle der einzelnen Sicherheits-Systeme miteinander verbunden werden. Außerdem sollte man auch System- und Security-Management-Konsolen miteinander verknüpfen. Dies ist nicht als technische Lösung zu verstehen, sondern als organisatorischer Prozess! Anschließend können Informationen von einer Konsole auf die andere geleitet werden. Diese Zusammenführung ist unbedingt notwendig! Vorfälle wie das Sasser-Virus haben diese Erfordernis der Konvergenz von Sicherheits- und Systemmanagement-Lösungen deutlich vor Augen geführt. Die beiden zugehörigen Abteilungen bleiben zwar getrennte "Hoheitsgebiete" mit eigenen Aufgaben, aber ihre Abstimmung muss eng sein.
Erst ein ganzheitlicher Ansatz, der zentral alle sicherheitsrelevanten Informationen zusammenfasst, ermöglicht eine Korrelation der Ereignisse. Dies lässt sich auch als "wissensbasierte Servicesicherung" (Knowledge Based Service Assurance) bezeichnen: Während der Service für den Anwender gewährleistet bleibt, ermöglicht diese Strategie eine Suche nach den Problemen, gibt Hilfestellungen bei den möglichen Reaktionen und verhindert, dass dasselbe Problem zukünftig erneut auftritt.
Die IT-Security-Abteilung wird durch eine Betonung von mehr Eigenverantwortung aller Mitarbeiter nicht überflüssig. Eher das Gegenteil ist zu erwarten, denn mit einer steigenden Zahl von Bedrohungen und gesetzlichen Anforderungen brauchen Unternehmen neben einem gut definierten Sicherheitsprozess auch ein Expertenteam, das neue Anforderungen hierin einpflegen kann.
Die Prognose des Autors: In den nächsten fünf bis acht Jahren wird Sicherheit zum Bestandteil der Aufgaben für jeden einzelnen Mitarbeiter. Es ist sogar davon auszugehen, dass sie über ihre Individual Business Objektives (IBOs) daran gemessen werden, wie sie mit dem ihnen zur Verfügung gestellten Datenmaterial und ihren IT-Systemen umgehen.
Sicherlich ist der "Aufstieg" jedes Mitarbeiters zum Security-Manager ein plakatives Bild. Doch die Motivation, an der Sicherheit im Unternehmen mitzuarbeiten, ist ziemlich pragmatisch: Dies dient dazu, den eigenen Arbeitsplatz und den der Kollegen zu sichern und zu erhalten. Die Abhängigkeit der Unternehmen von der IT und die möglichen drastischen Schäden, die eine absichtliche oder unabsichtliche Fehlbedienung auslösen können, sollten letztlich jeden Mitarbeiter motivieren, seine Mitverantwortung zu erkennen.
Ulrich Weigel (ulrich.weigel@attachmate.com) ist Chief Security Strategist EMEA bei Attachmate (vormals: NetIQ).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#5, Seite 20
| 