Management komplexer Cyber-Sicherheit in IT, OT, (I)IoT : Teil 1: Die Problem-Landkarte
Wie müssen Organisation und Prozesse aussehen, die nebenden Risiken des klassischen IT-Betriebs auch internetfähigeGeräte, Produktionsanlagen, ferngewartete Produkte und soziale Vernetzung beherrschbar machen sollen? Im ersten vonzwei Teilen skizzieren unsere Autoren die Kernpunkte dieserProblematik angesichts heutiger Organisationsstrukturen.
Zunehmende Komplexität hat sich längst als Dauerthema bei Security-Spezialisten etabliert. Ein Gefühl der Überforderung durch die Dynamik des Arbeitsgebiets hält seit Jahren an – was nur bedeuten kann, dass die Bewältigungsstrategien mit der Realität nicht Schritt halten. Man beklagt, dass zu den wohlbekannten Office-Umgebungen und -Infrastrukturen immer neue Fachbereiche hinzukommen und dass der gerade erst eingeübte Begriff „Informationssicherheit“, der die „IT-Sicherheit“ in die zweite Reihe gestellt hat, angesichts der ins Netz drängenden Produktionsanlagen (aka OT) und des Internets der Dinge schon wieder der weiter gefassten „Cybersicherheit“ zu weichen beginnt. Man hat es also mit „Scope-Creeping“ zu tun, jener gefürchteten, unkontrollierbaren Ausweitung einer anfangs vermeintlich wohlumrissenen Aufgabe – und das eben nicht nur bei einem immerhin noch identifizierbaren Projekt, sondern beim gesamten IT-bezogenen Sicherheitsmanagement.
Der erwähnte Übergang von IT- zu Informations- und Cyber-Sicherheit ist dabei besonders interessant: Der aktuelle Terminus setzt sich durch, weil er auch Angriffe auf „Operational Technology“ (OT) und „(Industrial) Internet of Things“ ((I)IoT) erfasst, bei denen es oft um Störungen der Verfügbarkeit oder Integrität von computergesteuerten Prozessen geht. In diesem Bereich spielen nicht Diebstahl oder Offenlegung von Informationen die Hauptrolle, sondern vielmehr die Störung von potenziell kritischen oder sogar für Menschen gefährlichen Abläufen. Für die Verantwortlichen kommt hinzu, dass viele ihrer eingeübten Steuerungsmechanismen – wie automatisiertes Monitoring, Testen auf Schwachstellen oder Patchen – bei OT und IoT nicht wirken.
Die Security-Anbieter reagieren auf die neue Lage mit „Lösungen“, die auf aktuelle Arbeitsgebiete wie (ggf. Industrial) IoT, OT, Smartphone-Apps, soziale Netzwerke und – ganz neu – die „dynamischen Angriffsoberflächen“ der Organisationen zielen. Heraus kommt ein noch größerer und unübersichtlicherer Werkzeug- und Dienstleister-Zoo als jemals zuvor – aber was „löst“ der wirklich? Es ist verräterisch, dass die Hersteller der neuen Produkte häufig gerade die Fähigkeit ihrer Systeme herausstellen, verständliche Reports fürs Management zu generieren. Im Rückschluss kann dies nur bedeuten, dass viele Security-Fachabteilungen den für ein Sicherheits- und Risikomanagement überaus kritischen Informationstransfer zu den Entscheidern in den Organisationen derzeit nicht leisten können.
Die technische Integration der vielfältigen Ansätze steht in diversen Sektoren wie dem Überschneidungsbereich von IT und OT außerdem erst ganz am Anfang [1], weshalb Unternehmen (und andere Organisationen) den Wildwuchs der Security-Fachsilos auf der Analyse- und Handlungsebene selbst zu einem sinnvollen Ganzen zusammenfügen müssen. Ohne eine Management-Strategie und -Methodik samt geeigneter Kommunikationspraxis, die das Gemenge unterschiedlicher Wissensbereiche, Ziele und Zuständigkeiten zu einem aktionsfähigen Risikomanagement zusammenfasst, wird man der aktuellen Bedrohungen nicht mehr Herr. Die stets präsente gleichzeitige Forderung nach Agilität bei Business-Entscheidungen setzt die Akteure dabei zusätzlich unter Druck.
Grenzen traditioneller Organisationsmodelle
Das beschriebene Szenario stellt auch bewährte Organisationsstrukturen und die zugehörigen Prozesse infrage. Man könnte sogar vermuten, der klassische Aufbau mit CIOs, (C)ISOs und Administratoren plus Datenschützern müsse grundsätzlich neu überdacht werden; aber das ist nicht zwangsläufig der Fall. Sicher ist allerdings, dass größere Entscheidungsgremien, fachlich heterogenere Teams und komplexere Entscheidungsfindungs-Prozesse entstehen, die eine weitaus größere Zahl an beeinflussenden Parametern berücksichtigen müssen als jemals zuvor – ohne sich dabei unendlich zu verlangsamen.
Als Beispiel mag man sich eine Diskussion vorstellen, in der die Leitung eines Medizintechnik-Unternehmens über den jeweiligen Grad an Benutzerfreundlichkeit, Datenschutz und Zugangskontrolle bei einem IoT-Produkt zu befinden hat, das an über 80-jährige Kunden ausgeliefert, lebensrettende Funktionen übernehmen und ferngewartet werden soll. Verschlüsselungsoptionen, Netzwerkarchitektur, Schutz vor Hardware-Fälschungen, Zulieferer-Standards, Entwicklungs-Methoden, die Sicherheit der Entwicklungs-Infrastruktur, Testansätze, Compliance-Anforderungen, die Security-Maturität von Zulieferern und speziell der Datenschutz sind dann gleichermaßen zu berücksichtigen. Und damit nicht genug: Sogar das Thema Benutzerfreundlichkeit, das in der klassischen IT gern einmal mit dem Schutzziel „Vertraulichkeit“ in Konflikt gerät, hat hier seine eigene inhärente Sicherheitsthematik. Denn wo immer IT ein Artefakt steuert, das direkt mit der realen Welt interagiert, kann auch ein Mangel an Benutzerfreundlichkeit Gefahren für den Anwender oder sein Umfeld heraufbeschwören. Benutzerfreundlichkeit und Sicherheit aufeinander abzustimmen, beschwört also diffizile Entwicklungs- und Optimierungsprozesse herauf.
Unübersichtliche Ausgangslagen dieser Art können verständlicherweise zu Entscheidungs-Staus führen, die dann wiederum die Verantwortlichen auf den unteren Führungsebenen und erst recht die Entwickler und anderen Fachkräfte zur Verzweiflung treiben. Denn das Risiko, dass schleppende Entscheidungsprozesse Produkte verzögern oder Dienstleistungs-Ideen torpedieren, existiert ja ebenfalls und kann die Konkurrenzfähigkeit eines Unternehmens unterminieren.
Schwierige Entscheidungsfindung
Einen unmittelbaren Effekt der komplexeren Gemengelage kennen die meisten Securityexperten inzwischen recht gut: Budgetverhandlungen in Sachen Sicherheit sind zäher denn je, und das Überzeugen von Nicht-Fachleuten auf den höheren Managementebenen fällt durchweg schwerer. Gleichzeitig wird die Stimmung in den entsprechenden Meetings gereizter – auch deshalb, weil in jeder Diskussion aufgrund der Vielfalt der Themen zwangsläufig die Zahl jener Teilnehmer steigt, die sich auf Urteile anderer verlassen müssen, wenn sie der ihnen zugeordneten Verantwortung gerecht werden wollen.
Der Grad der Verantwortung und der Befugnis von Managern für Entscheidungen, welche die Sicherheit von Informationen, Prozessen und Systemen betreffen, geht tendenziell nicht mit dem Umfang der für sinnvolle Entscheidungen eigentlich notwendigen Kenntnisse einher. Anders ausgedrückt: Die Zeit des Security-Universalgelehrten ist vorbei – kein CIO, CISO oder Berater kann mehr neben der klassischen IT auch noch alle Produktionsnetzprotokolle, IoT-Architekturen, Social-Media-Ansätze, Datenschutzanforderungen und weitere Aspekte der modernen IT und OT vollständig überblicken. Noch weniger ist es möglich, in allen der genannten Bereiche fortwährend mit der Entwicklung der Bedrohungen Schritt zu halten.
Das Wissen darum macht den „Entscheidern“ das Leben schwer: Je unübersichtlicher und widersprüchlicher die Entscheidungs-Grundlagen sind, desto weniger kann beim Manager das Gefühl entstehen, seine Lenkungsaufgabe souverän wahrzunehmen – eine weitere Folge der Komplexität, die ganz nebenbei auch klassisch-hierarchischen Unternehmenskulturen und Managementpraktiken die Basis entzieht. Hier lauern „menschliche Faktoren“ der Informationssicherheit, die zur Abwechslung einmal nur wenig mit den bekannten Awareness-Mängeln zu tun haben.
Abbildung 1: Die einen streben voran, die anderen spannen einen Sicherheits-Fallschirm auf – das Securitymanagement kämpft mit Zielkonflikten und Komplexität.
Kompetenz versus Entscheidungsgewalt
In einer Art Prequel zum vorliegenden Zweiteiler hat das Autorenteam bereits vor einem Jahr in der <kes> vorgeschlagen, mit einem pragmatischen und aus der Welt der politischen und juristischen Entscheidungsfindung entlehnten Trick die Konfliktträchtigkeit heutiger Security-Entscheidungsprozesse zu reduzieren: Die Beteiligten sollten sich die Rollen bewusst machen, die ihre „Mitspieler“ im Security-Drama einnehmen (müssen), diese offen zelebrieren und damit das zwangsläufige Ringen um Berücksichtigung ihrer Interessen von der Gefahr entlasten, ins Persönliche abzugleiten [2].
Wer seine Rolle transparent macht, deckt auf, welchen Grenzen seine Handlungsfreiheit unterliegt – es geht hier also nicht um eine oberflächliche Gamification oder Verniedlichung, sondern um eine Versachlichung des Mit- und Gegeneinanders in Entscheidungsprozessen, wie man es vom Muster des Staatsanwalt-Verteidiger-Richter-Spiels in Gerichtsverhandlungen kennt. Wer einem „Nein“ zu einem Projekt explizit voranstellt, dass er aus einem in seiner Funktion verankerten Grund leider den Spielverderber geben muss, macht sich einerseits als Person weniger angreifbar als bei einer „Ordre du Mufti“, lädt andererseits aber auch dazu ein, über die Spielregeln zu reden und vielleicht einen ganz neuen Weg zum Ziel einzuschlagen.
Interessanterweise lässt sich vom Rollenspielgedanken, der zunächst die konkrete Entscheidungsfindung im Auge hat, auch der eine oder andere Ratschlag für die Ebene der Organisation ableiten. Dieses Thema wird im zweiten Teil dieses Beitrags behandelt, aber ein kleiner Ausblick sei schon erlaubt: Das vorzustellende Modell entschärft potenziell die Unvereinbarkeit der modernen, komplexen Cybersecurity-Praxis mit klassischen Unternehmensführungs-Hierarchien, die selbst dort zwangsläufig weiterbestehen, wo man auf eine kooperative und „flache“ Managementstruktur stolz ist. Manche Unternehmen schaffen beispielsweise bewusst fachliche und disziplinarische Karrieremodelle nebeneinander, die auf formal gleiche Gehalts- und Hierarchiestufen führen: So existiert der anerkannte „Experte“ auf Augenhöhe neben dem „Entscheider“, wobei Letzterer begründen muss, warum er Ersterem im Einzelfall nicht folgt – Ersterer aber auch in der Pflicht steht, sein Wissen für die Führungsriege nutzbringend und verständlich aufzubereiten. Wo ein solches Modell existiert, ist bereits ein hoch entwickeltes Rollendenken im Spiel.
Konservativ versus progressiv
Drei bestimmende Elemente des modernen Cybersicherheits-Managements sind bisher bereits zur Sprache gekommen:
- Für Entscheidungen und Risiko-Beurteilungen muss das Management Urteile unterschiedlicher Fachbereiche heranziehen, die es nicht mehr selbst bis ins Detail überprüfen kann.
- Entscheidungsbefugnis und Fachkompetenz sind in vielen Organisationen nicht deckungsgleich – Hierarchien für fachliche Kompetenz und für Entscheidungen sind nicht synchronisiert.
- Das Management muss Probleme lösen, welche die technisch-prozessuale Ebene nicht bewältigen kann.
Für diese Konstellation existiert ein in den Wissenschaften der Ökonomie und der Management-Lehre etabliertes Lösungsprinzip, auf das der zweite Teil dieses Beitrags eingehen wird. Die Landkarte der Konflikte und Schwierigkeiten des Security-Managements ist damit aber noch längst nicht vollständig gezeichnet.
Zielkonflikte
So liefert die Security den Ausgangspunkt für einen generellen Zielkonflikt, der zwar längst zur „Folklore“ der Community gehört und dort immer wieder diskutiert wird, der aber interessanterweise nur selten als Führungsproblem auf den Tisch kommt: Sicherheit hat ein problematisches Verhältnis zu Innovation und Agilität, weil sie Neuerungen unter Risikogesichtspunkten qua zugewiesener Rolle (siehe oben) ausbremsen kann und manchmal auch muss.
Security und Datenschutz treten allzu häufig und vorhersagbar als Bremser, Spielverderber und Bedenkenträger auf, wenn Digitalisierer, Business-Gurus und Marketing mit (tatsächlich oder auch nur vermeintlich) bahnbrechenden Ideen voranpreschen (vgl. Abb. 1). Progressive Kräfte in Organisationen tendieren zuweilen dazu, innovative Projekte zunächst solang wie möglich ohne die ungeliebten Kritiker und Verhinderer voranzutreiben – mit dem unangenehmen Effekt, dass die befürchteten Bremseffekte die Vorhaben in fortgeschrittenen Stadien treffen (müssen) und möglicherweise erst auftreten, wenn schon offizielle Auditoren im Spiel oder sogar bereits Sicherheits- und Datenschutzvorfälle aufgetreten sind (vgl. [3]).
Aus Gründen, die vielleicht einmal eine gesonderte Analyse verdienen, nehmen innovative Akteure in Unternehmen Einsprüche aus Richtung Cybersicherheit und Datenschutz offenbar stärker als fremd und fragwürdig wahr als jene Hürden, die sich aus ökonomischen Gründen vor ihnen aufbauen. Lehnt ein Controller aus finanziellen Erwägungen ein neues Produkt, ein Verfahren oder die Idee für die Eroberung eines neuen Geschäftsfelds ab, verstehen dessen Urheber dies oft als legitime Herausforderung, an den wirtschaftlichen Stellschrauben weiter zu drehen und die Idee unter neuen Vorzeichen doch noch in die Praxis umzusetzen. Einwände von Security- oder Privacy-Spezialisten werden hingegen – so zumindest die Erfahrung des Autorenteams – eher als unnötig, weltfremd und als Prinzipienreiterei empfunden. Dabei ist es gleichgültig, wie gut die „Innovatoren“ mögliche Effekte von Datenskandalen und Sabotageakten vor Augen haben mögen.
Als weiterer Punkt der Problem-Landkarte ist also festzuhalten:
- Security und Datenschutz sind im Unternehmens-Management nach wie vor Fremdkörper und keineswegs integrale Komponenten von geschäftsorientierten Entscheidungsprozessen. Praktisch kommen sie bei Innovationsprojekten häufig zu spät zum Zuge und werden damit zu lästigen oder wirtschaftlich riskanten Showstoppern.
Kommunikation als entscheidender Faktor
Wie eingangs erwähnt, ist Risikomanagement das Kernelement jedes Cybersicherheitsmanagements. Jeder Umgang mit Bedrohungen und Verwundbarkeiten von Assets – also von Systemen, Informationsbeständen und informationsverarbeitenden Individuen und Teams – setzt demnach voraus, dass ein bestimmter Rolleninhaber in einer Organisation am Ende darüber befindet, ob bestimmte Risiken ausgemerzt, reduziert oder akzeptiert werden sollen. Damit dies in angemessener Weise geschieht, muss allerdings mehr über die jeweilige Lage aus den Fachabteilungen an die Entscheidungsgremien weitergegeben werden als eine intransparent ausgemittelte Risikobewertungszahl.
Was in vielen Unternehmen fehlt, ist „Kontext“ – sowohl bei der Beschreibung von Bedrohungen aus dem Netz als auch bei der Veranschaulichung der eigenen Verwundbarkeit. Dieses Manko beginnt bereits auf einer sehr technischen Basis-Ebene: Configuration-Management- (CMDBs) oder Asset-Datenbanken enthalten in vielen Organisationen nur rudimentäre Informationen über die eingetragenen Systeme, Informationsbestände und Prozesse – im schlimmsten Fall weisen sie lediglich IP-Adressen aus (vgl. [4]). Diese Ausgangslage erschwert schon generell die Illustration der jeweiligen Sicherheitslage für Nicht-Profis, sie wirkt sich aber erst recht in Krisen oder bei Audits aus, da die Beschreibungen dann für den aktuellen Kommunikationsfall erst nachgezogen werden müssen. Zugleich fehlt Securityteams oft auch Personal, das in der Vermittlung schwieriger Sachverhalte an anspruchsvolle, aber fachfremde Zielgruppen geübt ist.
Somit zeigt sich als vorläufig letzter Punkt der Problem-Landkarte
- Defizitäre Kommunikation ist eines der Haupthindernisse beim Management moderner Cyber-Sicherheitsumgebungen mit IT-, (I)IoT- und OT-Anteil.
Teil 2 ergründet in <kes> 2021#3 Lösungsvorschläge aus aktuellen Ansätzen der Management-Lehre.
Bettina Weßelmann ist freie Fachjournalistin, berät Unternehmen bei Kommunikationsthemen im Bereich Cyber-Security und deckt dabei Felder wie Security-Awareness, Social-Engineering und zielgruppengerechtes Security-Marketing ab. Johannes Wiele arbeitet als Manager OT-Security bei einem Hersteller von Flurfördertechnik und war zuvor als IT-Fachjournalist, Berater für Informationssicherheit und Hochschuldozent für Managementlehre und Informationssicherheit aktiv.
Literatur
[1] Johannes Wiele, Am Puls von Kollege Roboter, SecuritySensorik für OT- und (I)IoT-SOCs, <kes>2021#
1, S. 18
[2] Bettina Weßelmann, Johannes Wiele, Commedia della Sicurezza, Rollen und Zwänge in Sicherheitsprojekten, <kes> 2020#2, S. 10
[3] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (5): Überlast durch Trends und Hypes – wenn das Innovationsmanagement fehlt, <kes> 2017#1, S. 14
[4] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (2): Haie fischt man nicht im Trüben, <kes> 2016#4, S. 26