Verständnis und Miteinander bringen Sicherheit : Ein Plädoyer für den Austausch von Fachwissen als Schlüssel zur Informationssicherheit – gerade im öffentlichen Sektor
Informationssicherheit in stark heterogenen, fachverfahrensbasierten IT-Umgebungen zu etablieren, ist sperrig, kostenintensiv und ein reines Technik-Thema? Weit gefehlt! Denn wenn Fachebene und IT-Betrieb fortwährend voneinander lernen, konsequent Zuständigkeiten abgestimmt werden und eine Rückbesinnung auf die originären Schutzziele der Informationssicherheit erfolgt, dann entsteht ein schlanker und effizienter Regelkreislauf. Was unsere Autoren hier mit Blick auf öffentliche Strukturen aus dem IT-Grundschutz ableiten, dürfte gleichermaßen auch für viele andere Organisationen relevant sein.
Legen Sie im Auto den Sicherheitsgurt an? Während die überwiegende Mehrheit der Befragten dies heute klar bejahen würde, war das Thema einst hoch umstritten: Auf diese simple Frage, gestellt im Rahmen einer 1974 vom Bundesverkehrsministerium beauftragten Studie, konstatierten die mit der Durchführung betrauten Personen bei den Probanden „starke latente Spannungen, […] und [die] Bereitschaft zu kämpferischen Auseinandersetzungen“. Der Spiegel registrierte gar „tiefgründige Ängste“ ob des „Leibriemens“ bei der bundesdeutschen Bevölkerung [1].
Der Rest ist Geschichte: Mit der seit 1976 bestehenden Gurtpflicht (und weiteren Errungenschaften der Sicherheitstechnik) sank die Anzahl der Verkehrstoten von knapp 19000 im Jahr 1970 auf unter 3000 im Jahr 2024 [2] – bei einer weitaus größeren Anzahl von Straßenverkehrsteilnehmern*. Der Staat hatte es, unter anderem auch durch die spätere Einführung von Bußgeldern, geschafft: Neben der Konditionierung durch Strafandrohung wurde sukzessive ein konkretes Gefährdungsbewusstsein geschaffen – er hatte Betroffene nunmehr zu Beteiligten gemacht.
Vor ähnlichen motivationalen Herausforderungen steht erfolgreiches Informationssicherheitsmanagement (ISM) heute: Komplexe (IT-)Umfelder, regulatorischer Druck oder wirtschaftliche Zielvorgaben führen zu abstrakten Anforderungen, die ihrerseits (bes. in größeren Organisationseinheiten) Verantwortungsdiffusion begünstigen. Dieses psychologische Konzept beschreibt die Affinität von Individuen in Großgruppen, eigentlich notwendige Handlungen in der Verantwortung anderer zu verorten – eine solche Entkopplung jedes Einzelnen von seiner eigenen Handlungsverpflichtung führt im Endeffekt zu einer untätigen Großgruppe. Erwächst bei der IT-Anwendung der Eindruck eigener Unbetroffenheit qua Unzuständigkeit, ist jedoch das ISM im Ganzen gefährdet.
Gerade in stark uneinheitlichen – weil beispielsweise an hochindividualisierten föderalen Fachverfahren orientierten – Prozessen im öffentlichen Dienst entsteht noch eine weitere unmittelbare Gefahr: Wenn überhaupt ein ISM existiert, obliegt es bestenfalls dem IT-Betrieb sowie dem zuständigen Informationssicherheitsbeauftragten (ISB), unzählige ihnen völlig unbekannte Fachverfahren adäquat abzusichern. Was folgt, sind von fachverfahrensfremden Dritten häufig falsch eingeschätzte Schutzbedarfe von Informationen und der Rückgriff auf bekannte technische statt (oftmals schlicht unbekannte) organisatorische Maßnahmen zur Risikoreduktion.
Wesentlichstes Kennzeichen eines erfolgreichen ISM ist folglich damit zuvorderst der Abbau psychologischer Distanz: In der sogenannten Construal-LevelTheory beziehungsweise der Theorie der psychologischen Distanz wird gemeinhin angenommen, dass abstrakte und indiff erente Bedrohungen weit weniger zu Handlungen motivieren als konkrete Bedrohungslagen. Das psychologische Distanzmaß kann hierbei zum Beispiel zeitlich, räumlich oder auch sozial sein. Die konkrete Angst vor dem Diebstahl einer eigenem (E-)Identität löst etwa einen größeren Leidens- und Handlungsdruck aus als das abstrakte Wissen um sicheres Passwortmanagement in der Organisationseinheit.
So wird der aktive Einbezug aller Beschäftigten in den ISM-Prozess wesentlich: Mitarbeitern muss präsent sein, was ihre individuell bestimmbare Rolle im Lösungsdesign ist und worin ihre konkrete Verantwortung besteht. Wann immer Betroff ene zu Beteiligten gemacht werden, vermindert sich zugleich das Risiko teurer überkomplexer Lösungen: Das Fachwissen der Prozessverantwortlichen und die Expertise des ITBetriebs ermöglichen eine gesamtheitliche Analyse – wer versteht, kann schützen
Im Verlauf dieses Artikels sollen die wesentlichen Implikationen hiervon erörtert werden. Es erfolgt dabei jeweils eine Einbettung in den pragmatischen Anwendungskontext sowie ein Abgleich mit den Anforderungslagen der IT-Grundschutz-Methodik des BSI.
Zielvorstellung
Ein gutes ISM ist inklusiv und spezifi sch in seiner Verantwortungszuweisung. Während viele öff entliche In stitutionen sich Leitlinien auferlegt und die Verantwortung für Informationssicherheit öff entlichkeitswirksam der obersten Leitungsebene zugewiesen sowie bestenfalls noch einen ISB benannt haben, wird es danach erfahrungsgemäß eher stiller. Dabei schweigt der IT-Grundschutz nicht im Geringsten zur Verantwortung der Beschäftigten, sondern fordert explizit: „[D]er Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden.“ (S. 20 in [4]) – erfolgreiche Sicherheit ist stets ein ganzheitliches Vorhaben, zu dem „ein funktionierendes und in die Institution integriertes Sicherheitsmanagement“ gehört (S. 11 in [4]).
Der Grund ist augenscheinlich: Security-by-Design kann nur dann erfolgreich gelingen, wenn engagierte Bedarfsträger (Fachebene) unter fachkundiger Moderation (ISB) auf qualifizierte Designer (IT-Betrieb) treffen.
Das gilt umso mehr in Zeiten komplexer, nicht länger monolithischer IT-Landschaften: Fragen danach, wie schützenswert Informationen sind, wo sie verarbeitet werden können und ob der zugehörige Prozess im Rahmen eines Outsourcings ausgelagert werden darf, entstehen dabei ganz natürlich. Verlässliche Antworten liegen jedoch nur dort vor, wo die schützenswerten Informationen originär anfallen und wo der jeweilige Prozess verantwortet wird – auf der Fachebene.
Werden diese oder ähnliche zentrale Fragen an das Design von Lösungen inhaltlich unzureichend oder schlicht zu spät gestellt, wird eine Organisation erfahrungsgemäß im Nachgang überproportional stark belastet. Welche Prinzipien ermöglichen es also, die eigentlichen Bedarfsträger und Prozessverantwortlichen noch nachhaltiger in den ISM-Prozess einzubinden?
Gestaltungsprinzipien
Zur Beantwortung dieser – für sichere Digitalisierung wesentlichen – Fragestellung schlagen die Autoren für die Themenkomplexe „Informationsbewertung und Schutzbedarfe“ sowie „Gefährdungsbetrachtungen und Risikoanalysen“ nachfolgend zwei praktische, aus dem IT-Grundschutz mittelbar ableitbare Gestaltungsprinzipien für ein erfolgreiches ISM vor.
Informationsbewertung und Schutzbedarfe
Wer einen Prozess fachlich und inhaltlich kennt und verantwortet, ist zentrale Ansprechperson für Analyse und Festlegung der Schutzbedarfe und hieraus ableitbarer Anforderungen.
Der IT-Grundschutz konstatiert eine stete Dualität zwischen Fach- und IT-Expertise (vgl. S. 22 in [3]) und rät sogar explizit dazu, in großen Organisationen Vertreter aus der Fachebene als Teil des IS-Managementteams zu etablieren (vgl. S. 43 in [4]). Der inzidente Tenor ist deutlich: Fachexpertise ist immer Teil eines adäquaten und zielführenden ISM.
Informationssicherheit ist kein Selbstzweck und hat immer ein tatsächlich zu schützendes Gut vor Augen. Folgerichtig bleibt ein jeder Fachprozess über seine gesamte aktive Zeit untrennbar mit seinem zentralen Fachverantwortlichen verbunden – angefangen von der Festlegung des Schutzbedarfs eines Prozesses über Design und Implementierung bis hin zu PDCA-basierter zukünftiger Adaption. Die entsprechenden Formulierungen des IT-Grundschutzes werden jedoch in der Praxis oft schlicht nicht gelebt. Anschließende digitale Verfahrenslösungen werden damit mal zu teuer, mal unzureichend sicher, mal nutzerunfreundlich – selten jedoch passgenau.
Ein Gedankenexperiment verdeutlicht, warum sich der IT-Grundschutz so klar für die ubiquitäre Einbeziehung aller Ebenen ausspricht: Bereinigt man eine Organisation um eine jede ihrer intrinsischen Aufgaben und Obliegenheiten (also um ihre Fachlichkeit), bedarf es augenblicklich keiner einzigen physischen oder digitalen Lösung zur Unterstützung der Organisation mehr. Kurz: Die Fachebene ist nicht nur Teil eines gelingenden ISM, sondern vielmehr der alleinige Grund, Informationssicherheit zu betreiben. Dieser besonderen Rolle im ISMProzess muss sich jeder Bedarfsträger dauerhaft gewahr sein und als treibende und verantwortliche Kraft zur Etablierung und Aufrechterhaltung von Informationssicherheit wirken.
Gefährdungsbetrachtungen und Risikoanalysen
Gefährdungsbetrachtungen und Risikoanalysen müssen stets im Diskurs erfolgen. Eine rein technische Herangehensweise greift immer zu kurz. Stattdessen braucht es eine prozessuale, organisatorische, rechtliche und politische Perspektive auf Fachprozesse und das Umfeld, in dem sich eine Organisation bewegt.
Wenngleich gängige Normen zur Risikoanalyse (z. B. ISO 31000 oder ISO 27005) nur die Schritte bis zur Bewertung eines identifizierten Risikos als Risikoanalyse im strikten Sinne auffassen, umfasst die Nomenklatur des IT-Grundschutzes auch die spätere Behandlung bewerteter Risiken (vgl. S. 6 in [5]). Dieser erweiterten Begriffsbildung bleiben die Autoren nachfolgend treu und verstehen unter „Risikoanalyse“ somit die vollständige Prozesskette bis hin zum finalen Umgang mit einem Risiko.
Es lässt sich feststellen: Nur wer Gefährdungen und aus ihnen resultierende Risiken kennt, kann sie behandeln. Das gilt umso mehr bei besonders schützenswerten Prozessen – also solchen, die Informationen mit erhöhtem Schutzbedarf verarbeiten. Es mag auf den ersten Blick verlockend erscheinen, für einen besonders schützenswerten Prozess pauschal alle erdenklichen Anforderungen aus dem IT-Grundschutz umzusetzen. Viel hilft schließlich viel und schützt nebenbei vor persönlicher späterer Haftung, oder?
Dieser Ansatz ließe jedoch wesentliche Aspekte des IT-Grundschutzes gänzlich außer Acht: Erstens spricht die pauschale Implementierung aller Anforderungen inclusive derer für erhöhten Schutzbedarf aus dem IT-Grundschutz nicht von der individuellen Verpflichtung frei, gegebenenfalls noch weitere spezifische Maßnahmen über den IT-Grundschutz hinaus zu prüfen und umzusetzen: „Sicherheitsanforderungen nach IT-Grundschutz liefern eine Standard-Absicherung, sind aber unter Umständen alleine nicht ausreichend. Weitergehende Maßnahmen sollten auf Basis einer Risikoanalyse ermittelt werden.“ (vgl. Tab. 5, S. 130 in [4]) – „Dabei dürfen die in den Bausteinen exemplarisch aufgeführten Anforderungen für einen erhöhten Schutzbedarf als Grundlage herangezogen werden, um entsprechende individuelle Maßnahmen zu ergänzen“ (S. 69 in [4] – Hervorhebung durch die Autoren).
Und zweitens kann im konkreten Einzelfall sogar manchmal weniger mehr sein: Wenn immer aus Bequemlichkeit auf ein pauschales Standard-Set an vorgefertigten Maßnahmen zurückgegriffen wird, entstehen mitunter unnötig überhöhte Aufwände – womöglich sogar ohne die echten prozessindividuellen Risiken überhaupt adäquat abgesichert zu haben. Ein derartiges Vorgehen ist nicht nur inhaltlich nicht zielführend, sondern möglicherweise auch diensthaftungsrechtlich relevant, weil nicht mit den das Verwaltungshandeln bestimmenden haushälterischen Grundsätzen sparsamer Mittelbewirtschaftung vereinbar (vgl. das Wirtschaftlichkeits- und Sparsamkeitsgebot der Haushaltsführung, etwa aus § 7 BHO sowie analog auch aus § 7 LHO NRW).
Es ist wichtig sich zu verdeutlich, dass die für die Informationssicherheit zu analysierenden Individual- und Elementargefährdungen nicht ausschließlich mit der Art der technischen Informationsverarbeitung zusammenhängen, sondern ebenfalls stark von den fachprozessualen, politischen oder gar gesellschaftlichen Rahmenbedingungen der Organisation abhängen.
Um die Falle allzu pauschaler Bequemlichkeit zu vermeiden, konstatiert der IT-Grundschutz, dass die „erfolgreiche Durchführung einer Risikoanalyse […] entscheidend von den Fachkenntnissen des Projektteams [abhängt]“ (S. 74/78 in [4]). Eine in Fragen der Informationssicherheit geübte Fachebene kann ein wesentlicher Hebel sein, um zielgerichtet und im fachkundig moderierten, gemeinsamen Diskurs risikoorientierte Maßnahmen zu ergründen, zu beauftragen und zu verantworten: „In der Praxis hat es sich bewährt, zur Identifikation zusätzlicher Gefährdungen ein gemeinsames Brainstorming mit allen beteiligten Mitarbeitern durchzuführen. Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige beteiligt werden. Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein und die Zeit für das Brainstorming begrenzt werden. Ein Experte für Informationssicherheit sollte das Brainstorming moderieren“ (S. 24 in [5]). Gerade in Regierungsorganisationen sollte dieser gemeinsame Diskurs im Hinblick auf übergeordnete, strategische Fragestellungen darüber hinaus auch eine Einbeziehung der politischen Leitung vorsehen.
Bei all dem ist gleichzeitig das richtige Augenmaß zu bewahren: „Die zu erfüllenden Anforderungen aus den IT-Grundschutz-Bausteinen müssen passend zu den organisatorischen und technischen Gegebenheiten der Institution zu Sicherheitsmaßnahmen konkretisiert werden“ (S. 158 in [4]).
Dass es sich beim Einbezug von Fachverstand nicht nur um ein verzichtbares Nice-to-have handelt, sondern ein klarer und idealerweise durch den zuständigen ISB aktiv eingeforderter Mitwirkungszwang besteht, steht für den IT-Grundschutz dabei gänzlich außer Frage (vgl. S. 49 in [5]). Oftmals ist diese Einbindung nicht bloß einmalig, sondern von Dauer, denn auch nach erfolgter erster Risikobewertung und -behandlung bestehen die Mitwirkungspflichten für alle Beteiligten in der Regel fort. Besonders im Fall von identifizierten und im Anschluss akzeptierten Restrisiken besteht schließlich stets die Folgeverpflichtung des gewissenhaften kontinuierlichen Risikomonitorings (vgl. S. 35 in [5]).
Fazit
Mit dem durch die vorgeschlagenen Gestaltungsprinzipien skizzierten inklusiven Zielbild und einer bewussten Abkehr von alleiniger Technikgläubigkeit lässt sich ein unaufgeregtes und an praktischen Notwendigkeiten orientiertes ISM aufbauen.
Die verpflichtende Einbindung der Fachebene in potenzielle Lösungsdesigns schafft ein adäquates Gefährdungsbewusstsein und verankert frühzeitig fachliche Projektverantwortlichkeit. Zugleich liefert der Einbezug der Fachebene den für IT und ISM zuständigen Stellen einen kontinuierlichen Einblick in die tatsächliche Schutzbedürftigkeit von Prozessen sowie mögliche organisatorische Mitigationsmaßnahmen und hemmt allem voran das Risiko von technischem Overengineering und damit einhergehenden unerwünschten Projektverzögerungen oder Kostenexplosionen.
Das vorliegende Plädoyer für eine aktive und verpflichtende Einbindung der Fachebene folgt dabei demselben Credo, dem auch schon die Einführung einer Gurtpflicht gefolgt ist: Betroffene zu Beteiligten machen – zum Schutz aller.
Unzweifelhaft ist die flächendeckende Etablierung von Risikobewusstsein und Mitwirkungspflichten – gerade in der Breite heterogener, öffentlicher Organisationsstrukturen – ein eher langfristiger Prozess: Von der ersten Erfindung eines Sicherheitsgurts bis zu seiner verpflichtenden Nutzung vergingen knapp siebzig Jahre vermeidbarer tragischer Zwischenfälle – damals wie heute warten Bedrohungen jedoch nicht, bis wir alle angeschnallt sind.
Dr. Philip Bleicker (reports@philipbleicker.com) ist seit Ende 2024 der Chief Information Security Officer (CISO) der Landesverwaltung Nordrhein-Westfalen und koordiniert in dieser Rolle die zentralen Maßnahmen der Informationssicherheit der Landesverwaltung – er ist Vorsitzender der AG Informationssicherheit des IT-Planungsrats sowie Lehrbeauftragter für Informationstechnologie an einer deutschen Hochschule.
Dr. Stephan Schlagkamp (stephan.schlagkamp@gmail.com) ist stellvertretender CISO der Landesverwaltung Nordrhein-Westfalen sowie verantwortlich für das Informationssicherheitsmanagement im Ressort des für Digitalisierung zuständigen Ministeriums in Nordrhein-Westfalen – er verfügt über langjährige Erfahrung in der Managementberatung zur Informationssicherheit in verschiedenen Branchen.
Literatur
[1] N. N., Furcht vor der Fessel, Der Spiegel 50/1975, online verfügbar auf www.spiegel.de/politik/a-a877 7b51-0002-0001-0000-000041389557
[2] Statistisches Bundesamt, Verkehrsunfälle und Verunglückte im Zeitvergleich (ab 1950), Onlinetabellen, fortlaufend, www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Verkehrsunfaelle/Tabellen/listestrassenverkehrsunfaelle.html
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 200-1, Version 1.0, Oktober 2017, www.bsi.bund.de/dok/10027834
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Methodik, BSI-Standard 200-2, Version 1.0, Oktober 2017, www.bsi.bund.de/dok/10027846
[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Risikomanagement, BSI-Standard 200-3, Version 1.0, Oktober 2017, www.bsi.bund.de/dok/10027822