EPIS 3.0: Die neue Resistance : Resilienzprüfung privilegierter IT-Mitarbeiter in Zeiten von NIS-2 und DORA
NIS-2 und DORA fordern Resilienz der IT – DORA schließt explizit auch Mitarbeiter* in die Betrachtungen ein. Im Fokus unserer Autoren stehen dabei privilegierte IT-Mitarbeiter, der „Extremely Privileged IT Staff“ (EPIS). Eine hohe Risikokonzentration kann auf dieser Ebene zu Schieflagen und Gefährdungen der IT-Sicherheit und operationellen Stabilität führen – gerade bei der Auslagerung ins Ausland. Home-Office und Fachkräftemangel sorgen für weiteres Gefahrenpotenzial. Nach Ansicht der Autoren sollten künftige IT-Resilienzkonzepte für kritische IT-Umgebungen mit „extrem privilegierten IT-Mitarbeitern“ ergänzende Bausteine enthalten, etwa eine formale Überprüfung oder die Arbeitsweise in „inhomogenen Teams“.
„Resilienz“ hat gute Chancen zum IT-Buzzword des Jahres 2024 gewählt zu werden. Es ist in aller Munde – wohl auch, da es im allgemeinen Sprachgebrauch bereits durchweg positiv besetzt ist: von der Kindererziehung über die Mitarbeiterpsychologie bis hin zur IT. IT-Resilienz bedeutet im Kern, flexibel mit unerwarteten Problemstellungen umgehen zu können, Krisen zu meistern und seine Widerstandskraft und Stärke zu bewahren. Beim 20. Deutschen IT-Sicherheitskongress des BSI im Mai 2024 belegte das Thema „Resilienz kritischer Infrastrukturen“ einen ganzen Track. Der für Finanzunternehmen einschlägige Digital-Operational-Resilience-Act (DORA) der EU schließt Mitarbeiter explizit in die Resilienz-Anforderung ein. Das sind positive Entwicklungen. Es empfiehlt sich, den EPIS-Gedanken mit diesem aktuellen Streben nach Resilienz sinnvoll zu verbinden.
Was bisher geschah
2010 veröffentlichte Stephen Fedtke in der <kes> seinen ersten Beitrag [1] zu speziellen Risiko-Analysen für „Extremely Privileged IT Staff“ (EPIS), beispielsweise in Form von Administratoren, die in kritischen IT-Infrastrukturen tätig sind – mit der Kernforderung nach Sicherheitsüberprüfungen und der Vorstellung der Relevanz-Metrik „Machtumsetzungsgeschwindigkeit“. Knapp anderthalb Jahre später folgte „EPIS 2.0“ [2] mit dem Hinweis auf das besondere Korruptionsrisiko (Bestechlichkeit, Kriminalität, Missbrauch von Staatsmacht im Ausland), das via Outsourcing und Cloud latent vorhanden ist.
Nach nunmehr 14 Jahren gilt es zu prüfen, wie mit der Einführung neuer Resilienz-Vorschriften der EU der Faktor „Mitarbeiter“ Berücksichtigung findet. Ferner geht es darum, wie sich personelle Resilienz evaluieren und zugleich erhöhen lässt. Dabei ist auch zu betrachten, wie globale Veränderungen von IT-Arbeitsplätzen (Stichwort Home-Office und Remote-Work) und auch der IT-Betriebsformen (etwa Hosting und Cloud-Auslagerung, inklusive Auslandlokationen) Einfluss auf die Mitarbeiter- Resilienz haben.
Entwicklungen beim Thema IT-Resilienz
Positiv festzustellen ist, dass sich Risikobewusstsein und Awareness in den letzten Jahren stetig verbessert haben – auch wenn dies oft durch negative Ereignisse vorangetrieben wurde. Zu erwähnen sind daraus abgeleitete Methoden und Compliance-Regeln wie etwa Zero Trust, die KRITIS Gesetzgebung und die nationale Sicherheitsstrategie der Bundesrepublik [3]. Aktuell sind es NIS-2 [4] und DORA [5] (s. a. S. 18) beziehungsweise FINMA RS 2023/1 [6] für die Schweiz, die neben den real wahrnehmbaren Cyber-Angriffen die Widerstandsfähigkeit der Systeme ins Visier nehmen und herausfordern.
Diese Regularien streben die digitale operationale, das heißt technische Resilienz der IT an. Neu ist, dass dies auf Basis nachgewiesener Überprüfungen und mit einem besonderen Fokus auch auf eingebundene IKT-Dienstleister künftig regelmäßig validiert wird. Die Forderung nach regelmäßigen Zuverlässigkeitsprüfungen auf technischer Ebene verleiht zum Beispiel professionell geplanten und qualitätsgesicherten Penetrationstests – Stichwort TIBER-EU [7] – eine zunehmende Bedeutung. So wird die Tugend quasi zur Pflicht. Im Rahmen von DORA kann dies bis zum sogenannten „Threat-Led Level“ [8] reichen, das heißt Szenarien ernsthafter Verwerfungen und Bedrohungen. DORA schließt den Aspekt Mitarbeiter explizit ein.
Mit Umsetzung von DORA und NIS-2 wird also die Ära der primär auf Vertrauen basierenden „Paper-Compliance“ durch die feste Pflicht zum Wirksamkeits-Nachweis der Widerstandsfähigkeit abgelöst.
Resilienzfaktor Mitarbeiter
Der Faktor Mensch steht im Zentrum des EPISKonzepts. Wie angesprochen schließt DORA die IT-Mitarbeiter in den Resilienz-Kontext explizit ein: „Der von den Leitungsorganen heranzuziehende Ansatz sollte sich nicht nur auf die Mittel zur Gewährleistung der Resilienz der IKT-Systeme konzentrieren, sondern auch Menschen und Prozesse durch eine Reihe von Leit- und Richtlinien einbeziehen, die auf jeder Unternehmensebene und bei allen Mitarbeitern ein starkes Bewusstsein für Cyberrisiken und die Verpflichtung zur Einhaltung einer strengen Cyberhygiene auf allen Ebenen hervorrufen.“ (Abs. 45 DORA).
Der „Baustein Mensch“ wird demnach als Resilienzfaktor einer IT-Organisation mitbetrachtet und damit Bestandteil der Prüfung. Die Resilienz eines IT Mitarbeiters lässt sich dabei aufgrund der folgenden Eigenschaften und Verhaltensweisen ergründen:
- fachliche Qualifikation tatsächliche Anwendung des Fachwissens – „schlau sein und schlau handeln“
- Fähigkeit, mit Stress und unvorhergesehen Situationen umgehen zu können
- Fachkenntnisse und Expertise in konstanter Qualität abrufen können
- reibungslose Zusammenarbeit innerhalb des Teams, besonders in Krisensituationen
- korrekter Umgang mit destruktiven Akteuren
- persönliche und teambasierte psychologische Widerstandskraft alleine und gegenüber beruflichem, moralischem oder politischem Druck bis hin zu Korruption und Erpressung
Die beiden letzten Anforderungen zielen direkt auf die EPIS-Kernthemen. Sie werden im Fall von Auslandslokationen zunehmend wichtig, allem voran in Zeiten geheimdienstlicher und kriegerischer Aktivitäten. Es geht um die Resilienzprüfung der involvierten, besonders mächtigen Akteure, das heißt der „extrem privilegierten“ IT-Mitarbeiter und ihrer Teams. Hier können Risikoschieflagen dank deren hoher und schneller Wirksamkeit zu gewaltigen Schäden und Erpressbarkeiten führen.
Psychologische Resilienz im Kontext kritischer digital-operativer Verwendungen
Um dem Anforderungskatalog durch Personalauswahl und Organisationsentwicklung gerecht zu werden, ist die Berücksichtigung individualpsychologischer Prädiktoren sowie sozialpsychologischer Phänomene eine wesentliche Voraussetzung. So kann man entsprechende Konzepte und Instrumente entwickeln. Aus diesem Grund beleuchten die Autoren nachfolgend einerseits die Prädiktoren individualpsychologischer Resilienz und andererseits die systemische Resilienz als Widerstandsfähigkeit einer Gruppe gegenüber Belastungssituationen und Unterminierungsversuchen. Abschließend werden Implikationen für Organisationen und Institutionen zur Erhöhung der organisationalen Resilienz abgeleitet.
Resilienz ist definiert als die psychologische Kapazität, Widrigkeiten, Unsicherheit, Konflikte und Misserfolge abzuwehren [9] sowie die Fähigkeit, routinemäßige Herausforderungen und plötzliche Probleme zu bewältigen [10]. Fünf wesentliche Merkmale konstituieren Resilienz [11]:
- Sinnhaftigkeit des Lebens,
- Beharrlichkeit bei der Zielerreichung trotz Widrigkeiten,
- Selbstvertrauen und eine realistische Selbsteinschätzung, Ausgewogenheit sowie
- die Akzeptanz zur gemeinsamen und individuellen Bewältigung schwieriger Erfahrungen.
Die Betrachtung dieser Resilienzfacetten ermöglicht eine nuancierte Erfassung der Resilienz einer Person. Demnach wäre es erforderlich, ein Personalauswahl- und Bewertungsverfahren zu konzipieren, das Resilienz als multidimensionales Konstrukt erfasst. Einzelne Eignungsmerkmale wie Selbstvertrauen, realistische Selbsteinschätzung und Beharrlichkeit bei der Zielerreichung könnten nach dem trimodalen Ansatz [12] erfasst werden, der biografische (Berufserfahrung, Straftaten, Erkrankungen etc.), psychometrische (Persönlichkeit, psychische Belastung, Selbstvertrauen, epistemologische Überzeugungen, Verschwörungssensitivität) und simulierte Verfahrensbestandteile (Problemlösefähigkeit, Frustrationstoleranz, Zielbeharrlichkeit, Stressfähigkeit) umfasst.
Untersuchungen zeigen, dass kognitive Faktoren wie Intelligenz, Emotionsregulation und Leistungsmotivation mit Resilienz assoziiert sind. Das diagnostische Vorgehen sollte auch persönliche Variablen wie soziale Resilienz (z. B. Eingebundenheit in ein soziales System) und individuelle Coping Mechanismen (z. B. Freizeitgestaltung, Umgang mit Genussmitteln und Drogen) ermitteln. Gerade ein starker sozialer Rückhalt, Humor und Systeme zur sinnvollen Interpretation von Unglück (etwa Religion) erweisen sich als positive Resilienzfaktoren [13].
Eine Betrachtung dieser Einzelfaktoren ermöglicht es Führungskräften und HR-Abteilungen in Unternehmen, auch bestehende Teams in ihrer Resilienz zu evaluieren und mögliche Maßnahmen abzuleiten. Denkbar sind hier psychometrische Ansätze, die Aspekte wie sozialen Rückhalt, Freizeitgestaltung, Gesundheit, Arbeitszufriedenheit sowie Kohärenz- und Sinnerleben erheben. Die Ergebnisse ermöglichen das zielgerichtete Implementieren von Coaching, Teambuildingveranstaltungen, Fortbildungen sowie Freizeit- und Gesundheitsangebote zur Erhöhung der individuellen und strukturellen Resilienz.
Ein resilienzassoziiertes Persönlichkeitsmerkmal, das im öffentlichen Dienst von besonders hoher Relevanz ist und auch bei der digitalen operativen Resilienz vordergründig erscheint, ist die Integrität: Es beschreibt die Vertrauenswürdigkeit im Umgang mit Informationen und Verantwortung. Verfahren wie das Persönlichkeitsinventar zur Integritätsabschätzung erheben die Integrität einer Person direkt, wobei hier die soziale Erwünschtheit die Validität der Testergebnisse verringern kann [14]. Das Eignungsmerkmal der Integrität ist gerade im deutschsprachigen Raum ein bisher psychometrisch wenig abgedecktes Feld [15], sodass hier auch biografische und simulationsbasierte Teilverfahren die Güte der Integritätseinschätzung erhöhen.
Bei besonders kritischen IT-Verwendungen sind hier auch Open-Source-Intelligence-Verfahren (OSINT) denkbar: So könnte man durch mögliches Verhalten auf Social-Media-Plattformen und Internetforen zusätzlich integritätsassoziierte Informationen gewinnen. In Anlehnung an die erweiterte Sicherheitsüberprüfung des Sicherheitsüberprüfungsgesetzes (SÜG) [16], die bei Verwendungen mit sicherheitsempfindlichen Aufgaben Anwendung findet, könnte man folgende Methoden einsetzen: Überprüfung der Identität der Person über Abfragen des Bundeszentralregisters sowie Interviews mit Lebenspartnern und Personen aus dem sozialen Umfeld des Kandidaten. Dies könnte zu einer valideren Integritäts- und Resilienzeinschätzung führen.
Die Erfassung der individualpsychologischen Resilienz erscheint wichtig, um die Vertrauenswürdigkeit und Belastbarkeit einer Person bei Korrumpierungsversuchen und in Krisensituationen abzuschätzen. Der trimodale Ansatz zur Personalauswahl erscheint hier als geeignetster eignungsdiagnostischer Rahmen. Die Berücksichtigung der skizzierten Prädiktoren von Resilienz ermöglicht eine resilienzspezifische Begleiteinschätzung der Mitarbeiter sowie die Konzeption von resilienzerhöhenden Fortbildungen.
Neben der individuellen Resilienz kann Resilienz auch als Systemmerkmal verstanden werden, das die Widerstandsfähigkeit einer Gruppe gegen Irritationen und Einflussversuche beschreibt. Eine soziale Gruppe, wie beispielsweise eine IT-Abteilung innerhalb eines Unternehmens, gilt als „komplexes System“, da sie die vier Aspekte Diversität, Vernetzung, Interdependenz und Adaptabilität aufweist. Die Unvorhersehbarkeit eines Systems steigt mit wachsender Vernetzungsdichte, sodass besonders enge Arbeitsgruppen potenziell extreme Normabweichungen in Arbeitsergebnissen und Einstellungen zeigen können (siehe auch [17]).
Die Erhöhung und Aufrechterhaltung der Resilienz ist demnach auch ein Bereich der Organisations- und Kulturentwicklung. Otto Scharmer fasst treffend zusammen [18]: „Unsere Aufgabe als Führungskräfte und Innovatoren besteht darin, den Boden des sozialen Felds zu kultivieren. Das soziale Feld ist die Summe der Beziehungen zwischen Individuen, Gruppen und Systemen […].“ Das soziale Netzwerk innerhalb einer Organisation ist demnach eine wichtige Stellschraube, um die Resilienz einer Organisation zu bewerten und Anpassungen vorzunehmen. Forschungsergebnisse zeigen, dass die Netzwerkdichte mit der Fluktuationshäufigkeit, der Produktivität, Innovationsfähigkeit und Mitarbeiterzufriedenheit zusammenhängt.
Die soziale Netzwerkanalyse erscheint als ein geeignetes Werkzeug, um die Beziehungskonstellation im Sinne der Resilienz und Produktivität anzupassen. Insgesamt zeigt sich, dass Resilienz als individualpsychologisches und sozialpsychologisches Phänomen betrachtet werden muss. Auch in der Auswahl, Ausbildung, Begleitung und Fortbildung von Personal in kritischen digital-operativen Sektoren muss man Resilienz als multidimensionales Konstrukt verstehen und operationalisieren.
Resilienzprüfung von Mitarbeitern
Zweifelsohne ist die Überprüfung von Mitarbeitern grundsätzlich ein heikles Gebiet. Mit globalen Trends zur politischen Korrektheit wurden „Hinterfragungen“ seit Vorstellung von EPIS 1.0 sogar noch heikler. Jede tiefgreifende Überprüfung von Mitarbeitern ist im Kontext politischer Korrektheit schwer oder unmöglich, weil jeder nächste Schritt in die Bewertung von Personen und Ländern mündet – und damit zumindest „gefühlt“ in verbotenen Vorurteilen, Unterstellungen und dergleichen. Auch der vielzitierte Fachkräfte-/Spezialisten-Mangel hat die Machtverhältnisse verschoben und zu einer höheren Scheu vor konsequenter Hinterfragung der Qualitätsfaktoren Qualifikation, Resilienz und soziales Umfeld geführt – „die Not ist groß und Hauptsache, man hat jemand.“
Aktuell wäre zu überlegen, wie eine um den EPIS-Gedanken erweiterte Resilienzprüfung überhaupt möglich wäre. Wie könnte eine faire, rechtskonforme und effiziente Sicherheitsüberprüfung aussehen? In einem DORA-Workshop hatte ein Teilnehmer die Idee einer Analogie aus Social Engineering und Honeypot-basiertem Penetrationstest in die Diskussion eingebracht: Die fachliche und moralische Resilienz von IT-Mitarbeitern würde dabei probeweise einer „Verführung“ ausgesetzt. Schnell wurde klar, dass ein gezieltes Korrumpieren als grenzwertig zu betrachten ist. IT-Dienstleister könnten aber dennoch proaktiv handeln und ihre Mitarbeiter aus Eigenmotivation einer Sicherheitsüberprüfung unterziehen.
Der Staat als Dienstleister einer EPIS-Überprüfung für die Wirtschaft
Aus dieser Zwickmühle kommt man wohl nur heraus, indem Gesetzgeber oder Politik die Rolle des „Bad Guy“ übernehmen. Der Staat könnte Kriterien für EPIS-Kandidaten definieren, ihre Überprüfung zur Pflicht machen und hierfür Unternehmen eine die Persönlichkeitsrechte
wahrende Dienstleistung für diese Überprüfung anbieten, wie sie das Sicherheitsüberprüfungsgesetz (SÜG) im Inland für bestimmte staatliche IT-Umgebungen fordert. Auch das Angebot des BSI zur Zertifizierung und Kompetenzfeststellung von Personen wäre eine geeignete Basis.
In staatlichen und KRITIS-relevanten Bereichen der IT wird sich die EPIS-Prüfung implizit implementieren, das heißt evolutionär ergeben. Zum Beispiel realisiert der zentrale staatliche IT-Dienstleister IT-ZBund mit IONOS eine eigenständige Cloud-Umgebung, auf der auch IT-Verfahren der Bundesverwaltung mit dem maximalen Schutzbedarf hoch laufen werden. Die implizite EPIS-Realisierung ergibt sich dabei durch staatliche Auflagen für Mitarbeiter auf Basis des SÜG [16].
Ein solcher Test wäre auch ein gutes Thema im Kontext von Stellenausschreibungen und Vorstellungsgesprächen – diesen zu erwähnen, würde die viel zitierten „klaren Verhältnisse“ im Sinne transparenter Bedingungen und Erwartungen fördern.
Breiter Anwendungsbereich
Bei EPIS denkt man vielleicht zunächst primär an Behörden oder die Bundeswehr. Jedoch wird das Spektrum EPIS-relevanter IT-Umgebungen stetig breiter und betrifft KRITIS oder sogar die Wirtschaft insgesamt: Kritische Infrastrukturen der Finanzwirtschaft liegen von je her im Fokus – mit DORA werden ihre Betreiber und Dienstleister künftig gezielt überprüft und alles wird seinen „evolutionären“ Gang nehmen. Zweifelsohne ist es aber auch sinnvoll, dass Anbieter von Security-Diensten (z. B. SIEM oder SOC) ebenfalls erhöhte Qualitätsmaßstäbe an ihre Mitarbeiter anlegen. NIS-2 erweitert den Scope nochmals, wobei nicht jedes NIS-2-Unternehmen EPIS-relevant sein dürfte – eine Übertreibung würde der Sache nicht dienen.
Umgekehrt sind aber auch einige EPIS-Bereiche nicht offensichtlich zu erkennen, etwa:
- Verwalter und Betreiber von Domain-Name-Services (DNS): Mitarbeiter und Teams, die zum Beispiel beim Top-Level-Domain-Server für .de die „wichtigen Schalter“ bedienen können, sind durchaus EPIS-relevant. Sie könnten Deutschland in Sekunden quasi in die Steinzeit zurückversetzen, wenn alle .de-Domains nicht mehr auflösbar und damit ansprechbar wären (vgl. etwa [19]).
- Team-Mitglieder kritischer Open-Source-Projekte: Eine offensichtliche Gefährdung hat zuletzt die „xz-Tools-Attacke“ offenbart, bei der eine Hintertür für Linux-Systeme gerade noch abgewehrt werden konnte (vgl. [20]). Eventuell könnte EPIS für Open-Source-Teams sogar dem Einsatz von Open-Source förderlich sein, dank eines gesteigerten Vertrauens in die Akteure der bereitgestellten Software.
- Grundsätzlich würde eine Resilienz-Prüfung auch bei Support-Mitarbeitern und Entwicklern mancher Hersteller Sinn machen – auch wenn das heute illusorisch erscheint. Im Fall größerer Entwicklungs- und Troubleshooting- Teams ergibt sich erfreulicherweise bereits implizit eine gegenseitige Kontrolle und Hinterfragung, sodass man sich in Bezug auf die erweiterte Resilienz auf die Key-Player konzentrieren könnte. Der Signing-Key- Diebstahl aus einem Crash-Dump bei Microsoft im Jahr 2023 hat neben dem Sicherheitsrisiko von IT-Diagnose- Daten gleichfalls aufgezeigt, wie subtil und über „wie viele Ecken“ fremde, extern lokalisierte, aber mit privilegiertem Wissen und damit Macht ausgestattete „IT-Mitarbeiter“ in der Praxis entstehen [21]. Zum Beispiel werden Support- Mitarbeiter und Entwickler der Hersteller durch den Kontakt und Zugriff auf IT-Diagnose-Daten aufgrund der hohen Sensibilität der in nicht-anonymisierten Dumps, Logs und Traces enthaltenen Sicherheitsinformationen auch „ein bisschen EPIS“.
Risiko „Ausland“
Sehr viele führende deutsche Unternehmen haben kritische IT-Systeme und -Prozesse mittlerweile in die Hand von Dienstleistern übergeben, die faktisch in Niederlassungen im europäischen und außereuropäischen Ausland operieren. Der IT-Betrieb mit allen sicherheitskritischen Prozessen, wie auch die IT-Administratoren, befinden sich dort. Besonders der sogenannte Legacy-Bereich wird – bedingt durch zunehmenden Mangel an Knowhow- Trägern in Deutschland – an ausländische Fachkräfte und Dienstleister ausgelagert. Hier ist eine Transparenz über Mitarbeiterprofile zunehmend schwierig zu erlangen. Auch werden dabei selten Mitarbeiter des Auftraggebers in die Near- oder Offshore-Lokation integriert. An dieser Stelle kommen die oben vorgestellten Resilienzfaktoren ganzer Teams mit ins Spiel.
Theoretisch könnten wichtige Kandidaten des DAX aus einem einzigen Großraumbüro in Ost-Europa oder Indien ausgeschaltet werden. Oder – weniger destruktiv und offensichtlich – lassen sich von dort zeitlich verteilt wichtige Unternehmensdaten „abziehen“. Die letzten Jahre haben gezeigt, wie schnell Situationen um eigentlich gut kooperierende Länder kippen können. EPIS fordert zwar keine Rückführung der IT-Infrastruktur nach Deutschland, wohl aber risikokompensierende Maßnahmen – besonders für den Fall, dass an Auslandsstandorten kein eigenes Personal anwesend oder eingebunden ist.
Präziserweise ist hier zwischen echtem Outsourcing an einen externen Dienstleister und dem Bündeln und Betreiben der IT-Aktivitäten in einem eigenen Auslandstochterunternehmen klar zu differenzieren: Die zweite Variante eröffnet schließlich sehr viel mehr Möglichkeiten der Einflussnahme, Risiko Kompensation und Resilienzförderung.
Strategische Korruption ist eine „politische Waffe“
Auch der Kerngedanke von EPIS 2.0 hat in der Realität eine Weiterentwicklung erfahren: Transparency Deutschland hat jüngst eine interessante Analyse zum Thema „strategische Korruption“ veröffentlicht [22] und definiert diese wie folgt: „Der Einsatz korrumpierender Mittel durch einen Staat, um direkt oder indirekt die politische Willensbildung in einem anderen Staat zum eigenen Vorteil zu beeinflussen.“
Dieser strategische Ansatz ist, analog zu Fake News, einfach auf die IT zu übertragen: Es geht hier um die Erpressbarkeit der Wirtschaft eines Landes, wenn deren IT und Schlüsselpersonen der IT-Administration im Ausland lokalisiert sind. Es geht hierbei weniger um das Misstrauen gegenüber dem Dienstleister als Unternehmen als vielmehr um die bereits vorgestellte Evaluation des Risikopotenzials einzelner mächtiger Gruppen privilegierter Mitarbeiter. Im Ausland sind dabei alle Möglichkeiten der Einflussnahme und Korrumpierbarkeit zu betrachten. Aktuelle Beispiele aus dem politischen Sicherheitsumfeld wie die strategische Platzierung und Einschleusung von Mitarbeitern bei Parlamentsabgeordneten durch fremde Staaten machen das mögliche Aktionsspektrum deutlich.
Erste Schritte zur Risiko-Entschärfung bei Auslands-Outsourcing
Eventuell könnten bereits kleine Anpassungen der Arbeitsumgebung und Arbeitsweise risikoentschärfend wirken, indem man bekannte Ansätze auch im Fall des Auslands-Outsourcing anwendet:
- Kritische Änderungen an Systemen erfolgen dann stets im fachkundigen Vier-Augen-Prinzip unter Beteiligung unterschiedlicher Gruppen. Faktisch sitzen dabei zum Beispiel stets zwei oder mehr fachkundige Personen an einem gemeinsamen Bildschirm und vollziehen kritische Aktivitäten zusammen (z. B. ein System-Update). Die involvierten Personen stammen hierbei aus „inhomogenen“, also unterschiedlichen Gruppen/Abteilungen und sind keine „Schreibtisch-Nachbarn“ oder „befreundete Kollegen“. Das bloße Recording aller Aktivitäten oder der klassische Audit-Ansatz durch nachträgliche Überprüfung von Änderungen (z. B. basierend auf einem Review von Änderungsprotokollen und dem Vergleich mit beantragten Changes) haben demgegenüber folgende Probleme: die fachliche Ferne der Prüfer, das Risiko der zeitlich äußerst kurzen temporären Änderungen und das fachliche Gefälle. Wenn hingegen mehrere IT-Fachleute vor einem gemeinsamen Schirm arbeiten, wirkt das faktisch risikoeliminierend und resilienzsteigernd: Jeder wäre bei gemeinsamer Erledigung der kritischen System-Arbeiten der Prüfer des anderen. Eine solche Vorgehensweise würde gleichzeitig die Aspekte Qualitätssicherung und fachliches Backup implizit unterstützen. Das erwähnte Recording von Aktivitäten sollte dennoch weiterhin erfolgen und bildet so eine forensische Beweissicherung. Die (Wieder-) Einführung des realen gemeinsamen Arbeitens bei kritischen Änderungen wäre ein kleiner, aber äußerst wirksamer „Game-Changer“: Niemand möchte schlichtweg für den anderen haften – und die implizite unausgesprochene Awareness ist nachhaltig. Ein gutes Beispiel für „durchbrochene Homogenität“ ist der Sicherheitsdienst beim Boarding am Flughafen: Hier werden Teams mehrmal am Tag per Zufall neu zusammengesetzt und ausgewechselt, um Absprachen, Kooperationen und dergleichen zu verhindern.
- Eine weitere Option wäre es, als Kunde eigene und damit „loyale“ Mitarbeiter in das Team eines IT-Lösungsanbieters zu integrieren, um wiederum die Homogenität zu durchbrechen – und zwar nicht heimlich, sondern offenkundig. Diese Mitarbeiter müssen der lokalen Sprache mächtig und lokal in die Arbeitsprozesse integriert sein. So bestände theoretisch die Chance, „lokale Fehlentwicklungen“ frühzeitig(er) zu identifizieren, die in täglichen Dialogen, Witzen und Aktivitäten wahrnehmbar werden. Von einem zweimaligen Besuch eines Managers oder Auditors vor Ort kann man sich hingegen nicht wirklich eine Hinterfragung erhoffen – das sind eher „Show- Läufe“. Im Sinne von „wehret den Anfängen“ ist es das Ziel, obige Homogenität mit den genannten Folgen zu durchbrechen.
Fazit
Resilienz ist ein wichtiges, hochwertiges und zeitgemäßes Ziel für die IT – es hängt schlichtweg zu viel von deren Qualität und Verfügbarkeit ab. Neue Gesetze und Verordnungen, unter anderem NIS-2 und DORA, ziehen aktuell eine hohe Aufmerksamkeit auf sich, nicht zuletzt weil durch die Pflicht regelmäßiger praktischer Resilienz-Überprüfungen (z. B. Penetrationstests) eine Abkehr von der bisherigen „Paper-Compliance“ vollzogen wird.
DORA schließt Mitarbeiter dabei explizit mit ein. Das EPIS-Konzept zielt ebenso auf Resilienz-Aspekte hochprivilegierter IT-Mitarbeiter und deren Überprüfung ab. Gerade in Outsourcing- und Cloud-Strukturen oder einem ins Ausland verlagerten IT-Betrieb sind Resilienz und Kontrolle von Bedeutung. Die Machtkonzentration einzelner IT-Dienstleister ist tatsächlich ein Damoklesschwert in Punkto EPIS-Risiko.
Die Autoren sind zuversichtlich, dass Maßnahmen zur Steigerung und Prüfung der Mitarbeiter-Resilienz in künftige Weiterentwicklungen der Richtlinien NIS-2 und DORA einfließen werden, spätestens nach konkreten Vorfällen. Staatliche Aufsichtsbehörden sollten proaktiv bereits heute daran arbeiten, der Wirtschaft eine allgemeine Sicherheitsüberprüfung von Mitarbeitern als Service anzubieten. So könnten sie Unternehmen eine rechtskonforme Überprüfung ihrer IT-Fachkräfte analog zum Sicherheitsüberprüfungsgesetz (SÜG) anbieten, idealerweise auf europäischer Ebene. Auf diesem Service aufbauend stünde konkreten Anforderungen nichts mehr im Wege. Damit wäre insgesamt das Streben nach Resilienz ganzheitlich erfüllt und vollendet.
Dr. Stephen Fedtke ist Spezialist für die Risiko-Analyse und Absicherung kritischer und systemischer Infrastrukturen. Dr. Fabio Ibrahim berät Unternehmen sowie Einheiten der Polizei und Bundeswehr in den Aspekten der individuellen und organisationalen Resilienz.
Literatur
[1] Dr. Stephen Fedtke, Epische Macht, „Extremely Privileged IT Staff“ (EPIS) erfordert spezielle Zuverlässigkeits- oder Sicherheitsüberprüfungen, <kes> 2010#6, S. 6
[2] Dr. Stephen Fedtke, EPIS 2.0: Fremde Fürsten, Anwendung des Transparency-Korruptionswahrnehmungsindex in der Risikoanalyse eines Outsourcings systemischer IT, <kes> 2012#2, S. 11
[3] Deutsche Bundesregierung, Integrierte Sicherheit für Deutschland, Nationale Sicherheitsstrategie, Juni 2023, www.nationalesicherheitsstrategie.de
[4] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
[5] Europäische Union, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …, in: Amtsblatt der Europäischen Union L 333, S. 1, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554
[6] Eidgenössische Finanzmarktaufsicht FINMA, Operationelle Risiken und Resilienz – Banken, Management der operationellen Risiken und Sicherstellung der operationellen Resilienz, Rundschreiben 2023/1, Dezember 2022, www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/myfinma/rundschreiben/finma-rs-2023-01-20221207.pdf
[7] European Central Bank, What is TIBER-EU?, European framework for threat intelligence-based ethical red-teaming, Mai 2018, www.ecb.europa.eu/paym/cyberresilience/tiber-eu/html/index.en.html
[8] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Deutsche Bundesbank, Threat-Led Penetration-Testing (TLTP) unter DORA, Testen der digitalen operationalen Resilienz, Vortragsfolien, Dezember 2023, www.bafin.de/SharedDocs/Downloads/DE/Anlage/Praesentation4_TLTP_unter_DORA.pdf
[9] Fred Luthans, The need for and meaning of positive organizational behavior, Journal of Organizational Behavior 23 (6), S. 695, Juli 2002, https://doi.org/10.1002/job.165
[10] Robert Brooks, Sam Goldstein, The Power of Resilience, Achieving Balance, Confidence, and Personal Strength in Your Life, McGraw Hill, Oktober 2004, ISBN 978-0-07-143198-9
[11] Gail M. Wagnild, The resilience scale user’s guide for the U.S. English version of the Resilience Scale and the 14-Item Resilience Scale (RS-14), The Resilience Center, www.resiliencecenter.com/products/the-resilience-scaleusers-guide/ (kostenpflichtig)
[12] Heinz Schuler, Psychologische Personalauswahl, Eignungsdiagnostik für Personalentscheidungen und Berufsberatung, Hogrefe, Juni 2014, ISBN 978-3-8017-1864-0
[13] Sarah R. Horn, Dennis S. Charney, Adriana Feder, Understanding resilience, New approaches for preventing and treating PTSD, Experimental Neurology Volume 284 Part B, S. 119, Oktober 2016, https://doi.org/10.1016/j.expneurol.2016.07.002
[14] Patrick Mussel, Persönlichkeitsinventar zur Integritätsabschätzung (PIA), in: John Erpenbeck, Lutz von Rosenstiel (Hrsg,), Handbuch Kompetenzmessung, Schäffer-Poeschel, 1. Auflage 2003, in späteren Auflagen nicht mehr enthalten
[15] Bernd Runde, Persönlichkeitstests in der Personalauswahl, in: Andreas Gourmelon, Christine Kirbach, Stefan Etzel (Hrsg.), Personalauswahl im öffentlichen Sektor, Nomos, August 2009, ISBN 978-3-8329-4862-7
[16] Daniel Liebig, Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen (Sicherheitsüberprüfungsgesetz – SÜG), Bundesrecht – tagaktuell konsolidiert, www.buzer.de/gesetz/4567/index.htm
[17] Peter Kruse, next practice, Erfolgreiches Management von Instabilität – Veränderung durch Vernetzung, Gabal, Januar 2020, ISBN 978-3-86936-962-4
[18] C. Otto Scharmer, Essentials der Theorie U, Grundprinzipien und Anwendungen, Carl-Auer Verlag, März 2022, ISBN 978-3-8497-0274-8
[19] Martin Holland, Probleme bei russischen Domains, Angeblich Fehler bei DNSSEC behoben, heise online, Januar 2024, https://heise.de/-9613996
[20] Martin Holland, xz-Attacke: Hinweise auf ähnliche Angriffsversuche bei drei JavaScript-Projekten, heise online, April 2024, https://heise.de/-9687246 (zu Hintergründen siehe auch https://heise.de/-9671588)
[21] Stephen Fedtke, Nach Microsoft-Schlüssel-Diebstahl aus Crash-Dump – neues IT-Audit-Prüfthema: IT-Diagnose- Daten, IT-Governance 17. Jahrgang, Heft 38, S. 22, Dezember 2023, elektronischer Sonderdruck verfügbar via www.enterprise-it-security.com/marketing/download/IT_Governance_ISACA_Germany_Chapter_Artikel_Heft_38_Nach_Microsoft_Schluessel_Diebstahl.pdf
[22] Transparency International Deutschland e. V., Positionspapier „Strategische Korruption bekämpfen, Resilienz der Demokratie stärken“, April 2024, www.transparency.de/fileadmin/Redaktion/Publikationen/2024/Positionspapier_Transparency_Deutschland_Strategische_Korruption.pdf