Informationssicherheit braucht eine Kultur (1)

Ordnungsmerkmale

erschienen in: <kes> 2006^#6, Seite 63

Zusammenfassung: Auf der technischen Ebene lassen sich IT-Infrastrukturen optimal absichern, mittels organisatorischer Massnahmen werden Verfahren für den Betrieb und die Nutzung der IT-Sicherheitskonzepte definiert. Aber wie kann sichergestellt werden, dass alle Anwender, vom Sachbearbeiter bis zum Management, sich auch der Bedeutung und der konsequenten Bewahrung der Informationssicherheit bewusst sind?

• Teil 1
• Teil 2

Autor: Von Dr. Thomas Schlienger, TreeSolution Consulting, und Prof. Dr. Stephanie Teufel, Universität Freiburg i. Ue.

Zahlreiche Studien belegen, dass Mitarbeitende das größte Hindernis für eine effektive Informationssicherheit sind (s. u. a. [1]). Das Mitarbeiterrisiko steht denn auch weit oben auf der Liste der Sicherheitsrisiken [2,3], beispielsweise in Form von unbeabsichtigtem Fehlverhalten (z. B. das naive Anklicken eines E-Mail-Virus) oder von Fehlkonfigurationen an Servern und PCs. Konsequenzen können dabei der Ausfall der Verfügbarkeit von Informatikdiensten oder ein Abfluss vertraulicher Daten sein. Der direkte Verlust ist dabei meist groß, ganz zu schweigen von den kaum bezifferbaren indirekten Folgeschäden.

Eine integrierte Informationssicherheits-Konzeption umfasst immer technische und organisatorische Maßnahmen. Flankierend ist Informationssicherheit jedoch auch durch geeignete Maßnahmen, wie Sensibilisierung, Schulung und Training in das Mitarbeiter-Bewusstsein zu rücken. Denn die Mitarbeiter sind es, die täglich bei ihrer Arbeit im Umgang mit Informationen und anderen immateriellen Unternehmenswerten maßgeblich zur Wahrung der Informationssicherheit beitragen. Was nützen aufwändig gesicherte Systeme, wenn durch den Anschluss mobiler Datenträger potenziell gefährliche Programme eingeschleust werden können?

Der positive Effekt einer guten Kultur der Informationssicherheit wird heute zwar kaum noch bestritten [2]. Eine Studie der Arbeitsgruppe Informationssicherheitskultur der information security society switzerland zeigt jedoch auch die Gründe auf, weshalb kulturfördernde Maßnahmen in der Praxis dennoch selten umgesetzt werden. Die größte Herausforderung sehen die Befragten in der Messbarkeit, weiters werden fehlende Konzepte und ungenügende Instrumente genannt.

In diesem und im nächsten BSI-Forum werden wir aufzeigen, wie die aktuellen Lücken in der Benutzersensibilisierung und Sicherheitskultur geschlossen werden können. Im vorliegenden Artikel wird dabei zuerst das Konzept der Informationssicherheitskultur eingeführt und dargelegt, wie Sie mit einem geeigneten Managementprozess die menschliche Seite der Informationssicherheit bewusst und erfolgreich lenken können. Im nächsten Artikel wenden wir uns den verschiedenen Instrumenten zu, die Mitarbeitende und Management sensibilisieren und eine geeignete Informationssicherheitskultur fördern.

Was ist Informationssicherheitskultur?

Die Informationssicherheitskultur ist ein Bestandteil der Unternehmenskultur und bestimmt die Wahrnehmung, das Denken, Fühlen und Handeln in Bezug auf Informationssicherheit. Sie gehört damit zu den informellen Strukturen einer Organisation und wird hauptsächlich durch das Management der Organisation beeinflusst und im besten Fall sogar entwickelt. Die Informationssicherheitskultur kann analog zu anderen Sicherheitskulturkonzepten, wie beispielsweise der Arbeitssicherheit auf Baustellen und Industrieanalagen oder der Vekehrssicherheitskultur betrachtet werden, bei denen sicheres Verhalten eine Schlüsselrolle spielt.

Nachhaltige Entwicklung

Informationssicherheitskultur ist kein einmaliges Projekt, sondern muss ständig analysiert, gefördert und angepasst werden. Man kann daher diese Aufgabe als einen Qualitätsmanagement-Zyklus betrachten (vgl. Abb. 1). Das Modell orientiert sich am Information Security Management System (ISMS) des ISO-27001:2005-Standards. In Projekten der TreeSolution Consulting wird der Prozess dabei größtenteils durch das internetbasierte Managementsystem TWISK unterstützt, welches im Laufe eines Promotionsprojektes am international institute of management in technology (iimt) der Universität Freiburg i. Ue. entwickelt wurde [4]. Dieser Arbeit entspringt auch der nachfolgend beschriebene Managementprozess. Eine Unterstützung und Abbildung durch Software-Werkzeuge ist nicht notwendig, kann aber eine deutliche Beschleunigung und Entlastung von Ressourcen bewirken. Beispielsweise führt TWISK durch den Prozess, indem es Internetfragebogen und automatische Auswertungen für die Diagnose, Vergleiche mit sich selbst oder einem Benchmark sowie die automatische Detektion von Schwachstellen in der Kultur mit Vorschlägen zur Verbesserung anbietet.

Abbildung 1: Management-Prozess zur Informationssicherheitskultur

• 1. Schritt – Diagnose des Ist-Zustands: Zu Beginn eines systematischen und effektiven Managements steht immer die Diagnose der Ausgangslage. Dabei spielt es keine Rolle, ob nur Awareness-Maßnahmen umgesetzt oder die Sicherheitskultur gesamthaft verbessert werden soll.
• 2. Schritt – Planung der Maßnahmen: Dabei wird zuerst entschieden, wie die Soll-Informationssicherheitskultur aussehen soll und davon abgeleitet, welche Aspekte der Ist-Kultur belassen, verbessert oder umfassend verändert werden müssen (Gap-Analyse). Danach werden die Zielgruppen und die geeigneten Instrumente ausgewählt.
• 3. Schritt – Umsetzung der Maßnahmen: Wichtig ist dabei vor allem eine durchgehende Unterstützung durch das Management und das Hinzuziehen von Fachspezialisten wie beispielsweise Kommunikationsexperten. Wiederkehrende Maßnahmen, wie etwa die Einführung neuer Mitarbeitender, werden in den operativen Betrieb überführt.
• 4. Schritt – Kontrolle der Maßnahmen: Es wird die Durchführung der einzelnen Maßnahmen überwacht und die erreichten Ziele durch Vergleichen des Zustands vor und nach dem Informationssicherheitskultur-Programm evaluiert.
• 5. Schritt – Verbesserung der Maßnahmen und Prozesse: Die letzte Phase dient dazu, aus den gemachten Erfahrungen zu lernen, kurzfristig korrektive Maßnahmen zu ergreifen und die eingesetzten Methoden und Instrumente zu verbessern. Ebenso sollten die erreichten Ziele und die Erfahrungen kommuniziert werden. Die Erkenntnisse aus dieser Phase fließen dann in den nächsten Zyklus ein.

Diagnose

Die Untersuchung von Organisationskulturen ist ein komplexes Thema. Zwei Hauptströmungen lassen sich dabei grundsätzlich identifizieren: Auf der einen Seite befinden sich die so genannten Funktionalisten, die Kultur als objektiv messbares Konzept ansehen ("die Organisation hat eine Kultur"). Zur Analyse bieten sich daher zum Beispiel standardisierte Fragebogen an. Die Antworten können so zwischen verschiedenen Organisationen respektive Organisationseinheiten verglichen werden. Auf der anderen Seite sind die so genannten Interpretativisten, die Kultur als allumfassendes Konzept auffassen ("die Organisation ist eine Kultur"). Kultur kann dann nicht anhand verschiedener Messpunkte gemessen, sondern nur anhand einer vollständigen Beobachtung aller Verhaltensweisen interpretiert werden. Als Methoden werden daher meist Beobachtung und Interviews angewendet.

In der Praxis bietet sich an, von den Erkenntnissen beider Strömungen zu profitieren und verschiedene Untersuchungsmethoden in Form eines Methoden-Mix zu verwenden:

• Analyse der Sicherheitspolitik
• Fragebogen
• Interviews
• Messung von Verhaltensmustern

Abhängig von den eigenen Zielen und Bedürfnissen kann dabei das Schwergewicht mehr auf das eine oder andere Instrument gelegt werden. Die Analyse der Informationssicherheitspolitik gibt Aufschluss über die offiziellen Werte der Organisation und über geforderte Verhaltensnormen. Der Fragebogen zielt hauptsächlich auf das Wertesystem, das Wissen und die Wahrnehmung der Mitarbeitenden. Die breite Befragung der Mitarbeitenden erfasst nicht nur den repräsentativen Stand der Sicherheitskultur, sondern stellt gleichzeitig auch eine Sensibilisierungsmaßnahme dar.

Abbildung 2 zeigt eine beispielhafte Sicht auf die Hauptdimensionen solcher Fragebogen, die auf einen ersten Blick die aktuellen Stärken und Schwächen aufzeigen. In den meisten Fällen hat sich gezeigt, dass die offizielle Sicherheitspolitik die Einstellung der Mitarbeitenden maßgebend prägt. Die Mitarbeitenden fühlen sich selbst für die Informationssicherheit verantwortlicher, wenn die Politik ihnen diese Rolle auch zuschreibt. Zwängt jedoch die Sicherheitspolitik die Mitarbeitenden in ein komplexes Regelwerk, stehlen sich die Mitarbeitenden oft aus der Verantwortung und schieben diese auf die Organisation, den Vorgesetzten oder die Arbeitskollegen ab.

Besteht der Verdacht, dass Antworten nicht wahrhaftig gegeben wurden und daher nicht den tatsächlich gelebten Zustand widerspiegeln, können sie stichprobenartig mit Interviews und Audits respektive Messungen überprüft werden. Beispielsweise kann so in Gesprächen oder mittels technischer Mittel kontrolliert werden, ob die Aussage "ich verwende nur sichere Passworte nach dem Unternehmensstandard" auch wirklich stimmt.

Jedes Diagnoseinstrument bietet an und für sich schon viele Informationen über die Informationssicherheitskultur, eine Verknüpfung der verschiedenen Bilder ermöglicht jedoch erst das tief greifende Verständnis der vorherrschenden Kultur.

Abbildung 2: "Hauptachsen" der Sicherheitskultur

Planung

Wie soll die Zielkultur aussehen, was genau will man mit den Awareness- respektive Kulturmaßnahmen erreichen? Diese Fragen gilt es nach der Diagnose zuerst zu klären. Es gibt grundsätzlich drei Möglichkeiten, eine Ziel-Kultur zu definieren:

• Ad-hoc: Schließung der Lücken und Verstärkung guter Punkte.
• Benchmarking: interner oder externer Vergleich verschiedener Kulturen. Der Benchmark (d. h. Klassenbeste) definiert dabei das zu erreichende Ziel.
• Definition der individuellen Soll-Sicherheitskultur: Der Soll-Zustand wird aufgrund organisationsspezifischer Bedürfnisse festgelegt.

Von der Ad-hoc-Methode ist – wie bei technischen Ad-hoc-Sicherheitsmaßnahmen – abzuraten, da dieser Ansatz unsystematisch und ziellos ist. Der Benchmarking-Ansatz bietet gerade im jährlichen Kampf um die Budgetgelder seinen besonderen Reiz, kann aber an den Zielen des Unternehmens respektive der Unternehmenseinheit vorbeigehen. Der Benchmark ist daher streng auf seine Eignung zu prüfen.

Der langfristig erfolgversprechendste Ansatz ist, aufgrund individueller Planvorgaben die gewünschte Zielkultur zu definieren. Wird davon ausgegangen, dass die untersuchte Organisation eine geeignete Informationssicherheits-Politik hat, bietet sich eine Ausrichtung der Informationssicherheits-Kultur auf diese an. Denn eine geeignete Sicherheitspolitik definiert die Sicherheitsstrategie und -struktur und ist im Einklang mit den marktwirtschaftlichen und gesellschaftlichen Zielen der Organisation, da sie sich an die übergeordneten Dokumente wie dem Leitbild, der Organisationsstrategie und Organisationspolitik anlehnt. Die Informationssicherheitspolitik stellt also das zentrale Element der Informationssicherheit dar und definiert daher auch die wichtigsten Pfeiler der Sicherheitskultur.

Danach werden die Zielgruppen definiert. Bei der Diagnose werden sich integrative und differenzierende Elemente der Informationssicherheitskultur zeigen. Es ist für die Planung wichtig, diese Elemente zu kennen. Integrative Elemente erfordern Maßnahmen, die für alle Mitarbeitenden gleichermaßen umgesetzt werden, während differenzierende nur für eine "Subkultur" gültig sind. Ein Beispiel für ein integratives Element ist die Passwortsicherheit, ein differenzierendes Element könnte beispielsweise der sichere Umgang mit mobilen Endgeräten sein, denn nicht jede Mitarbeitende verfügt über ein solches. Es wäre unsinnig, nach dem Gießkannenprinzip alle Mitarbeitenden mit Maßnahmen zu versehen, die eigentlich nur eine Gruppe betreffen. Gleichzeitig sollte man sich auch bewusst sein, dass – gerade im internationalen Kontext – den interkulturellen Unterschieden Rechnung getragen werden muss.

Anschließend werden geeignete Instrumente und Maßnahmen ausgesucht und priorisiert. Die meisten Organisationen setzen bereits Maßnahmen ein, welche die Informationssicherheitskultur fördern (vgl. Abb. 3, [2]). Am häufigsten kommen dabei jedoch noch Weisungen zur Informationssicherheit zum Einsatz und zielen damit auf den rein organisatorischen Aspekt ab. Bei der Frage, welche Maßnahmen aktuell geplant sind, zeigt sich jedoch ein Wechsel hin zu Verständnis- und Sensibilisierungsmaßnahmen. Die Problematik einer organisatorischen Überreglementierung in der Informationssicherheit, ohne für deren Verständnis bei den Mitarbeitenden zu sorgen, wurde also von der Wirtschaft erkannt. Im Trend sind sozio-kulturelle Maßnahmen.

Abbildung 3: Maßnahmen und Instrumente zur Sicherheitskultur (Ergebnisse aus [2])

Fazit und Ausblick

Mit einem gezielten Prozess kann erfolgreich eine geeignete Informationssicherheitskultur aufgebaut werden. Das hier vorgestellte Vorgehensmodell hat dabei folgende Vorteile:

• Ständiger Verbesserungsprozess mit periodischem Assessment und Benchmarking,
• Integration in bewährte Verfahren wie ISO 27001 und ISO 9001,
• höhere Qualität dank standardisierter Vorgehen und Best Practices,
• theoretisch und praktisch fundiert.

Projekte zur Verbesserung der Sicherheitskultur und damit auch der Informationssicherheit im Allgemeinen können so in kürzester Zeit mit wenig Ressourcen-Aufwand erfolgreich durchgeführt werden. Der Fortsetzungsartikel im nächsten Heft beschäftigt sich mit den wichtigsten Maßnahmen und Instrumenten, die zur Steigerung der Sensibilisiertheit und zur Förderung einer geeigneten Informationssicherheitskultur eingesetzt werden können. Es werden auch die wichtigsten Erfolgsfaktoren für eine erfolgreiche Umsetzung diskutiert sowie auf die verbleibenden zwei Punkte Evaluation und Lernprozess eingegangen.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006^#6, Seite 63