![[externer Link]](../../images/link.gif)
www.tuv.com/informationssicherheit). Zuvor war er mehr als 15 Jahre im Team des CISO und als CISO eines großen Schweizer IT-Unternehmens tätig.Die Probleme in der Informationssicherheit, die uns alle beschäftigen, sind zu einem großen Teil auch geprägt durch die Art und Weise, wie Informationssicherheit in vielen Unternehmen als Thema verstanden und gelebt wird. Albert Einstein hat einmal gesagt "Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind" – das gilt meiner Überzeugung nach auch für Probleme, die wir im Umfeld der Informationssicherheit trotz aller Anstrengungen haben und lösen möchten. Wenn unsere Unternehmen (oder Behörden) – frei nach Albert Einstein – mit einer anderen Denkweise an diese Probleme herangehen wollen, so müssen wir damit zuallererst bei uns als CISO ansetzen, denn wir sind es, die primär die Denkweisen zur Informationssicherheit prägen.
Wesentlich für unsere Denkweise ist unsere fachliche Herkunft: Keiner wird als CISO geboren oder übernimmt diese Funktion gleich nach seiner Erstausbildung. Wo kommen wir also her und welcher Werdegang prägt unsere Art, mit dem Thema Informationssicherheit umzugehen? Der typische Sicherheitsbeauftrage dieser Tage hat sehr oft einen technischen Hintergrund. Auch wenn es zunehmend Kollegen aus anderen Bereichen (Revision, Prozessmanagement usw.) gibt, prägt ein technischer Hintergrund noch immer die Innenwahrnehmung und Umsetzung der Informationssicherheit in vielen Unternehmen.
Was qualifiziert uns, ein CISO zu sein? Die typische Entwicklung: Jemand kommt in seinem angestammten Aufgabengebiet vermehrt mit Informationssicherheit in Kontakt, wechselt "Vollzeit" in die Informationssicherheit und wird nach einigen Jahren zum CISO. Neben den gesammelten Erfahrungen dienen oft fachtypische Zertifikate, welche die Kompetenz aufzeigen sollen, als vermeintlicher Qualifikationsausweis (z. B. CISSP, CISM, CISA usw.).
Unser Werdegang und unsere fachliche Herkunft führen uns zu den ersten Punkten, die wir im Zuge einer zunehmend notwendigen neuen Denkweise hinterfragen sollten: Auch wir Sicherheitsbeauftragte sind nur Menschen – wir machen natürlicherweise Dinge lieber, die wir gut können und mögen. In unserem Umfeld führt dies jedoch dazu, dass Informationssicherheit oft zu stark auf ein Thema fokussiert wird – in der Regel die Technik. Die zwingend nötige ganzheitliche Betrachtung hat daher eher schlechte Chancen.
Ausbildungen und Zertifikate, die der typische CISO während seiner Entwicklung absolviert beziehungsweise erwirbt, helfen in diesem Punkt im Regelfall leider auch nicht weiter – im Gegenteil: Sehr oft zementieren sie sogar die beschriebene einseitige Betrachtungsweise, auch wenn vereinzelt versucht wird, ein anderes Bild zu zeichnen. Den allermeisten Ausbildungsmöglichkeiten, die von Interesse sind, fehlt jedoch schlicht die nötige Interdisziplinarität: Die verschiedenen Facetten der Informationssicherheit (Recht, Psychologie, Technik, physische Sicherheit usw.) werden nicht ausgewogen oder (und?!) nicht wirklich fachkompetent vermittelt.
Viele Unternehmen sind heutzutage verpflichtet, ihre Informationssicherheit oder zumindest große Teile davon, konform zu bestimmten Normen und Gesetzen (z. B. SOX, PCI-DSS) auszugestalten – beziehungsweise zu deren Interpretation durch die Auditoren externer Revisionsstellen. Dies scheint auf den ersten Blick eine gute Sache zu sein, bringt es doch einen Zusatzschub, bezüglich der Informationssicherheit im Unternehmen etwas zu tun.
Das Problem liegt hier jedoch in der Umsetzung: Blindes Abhaken der entsprechenden Checklisten und "bequemes" Abarbeiten der externen Auditbefunde werden meist zumindest toleriert. Man will ja auch persönlich auf der sicheren Seite stehen und nicht für Complianceverletzungen verantwortlich sein. Diese Vorgehensweise hat aber den gravierenden Nachteil, dass nicht wirklich klar ist, ob und warum man die getroffenen Sicherheitsmaßnahmen wirklich benötigt – als CISO folge ich bei diesem Vorgehen nur einer fremden Leitschnur.
Wir sollten uns aber sehr wohl fragen, ob "steht auf der Checkliste!" oder "das ist so gefordert!" gute Antworten auf das "Ob und Warum" einer Sicherheitsmaßnahme sein dürfen. Wir sollten uns auch fragen, ob die Auditoren der externen Revisionsstellen wirklich diejenigen Experten sein sollen, die uns erklären, wie Informationssicherheit "funktioniert", oder ob es nicht eher umgekehrt sein müsste.
In vielen Häusern werden heute für die Beurteilung und Bemessung des Sicherheitsstatus Methoden des Risikomanagements eingesetzt. Im Grundsatz ist das eine gute Sache – leider liegt die Krux auch hier in der Art der Umsetzung, wie sie viele Kollegen betreiben: Allzu oft wird mit Wahrscheinlichkeiten und Auswirkungen im Nachkommabereich eine falsche Genauigkeit suggeriert. Zudem versucht man in zu vielen Unternehmen mit diesen Ansätzen die Frage zu beantworten "Ist dieses Vorgehen aus Sicht der Abteilung Sicherheit in Ordnung?".
Wir müssen die Art und Weise, wie wir Risikomanagement umsetzen, grundsätzlich hinterfragen. Können beziehungsweise dürfen wir in unserem Umfeld die Forderungen der Risikospezialisten und des Managements nach Aussagen wie "Wahrscheinlichkeit: 35,75 %, Auswirkung: 375000,35 €" erfüllen? Sollen wir weiterhin – entgegen allen mathematischen Regeln – eigentlich nur qualitativ bestimmbare Risiken aggregieren, addieren, mitteln, …? Dürfen wir die Frage "Ist das aus Sicht der Abteilung Sicherheit in Ordnung?" zulassen und weiterhin nur isoliert die Sicherheitsrisiken eines Vorhabens beurteilen? Und dabei dessen Chancen sowie die Risiken, die durch ein "Nicht-Tun" entstünden, außen vor lassen?
Wir CISOs müssen unbedingt interdisziplinärer werden und uns in allen für die Informationssicherheit wichtigen Themen eine ausgeprägte Mitsprachekompetenz aneignen. Nur auf diese Weise wird es uns gelingen, einen erfolgreichen Maßnahmenmix zur Lösung unserer Probleme zu finden.
Wir brauchen zu diesem Zweck zwingend wirklich interdisziplinäre Aus- und Weiterbildungen, um uns die nötige Mitsprachekompetenz aneignen zu können. Nötig sind Bildungsmaßnahmen, in denen Fach-Spezialisten (Juristen, Psychologen, IT-Architekten, Netzwerkexperten usw.) die jeweiligen Themen vermitteln.
Wir müssen als CISO mutiger und selbstbewusster werden. Wir müssen uns trauen, den internen und externen Revisions- und anderen Fachstellen entgegenzutreten und uns nicht zu Sicherheitsmaßnahmen nötigen zu lassen, nur weil diese auf einer Checkliste oder in einer Norm stehen. Falls wir der klaren Überzeugung sind, dass diese Maßnahmen unnütz oder nicht wirtschaftlich sind, dann sollten wir diese Sicht als Experten durchsetzen.
Wir müssen selbst aufhören, Checklisten und Normen "sklavisch" abzuarbeiten und umzusetzen. Diese Checklisten und Normen sind im Regelfall zu generisch, als dass man sie für jedes Unternehmen 1:1 umsetzen könnte. Wir wissen das im Grundsatz, verhalten uns jedoch trotzdem oft anders – bei der sinnvollen Anwendung dieser Informationen als Orientierungshilfe und Ideenquelle sind Fingerspitzengefühl und "Mut zur Lücke" gefragt.
Als einen der wichtigsten Punkte müssen wir die Art und Weise, wie wir mit Sicherheitsrisiken umgehen, drastisch ändern: Es ist zwingend nötig, dass wir Risikobetrachtungen aus reiner Sicherheitsoptik, verbunden mit der Frage "Ist es aus Sicht der Abteilung Sicherheit in Ordnung?" über Bord werfen. Zum einen ist Informationssicherheit keine Schwarz-Weiß-Angelegenheit und zum anderen hat diese Betrachtungsweise viel zum Bild des Verhinderers beigetragen, das wir CISOs immer noch oft innehaben.
Wir müssen auch die Art, wie wir Sicherheitsrisiken berechnen und vermitteln, drastisch ändern (vgl. [2]). Denn uns fehlt schlicht die statistische Basis, um für unsere Risiken Eintrittswahrscheinlichkeiten zu berechnen. Unser Problem hierbei ist, dass die Ereignisse, um die es geht, sehr selten vorkommen – zudem können wir aus Ereignissen bei Anderen keine echten Rückschlüsse für unser Haus ziehen. Wir sollten uns darüber klar werden, dass die Eintrittswahrscheinlichkeiten dieser Ereignisse eigentlich irrelevant sind. Die Ereignisse, mit denen wir es zu tun haben, können auch bei kleinster Eintrittswahrscheinlichkeit schon morgen stattfinden (siehe dazu auch [1]). Wir müssen uns daher bei unseren Risikobetrachtungen stärker an der Frage orientieren "Können wir es uns leisten, dass Ereignis X morgen eintritt und den Schaden Y verursacht?".
Als CISO müssen wir mehr Unternehmergeist zeigen und in Risiken nicht nur das Schlechte sehen, sondern bereit sein, auch bewusst – kalkuliert – Risiken einzugehen. Das kann sich durchaus lohnen: Die entstehenden Chancen eines Vorhabens und die Sicherheitsrisiken, die aus dem Verhindern eines Vorhabens entstünden, können einzugehende Sicherheitsrisiken mehr als nur kompensieren.
Die beschriebenen Ideen verstehen sich nicht als Patentrezept und lassen sich auch nicht überall und insbesondere nicht kurzfristig umsetzen. Wenn wir jedoch den Plan-Do-Check-Act-Zyklus, den wir aus der ISO 27001 kennen, nicht nur an unseren Sicherheitsmaßnahmen, Prozessen und Vorgaben, sondern auch bei uns selbst ansetzen, ist ein erster wesentlicher Schritt in die richtige Richtung getan.
Dipl.-Inf. Andreas Kohler ist "Executive Master of Information Security" der Hochschule für Wirtschaft in Luzern und arbeitet als Executive Consultant bei der TÜV Rheinland i-sec GmbH ( www.tuv.com/informationssicherheit). Zuvor war er mehr als 15 Jahre im Team des CISO und als CISO eines großen Schweizer IT-Unternehmens tätig.
www.youtube.com/watch?v=BIUHY_nS5Mg, Vortragsfolien auf www.isss.ch/fileadmin/events/2009/BernerTagung/ISSS_BT2009_Baer_Keynote_Umgang_mit_Risiken_mit_Notizen.pdf
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2011#5, Seite 6
tag:kes.info,2007:lp:2011-5-B
| 