[Aufmachergrafik: heller, corporate design] Epische Macht "Extremely Privileged IT Staff" (EPIS) erfordert spezielle Zuverlässigkeits- oder Sicherheitsüberprüfungen

Ordnungsmerkmale

erschienen in: <kes> 2010#6, Seite 6

Rubrik: Management und Wissen

Schlagwort: Faktor Mensch

Zusammenfassung: In der IT-Welt zeigen sich heute extreme Risikokonzentrationen, insbesondere im Finanz- und Energiebereich sowie weiteren kritischen Infrastrukturen – Cloud-Computing, Offshoring, Outsourcing und externe Mitarbeiter verschärfen diese Lage noch. Höchst-autorisierte und somit extrem privilegierte IT-Mitarbeiter in "systemischen" Institutionen sollten sich daher künftig wie Piloten und Kernkraftwerksmitarbeiter neuen Formen einer Zuverlässigkeits- oder Sicherheitsüberprüfung unterziehen müssen.

Autor: Von Stephen Fedtke, Zürich

Permanente Verfügbarkeit, maximale Fehlerfreiheit und höchste Sicherheit der IT sind zur Achillesferse der weltweiten Wirtschaftsabläufe geworden – selbst verhältnismäßig kurze Ausfallzeiten können schon das "Aus" für Unternehmen bedeuten oder im "Worst Case", durch Kettenreaktion, regelrechte Katastrophen auslösen. Auch die allgemein hohe Nervosität im Change-Management belegt eindeutig diese Verletzlichkeit.

Die Finanzkrise hat deutlich gezeigt, dass die Stabilität von Staat und Gesellschaft zunehmend auf einem funktionsfähigen Wirtschafts- und Bankensystem fußt – und somit letztlich auf einer 24x7-verfügbaren und sicheren IT: Die durch die Bundesregierung zum Höhepunkt der Krise ausgesprochene Guthabengarantie wäre schnell wertlos geworden und das Volk wäre wohl in Panik an die Schalter gestürmt, hätte zu diesem Zeitpunkt auch nur eine Großbank ein IT-Problem gehabt, durch das etwa Geldautomaten oder Homebanking längerfristig ausgefallen wären.

Die üblichen, primär an potenziellen Schäden ausgerichteten Risikoanalysen haben bisher weniger zur wirklichen Bändigung des Problems beigetragen als vielmehr zu Orientierungslosigkeit bei der konkreten Bewertung und Inangriffnahme der Risiken geführt; dies gilt insbesondere für mehrstufige Szenarien und ihre Folgen. Zu viel Subjektivität bei der Fokussierung auf mögliche Schadensarten und -höhen verhindert den klaren Blick auf die eigentlich dominante Gefahr, nämlich die möglichen extrem hohen Realisierungsgeschwindigkeiten von Katastrophen für ausgewählte Akteure – gleichgültig, ob dabei vorsätzliches Handeln im Spiel ist oder nicht.

Kaum vorstellbare Machtfülle

Auch die notwendige Vorstellungskraft für heutige Machtkonzentrationen in der IT verhindert eine notwendige, offene Diskussion – zumal im Vergleich mit dem klaren (Selbst-)Verständnis um die Notwendigkeit physischer Sicherheit.

Ohne Zweifel bestreitet der Mensch in der IT eine Doppelrolle: Er ist elementarer Erfolgsfaktor und höchstes Risiko zugleich. Eine zeitgemäße Diskussion von IT-Risiken muss deshalb weniger nur auf potenzielle Schäden und die Technik, sondern vielmehr auch auf die Akteure und ihre Machtkonzentration ausgerichtet werden.

Der Ausgangspunkt der Überlegung, an dieser Stelle zusätzliche Zuverlässigkeits- oder Sicherheitsüberprüfungen zu fordern, liegt in der für Unternehmen bei solchen Mitarbeitern exzessiv nachteiligen und einseitigen Risiko-Charakteristik. Diese ergibt sich aus dem Verhältnis der Höhe des potenziell angerichteten Schadens (Mio. €) zur Realisierungsdauer (ggf. nur Sekundenbruchteile) unter Berücksichtigung notwendiger Mühe und gegebenenfalls Kooperation Dritter.

Schaden pro Zeit

Diese Metrik quantisiert eine Art "Machtumsetzungsgeschwindigkeit" und gewinnt ihre prägende Charakteristik und Dynamik weniger durch das mögliche Schadensausmaß (Zähler) als vielmehr durch "Mühelosigkeit" und kurze Realisierungsdauer (im Nenner): Denn kritisch ist bei der Risikobetrachtung großer Unternehmen nicht primär die Höhe und Art der "fiktiv errechneten" (ohnehin gigantischen) Schäden, sondern vielmehr wie schnell, mühe- und kooperationslos ein IT-Mitarbeiter diese herbeiführen kann!

Eine geschwindigkeitsorientierte Interpretation obiger Metrik bringt genau dies zum Ausdruck: nämlich wie schnell sich Irrtümer, spontane Willkür, ein "Durchknallen" oder vorsätzliches Handeln in Schaden manifestieren kann – kurzum ist es ein Maß für die "effektive Macht" eines Mitarbeiters.

Können die Verfügbarkeit produktiver Computersysteme, das Löschen oder Stehlen wichtiger Daten jederzeit mit einem einzelnen Kommando in Bruchteilen einer Sekunde erzielt werden, dann lässt die Mathematik die "faktisch vorhandene Macht" des entsprechenden Mitarbeiters gegen unendlich streben. Anders als hypothetische Schadenssummen kann man hier Messwerte konkret ermitteln und – quasi per Stoppuhr – nachweisen.

Zieht man eine (abstrakte) Analogie zum Management, entspräche die genannte Überlegung einer Metrik, welche etwa die "Budget-Entscheidungsgeschwindigkeit" eines Entscheidungsträgers ermittelt, indem die "finanzielle Entscheidungshöhe" zur Anzahl notwendiger Genehmigungen sowie der notwendigen Beschaffungszeit/-mühe in Relation gesetzt wird. Hier sind es genau die altbekannten und bewährten Prokura- und Mehrfachunterschriftenregelungen, die eine Verlangsamung des Durchführungsprozesses bewirken und so die solide Chance einer rechtzeitigen Erkennung und Verhinderung eröffnen.

Besonders in einigen Bereichen der Finanzindustrie hat der ungebrochene Trend zu "Real-Time"-Transaktionen analoge Risikoschieflagen wie in der IT hervorgerufen; hier hat die EU mit der Aufarbeitung der Finanzkrise die extrem hohe "Machtumsetzungsgeschwindigkeit" der Hedgefond-Manager als gravierendes Risiko erkannt und strebt daher einen "Fonds-Pass" an, quasi eine Pilotenlizenz für besonders schnelle Finanzinstrumente (vgl. [externer Link] www.tagesschau.de/wirtschaft/hedgefonds110.html).

----------Anfang Textkasten----------

Kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind gemäß der Definition des Bundesamts für Informationssicherheit (BSI) "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden".

Nur wenn kritische Infrastrukturen wie Transport und Verkehr, Energieversorgung, Umgang mit Gefahrstoffen, Informationstechnik und Telekommunikation (ITK), Finanz-, Geld- und Versicherungswesen, Versorgungswesen, Behörden, Verwaltung und Justiz "ohne wesentliche Beeinträchtigungen verfügbar beziehungsweise vor weit reichenden Schäden geschützt sind, können Staat und Wirtschaft uneingeschränkt ihre Aufgaben erfüllen", betont das BSI ([externer Link] www.bsi.bund.de/cln_156/ContentBSI/Themen/Kritis/Einfuehrung/KritisDefinitionen/definitionen.html).

----------Ende Textkasten----------

EPIS-Klassifizierung

Zurück zur IT: Gerade in kritischen Infrastrukturen (vgl. Kasten) ergibt die Möglichkeit, besonders schnell oder mühelos enorme Schäden zu verursachen, eine gravierende Schieflage im Risikoprofil extrem privilegierter Mitarbeiter. Diesem Manko ist im Sinne des Unternehmens, aber auch der Gesellschaft eine faire Kompensation und die Möglichkeit der Vorbeugung durch entsprechende Maßnahmen gegenüberzustellen.

Der weltweite Trend des zunehmenden Einsatzes von Offshoring-, Outsourcing-, Cloud- und Service-Dienstleistern verschärft die zugrunde liegende Risikosituation durch eine erhöhte Anzahl von Akteuren und deren geographische Verteilung zusätzlich. Daran ändert auch eine Organisations-Zertifizierung nach SAS 70 oder ähnlichen Standards nichts, denn die Praxis belegt täglich, dass Sicherheit und Compliance "zwei Paar Schuhe" sind.

Dies lässt zeitgemäße Maßnahmen in der Zuverlässigkeitsvalidierung von IT-Personal "systemischer" (volkswirtschaftlich bedeutsamer o. ä.) Unternehmen sowie Institutionen kritischer Infrastrukturen und deren Service-Providern künftig umso dringlicher erscheinen. Die Risiko-Metrik "Machtumsetzungsgeschwindigkeit" eröffnet einen solchen geeigneten, aussagekräftigen und objektiv nachvollziehbaren Bewertungsansatz für die Kritikalität von IT-Mitarbeitern. Auf diesem Kerngedanken basiert der hier zur Diskussion gestellte Lösungsansatz in Form einer "EPIS-Klassifizierung" zwecks Identifikation und Bändigung des Risikos extremer Machtkonzentrationen in der IT (zweifelsohne ließe sich dieses Konzept jedoch auch auf andere Tätigkeitsbereiche mit ähnlicher Risikoschieflage übertragen). Die praktische Anwendung und positive Wirkung des EPIS-Konzepts besteht aus zwei Schritten:

Die hochselektive Identifikation relevanter Institutionen und IT-Mitarbeiter führt, verbunden mit deren Überprüfung, zu einer praktikablen und sinnvollen Risikovorsorge in der IT kritischer Infrastrukturen. Cloud- oder Outsourcing-Kunden könnten beispielsweise mit ihren Service-Anbietern vertraglich eine EPIS-konforme Belegschaftsklassifizierung vereinbaren.

Klare EPIS-Eingrenzung

Um einen "Overkill" zu vermeiden, ist zu betonen, dass jedes EPIS-Unternehmen die Zahl EPIS-relevanter Mitarbeiter selbst verantwortet. Entsprechende Organisationsformen und Berechtigungseinschränkungen verbunden mit geeignetem Monitoring (vgl. Kasten "EPIS und Privileged User Monitoring") ermöglichen es, deren Anzahl minimal zu halten. Damit wäre dann gleichzeitig auch eine nachhaltige Motivation zur Vermeidung der praxisüblichen Berechtigungsüberhänge gegeben – wie es beispielsweise schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihren "Mindestanforderungen an das Risikomanagement" (MaRisk) mit dem Minimalprinzip zur sinnvollen, nachhaltigen Auflage macht.

Zwecks klarer Abgrenzung gegenüber dem eher technisch orientierten Begriff des so genannten "Privileged Users" ist zu empfehlen, nur dann von "EPIS-Mitarbeitern" zu sprechen, wenn wirklich beide Kriterien erfüllt sind: extreme Privilegien und essenzielle Bedeutung der Unternehmung/Institution.

Ohne Zweifel zählen zur Kerngruppe der EPIS-Mitarbeiter in relevanten Organisationen die Systemverwalter und -programmierer sowie Datenbank-, Security- und Server-Administratoren – generell alle IT-Mitarbeiter, die eine Änderung wesentlicher Software oder Systeme ohne technisch notwendige Genehmigung, prinzipiell jederzeit und faktisch sofort wirksam vollziehen können.

Doch auch Operateure, Storage-Manager und Arbeitsvorbereiter können im Fall eines direkten Zugriffs auf die Hardware, zugehörige Notausschalter, Datenbestände et cetera zu den potenziellen EPIS-Mitarbeitern gehören. Ausschlaggebend für die Einstufung ist letzlich nicht ihre organisatorische, sondern die faktische Kompetenz und Macht dank explizit vergebener oder durch "Tricks" erlangter Autorisierungen und Zutrittsberechtigungen im IT-Umfeld ("Beschaffungsmühe = 0").

Als Leitpfad für eine EPIS-Einstufung dient die Frage, was (rein theoretisch) passieren kann, wenn ein solcher Mitarbeiter zum Beispiel spontan oder geplant "austickt" oder andere Interessen verfolgt, als die seines Arbeitgebers. Eine EPIS-Zugehörigkeit liegt eindeutig vor, wenn die Mühe zur Umsetzung einer kritischen Aktion nahezu "Null" ist. Im Fall langfristig geplanter Aktionen sind notwendige Handlungen vermutlich sogar in die normale Arbeitsaktivität "einzubetten" und dadurch auch von klassischen Privileged-User-Monitoring-Lösungen kaum von "der normalen Arbeit" zu unterscheiden.

----------Anfang Textkasten----------

EPIS und Privileged-User-Monitoring

Genügt heute übliches Privileged-User-Monitoring, um das Risiko höchstautorisierter IT-Mitarbeiter zu begrenzen? Nein – Smartcards, Zutrittsschleusen, Berechtigungsvergabesysteme und der Einsatz von Video-Kameras und Privileged-User-Monitoring-Systemen eliminieren leider nicht das Risiko auf privilegierter Akteursebene, schon gar nicht, wenn diese global verteilt agieren. Ein wesentlicher Schritt des EPIS-Konzepts ist die Einbindung nicht-technischer Risikoindikatoren. Dennoch stellt der EPIS-Gedanke auch neue Anforderungen an das Privileged-User-Monitoring: neben Echtzeitfähigkeit insbesondere eine gesteigerte Hinterfragungstiefe, Objektivität und Neutralität.

Die Neutralität ist im EPIS-Konzept sowohl für die Zuverlässigkeitsüberprüfung als auch das Monitoring von zentraler Bedeutung: Nur sie schützt EPIS-Mitarbeiter und Service-Anbieter letztlich vor (potenziell unbegründeten) Vorwürfen, beispielsweise bei sich selbst "ein Auge zugedrückt" oder ihre systemtechnische Kompetenz zum Unterdrücken der Protokollierung während kritischer Aktivitäten genutzt zu haben.

----------Ende Textkasten----------

Persönliche Prüfungen

IT-Sicherheit und Risikoelimination durch Technik sind heute bereits im Sättigungsbereich angelangt. Die gleichzeitige "Ohnmacht" von Unternehmen gegenüber ihren EPIS-Mitarbeitern macht es daher notwendig, auch indirekte ("weiche") Faktoren im Umfeld der Akteure in die Risiko-Vorsorge und die Überprüfung einzubinden, auch wenn diese im persönlichen Umfeld liegen – insbesondere bei "Unsichtbarkeit" der konkreten Akteure dank Einbindung von Cloud- und Offshoring-/Outsourcing-Dienstleistern.

Indikatoren für finanzielle, psychische, rechtliche und andere gravierende Probleme sowie für Veränderungen in diesen Bereichen der Persönlichkeit beziehungsweise Privatsphäre wären eine diskussionswürdige Grundlage für eine Überprüfung von EPIS-Mitarbeitern. In ihrer konkreten Auswahl und Ausgestaltung liegt zweifelsohne das rechtlich und gesellschaftlich größte Problem und ein entsprechend hohes Konfliktpotentzial bei der Suche einer adäquaten Verhältnismäßigkeit. Es wird eine Frage des politischen Mutes für präventives Handeln sein, dies in Abwägung zu potenziellem Unverständnis auf Seiten der Betroffenen zu regeln.

Man muss berechtigterweise anmerken, dass zum Beispiel treue Rechenzentrumsmitarbeiter mit langer Firmenzugehörigkeit eine solche Überprüfung schlichtweg als persönlichen Affront und demotivierendes Misstrauen, statt als Notwendigkeit und Chance verstehen könnten. Doch hier gilt, wie bei allem Neuen, auch die positiven Seiten zu beleuchten: Denn das EPIS-Modell könnte durchaus auch den eigenen Job sichern helfen und eine kompensierende und zugleich faire Alternative zur aktuellen Tendenz von mehr Überwachungsmaßnahmen am Arbeitsplatz sein – obwohl in EPIS-relevanten Umgebungen auch Logging und Monitoring erweiterten Anforderungen genügen müssen (siehe Kasten).

Fest steht, dass ein Fortführen der jetzigen Situation den aktuellen und künftigen Risikoverhältnissen und Gefahren nicht mehr gerecht wird: Das klassische Rechenzentrum befindet sich angesichts von Cloud-Computing und Outsourcing im Umbruch und aktuell in der Phase seiner härtesten Bewährungsprobe. EPIS leitet deshalb eine notwendige Evolutionsstufe in den Risikovorsorgemaßnahmen ein und thematisiert die "Sicherheit auf Seiten der Akteure", die neben Fleiß und Fachwissen nun eine zusätzliche personenbezogene Bringschuld zu akzeptieren haben.

Umsetzungsideen

Eine mögliche praktische Orientierung für die Einführung einer "EPIS-Zuverlässigkeitsüberprüfung" könnte die als Folge des "11. Septembers" etablierte Zuverlässigkeitsüberprüfung von Berufs- und Privatpiloten sowie des Flughafenpersonals sein. Beispielsweise könnten branchenübergreifend das BSI oder branchenspezifisch etwa die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) analog zum Luftfahrtbundesamt (LBA) die Prüfungen übernehmen. Orientierungen am internationalen Luftverkehr böten grundsätzlich einige erfolgversprechende Lösungsideen für die Risikoabwehr im IT-Bereich, bis hin zum Thema "Cyberkrieg": Dank internationaler Harmonisierung und weltweiter operativer Koordination hat der Luftverkehr (bei übrigens gleichzeitig gesunkenen Flugpreisen) ein Sicherheitsniveau erreicht, von dem der internationale Datenverkehr aktuell nur träumen kann.

Basis der Zuverlässigkeitsüberprüfung im Luftverkehr ist das Luftsicherheitsgesetz (LuftSiG), das "dem Schutz vor Angriffen auf die Sicherheit des Luftverkehrs, insbesondere vor Flugzeugentführungen, Sabotageakten und terroristischen Anschlägen" dient (siehe [externer Link] www.gesetze-im-internet.de/luftsig/). § 7 des LuftSig definiert den betroffenen Personenkreis und auch die Auskunftsquellen für Überprüfung, unter anderem Polizeivollzugs- und Verfassungsschutzbehörden, Bundes- und Zollkriminalamt, Bundesnachrichtendienst und Militärischer Abschirmdienst. Es ist zu erwähnen, dass sich nicht nur Berufs- und Hobbypiloten regelmäßig dieser Zuverlässigkeitsüberprüfung unterziehen müssen, sondern alle "Personen, denen zur Ausübung einer beruflichen Tätigkeit nicht nur gelegentlich Zugang zu nicht allgemein zugänglichen Bereichen des Flugplatzgeländes eines Verkehrsflughafens ... oder eines Luftfahrtunternehmens ... gewährt werden soll."

Auch das Instrument der Sicherheitsüberprüfung liefert weitere Anregungen, festgeschrieben im "Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes" (kurz SÜG – siehe [externer Link] www.gesetze-im-internet.de/s_g/). Das SÜG bietet, vordringlich dem Staat selbst, ein wirkungsvolles Instrument zur Überprüfung von Personen, indem es die für "sicherheitsempfindliche Tätigkeiten" anzusetzenden Kriterien definiert und den Anwendungsrahmen sowie unterschiedliche Überprüfungsstufen (Ü1–Ü3) regelt. Der Gesetzestext ist für die EPIS-Diskussion dahingehend von Interesse, dass er eine Definition für "lebenswichtige Einrichtungen" liefert: "... die für das Funktionieren des Gemeinwesens unverzichtbar sind und deren Beeinträchtigung erhebliche Unruhe in großen Teilen der Bevölkerung und somit Gefahren für die öffentliche Sicherheit oder Ordnung entstehen lassen würde."

Diskussionsbedarf

Wäre es nicht Zeit für eine offene Diskussion darüber, ob das vorbildlich hohe Sicherheitsniveau der Luftfahrt auch eine Orientierung für die IT und das Internet bieten könnte? Analogien sind leicht zu ziehen: Der Maschinensaal eines "systemischen" Rechenzentrums hat einen ähnlichen Stellenwert wie ein Flugplatzgelände, die Systemadministratoren und -operatoren agieren wie Piloten der IT et cetera.

Es wäre wünschenswert, wenn die hohe Akzeptanz für Vorsichtsmaßnahmen im Bereich physischer Sicherheit künftig auch auf den ebenso essenziell gewordenen, aber leider abstrakten "Cyberspace" zu erweitern wäre. Das vorgeschlagene EPIS-Konzept könnte Ansatz für einen solchen Ideentransfer sein. Beabsichtigt sind dabei weder Vorverurteilung, pauschales Misstrauen, Aufhebung der Unschuldsvermutung noch Demotivation – all das ist ja auch bei Piloten nicht der Fall!

Stattdessen führt die besondere Überprüfung sogar zu einer Aufwertung der betroffenen Mitarbeiter und einem zusätzlichen Entlastungsnachweis (ggf. auch bzgl. des sog. Hackerparagafen). Für einige könnte es sogar ein "Ankern" ihrer Jobs bedeuten, unter anderem durch das mit EPIS resultierende Gegenmoment zu eventuellem kostenkalkulatorischen Opportunismus: Die Akteure werden nicht mehr nur unter dem singulären Aspekt der Lohnkosteneffizienz betrachtet und ausgewählt, sondern mit Verantwortlichkeit und der Tragweite eines eventuellen Risikos in Zusammenhang gebracht.

IT-Mitarbeiter und Dienstleister könnten eine "EPIS-Zertifizierung" durchaus als Chance und hohes Privileg ansehen und sich womöglich sogar freiwillig darum bemühen, wie es bei Zertifizierungen auf technisch-fachlicher Ebene bereits heute der Fall ist. Im Endeffekt könnte sich mit "Sicherheitsstufe EPIS" auch eine Form der Standortsicherung im Zukunfts- und Wachstumsmarkt "Sicherheit" entwickeln – analog zum "Atombunker-RZ".

Fazit

Für volkswirtschaftlich und gesellschaftlich kritische, "systemrelevante" Unternehmen und Institutionen ist das mit besonders hoch privilegierten IT-Mitarbeitern verbundene Risiko heute inakzeptabel. Die Anforderungen an fachliches Wissen und Vorstellungsvermögen, die für eine objektive Bewertung dieses "EPIS-Risikos" notwendig sind, haben bisher die tabulose Diskussion dieses Themas verhindert.

EPIS-Mitarbeiter sind aufgrund ihrer faktischen Macht und hohen "Machtumsetzungsgeschwindigkeit" gesondert zu behandeln und ähnlich wie Piloten und Kernkraftwerksmitarbeiter auf ihre persönliche Zuverlässigkeit hin zu überprüfen. Das Fehlen solcher Prüfungen ist bei der heutigen Weltsicherheitslage, dem hohen Grad an technischer und servicebezogener Vernetzung und globaler Verteilung, dem hohen opportunistischen Zeitgeist sowie der Wichtigkeit einer permanent verfügbaren IT für eine funktionierende globalisierte Weltwirtschaft gesellschaftlich nicht hinnehmbar.

Die aktuelle Diskussion um die Festigung der Mitarbeiterrechte, allem voran das berechtigte Verbot menschenunwürdiger Überwachungen durch Video-Kameras auf Toiletten, am Arbeitsplatz oder anderen intimen/persönlichen Orten sowie das Verbot der freien Leistungsbewertung und -überwachung durch beliebige Auswertung verfügbarer Daten, ist prinzipiell berechtigt und wichtig. Sie eröffnet aber leider auch die Gefahr, dass sich im Risiko-Kernbereich "IT" bei wichtigen Unternehmen inakzeptable Risiko-Verzerrungen und –schieflagen weiter etablieren und festigen. Es wäre schlichtweg fahrlässig, das Risikoprofil einer Kassiererin, dank rechtlich auferlegter Gleichbehandlung, unverändert auch für EPIS-Mitarbeiter gelten zu lassen.

Eine erfolgversprechende Lösung könnte das Einführen einer Sicherheits- oder Zuverlässigkeitsüberprüfung für EPIS-Mitarbeiter sein. Diese müsste auch eine Validierung aussagekräftiger Indikatoren aus dem persönlichen Umfeld umfassen. Als Option oder Pflicht würde dies allen EPIS-relevanten Institutionen eine regelmäßige und standardisierte Risikoüberprüfung ihrer "mächtigen" IT-Mitarbeiter ermöglichen. Für die Mitarbeiter wäre dies umgekehrt ein wertvoller Entlastungsnachweis um die eigene Person. Cloud- oder Outsourcing-Kunden könnten mit Service-Anbietern eine EPIS-konforme Belegschaftsklassifizierung vertraglich festschreiben, Versicherungen könnten dies in ihren Prämien würdigen.

Die notwendige Einstufung von Unternehmen bezüglich ihrer EPIS-Relevanz könnte anhand eines konkret formulierten Kriterienkatalogs (möglicherweise in Anlehnung an die Definition "kritischer Infrastrukturen") erfolgen, in den unter anderem Umsatz, volkswirtschaftliches Schadensausmaß im Fall des Ausfalls oder Untergangs sowie weitere Kriterien einfließen.

Wünschenswert wäre eine gesetzliche Regelung – einer grundsätzlich freiwilligen EPIS-Einstufung sollte man skeptisch gegenüberstehen! Auch die Ausgliederung von IT-Leistungen in die Cloud, an Dienstleister, Subunternehmen oder "unkritisch wirkende" IT-Töchter darf nicht als möglicher Weg zur Umgehung von EPIS-Bewertungen bereitstehen.

Zweifellos setzt das Etablieren und Umsetzen einer solchen Maßnahme eine offene und faire, am sachlichen Ziel ausgerichtete Diskussion und zudem politisches Verantwortungsgefühl sowie einen klaren Willen zum proaktiven Handeln voraus. Zentraler Gesichtspunkt ist dabei eine zeitgemäße Balance zwischen dem IT-Mitarbeitern pauschal (als "Vorschuss") zugesprochenem Vertrauen und dem ihrer "Machtumsetzungsgeschwindigkeit" entsprechenden Risiko.

Diese Diskussion wird zweifellos hart, emotional und anspruchsvoll, auch weil sie ein hohes Vorstellungsvermögen über die realen Gefahren und Verhältnisse im IT-Arbeitsumfeld erfordert. Trotzdem muss sie ohne Tabus geführt werden! Weder für Piloten noch für IT-Mitarbeiter darf es irgendeine Variante von "Artenschutz" oder übermäßigem Vertrauensvorschuss geben – beide müssen für ihre privilegierten, prinzipiell gut bezahlten und dank ihrer Wichtigkeit auch attraktiven Jobs ihrem Arbeitgeber und der Gesellschaft einen "Tribut" zollen.

Schon im eigenen Interesse sollte die Gesellschaft vom Gesetzgeber Maßnahmen zur Risikokompensation fordern, wie etwa die vorgeschlagene EPIS-Klassifizierung in Verbindung mit einer Sicherheits- oder Zuverlässigkeitsüberprüfung. Für Ihren Diskussionsbeitrag zum Thema steht die Mailadresse epis@enterprise-it-security.com zur Verfügung.

Dr. Stephen Fedtke ist Spezialist für die Risiko-Analyse und Absicherung kritischer und systemischer IT-Infrastrukturen.