Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Artikel kostenlos lesen

Tief verwurzelt (1) : Informationssicherheit ganzheitlich ins Unternehmen integrieren

Informationssicherheit ist in vielen Unternehmen historisch gewachsen und reagiert oft erst nach Fertigstellung der Infrastruktur auf Bedrohungen, anstatt Risiken und Maßnahmen schon in Planungsphasen zu thematisieren. Durch eine ganzheitliche Integration wird Informationssicherheit vorausschauender und effizienter, wodurch ihre Vorteile stärker zur Geltung kommen.

Stefan BeißelAllgemein
Lesezeit 13 Min.

Informationssicherheit ist zwar mittlerweile überall ein Thema – allerdings ist sie in vielen Unternehmen ein historisch gewachsenes Konstrukt, das eher darauf ausgerichtet ist, auf Bedrohungen zu reagieren, statt Sicherheit aktiv ins Unternehmen zu integrieren. Dann läuft sie neuen Entwicklungen und Veränderungen hinterher und versucht vorrangig, Lücken zu stopfen und Angriffe abzuwehren. In der Regel ist dieses Vorgehen jedoch wenig effizient: Der Wert der Informationssicherheit ist für viele Unternehmen schwer greifbar, sodass Ressourcen knappgehalten und nur hochpriorisierte Aktivitäten durchgeführt werden.

Dieser Zustand hängt mit einer fehlenden Integration ins Unternehmen zusammen: Die Verankerung in der Governance fehlt, Ziele werden nicht mit dem Business in Einklang gebracht, Prozesse vernachlässigen Sicherheitsaspekte, die organisatorische Einbettung wurde nicht durchdacht und wegen des häufig unklaren Nutzens mangelt es an finanzieller Unterstützung.

Integrierte Informationssicherheit

Mit einer integrierten Informationssicherheit sind viele Vorteile verbunden, die sich positiv auf unterschiedliche Bereiche des Unternehmens auswirken. Erst durch eine Integration von Sicherheitsvorgaben und -zielen ins Business werden diese Vorteile wirksam – und zwar bei der strategischen Ausrichtung des Unternehmens, beim Risikomanagement, beim Ressourcenmanagement, bei der Leistungsmessung und der Wertgenerierung (vgl. [1]):

  • Die Informationssicherheit so zu gestalten, dass sie optimal zur strategischen Ausrichtung des Unternehmens passt, ist oft schwierig. Das Problem liegt hauptsächlich darin begründet, dass das Business die Informationssicherheit nicht hinreichend versteht oder durchschaut – Kosten-Nutzen-Betrachtungen werden nicht mit dem Business zusammen ausgearbeitet, die Auswirkungen von Sicherheitsvorfällen und sicherheitsrelevante Regeln und Rahmenbedingungen sind dem Business nicht bekannt oder werden nicht hinterfragt. Am schwerwiegendsten ist dabei, dass die Vorteile, die man durch eine integrierte Informationssicherheit generieren kann (z. B. ein störungsfreier Geschäftsbetrieb), nicht transparent sind. Erst durch die Integration auf strategischer Ebene wird die Grundlage für Zieldefinitionen geschaffen, die den Nutzen der Informationssicherheit durchschaubar machen – und damit ein Alignment zwischen Informationssicherheit und Business unterstützen.
  • Das Risikomanagement liefert Daseinsberechtigung und Argumentationsgrundlage für jegliche Sicherheitsmaßnahmen im Unternehmen. Die unternehmenseigenen Vermögenswerte sind von vielen Bedrohungen betroffen, die mithilfe von Sicherheitsmaßnahmen bewältigt werden können. Allerdings stellt nicht jede Bedrohung eine reelle Gefahr für das Unternehmen dar – und selbst wenn, können Eintrittswahrscheinlichkeit oder Schadenshöhe so gering sein, dass es mehr Sinn macht, das resultierende Risiko einfach zu akzeptieren. Außerdem existieren mitunter geschäftskritische Risiken, deren Vorhandensein oder Bedeutung für das Unternehmen überhaupt nicht realisiert werden. Eine unternehmensweite Integration der Informationssicherheit verhilft zu einem ganzheitlichen und realitätsgetreuen Risikomanagement. Den Eigentümern der Vermögenswerte, welche die vorhandenen Risiken am besten identifizieren und beurteilen können, fehlt häufig das Hintergrundwissen zur Informationssicherheit. Dieses Wissen kann durch die Integration bereitgestellt werden, zum Beispiel mittels Schulungen oder gezielten Beratungsleistungen.
  • Das Ressourcenmanagement in der Informationssicherheit sollte darauf ausgerichtet sein, die Sicherheitsexperten und -systeme sowie weitere Ressourcen effektiv und effizient einzusetzen. Die Informationssicherheit soll Vertraulichkeit, Integrität und Verfügbarkeit schützen sowie die Leistungsfähigkeit von Personen und Systemen so wenig wie möglich beeinträchtigen. Je besser die Ressourcen zur Verringerung von Ausfällen, Defekten und anderen Problemen eingesetzt werden, desto effizienter sind sie. Dies ist in der Praxis herausfordernd, da der Informationssicherheit teilweise wenig bekannt ist, welche Personen und Systeme am wichtigsten für die wertschöpfenden Geschäftsprozesse sind – außerdem wird vom Business oft nicht vollständig verstanden, wie die Informationssicherheit diese Prozesse schützen kann. Hier ist eine beidseitige Integration erforderlich, um ein gemeinsames Verständnis zu schaffen und die Ressourcen im Hinblick auf den bestehenden Schutzbedarf gezielt einsetzen zu können.
  • Mit der Leistungsmessung lässt sich sicherstellen, dass die festgelegten Ziele auch tatsächlich erreicht werden. Sie benötigt geeignete Metriken und hinreichend umfangreiche Daten, um aussagekräftige Schlussfolgerungen hinsichtlich der Zielerreichung zu ermöglichen. Darunter fallen etwa die Anzahl von Sicherheitsvorfällen, Reaktionszeiten auf Angriffe oder das Verhalten bei Virenmeldungen oder Phishing-E-Mails. Eine Integration der Informationssicherheit ins Business ist auch bei der Gestaltung der Leistungsmessung von Vorteil: Bei Datenerhebung, Festlegung von Metriken und Ableitung von Schlussfolgerungen sind Kenntnisse rund um das Business wichtig, um die Qualität der Leistungsmessung zu erhöhen. Betrachtet man beispielsweise das Mitarbeiter-Verhalten in sensitiven und anderen Bereichen zusammen, werden einzelne Bereiche in Bezug auf das jeweilige Sicherheitsniveau über- oder unterbewertet. In stark ausgelasteten Bereichen wird eine Datenerhebung aufgrund des Zusatzaufwands möglicherweise erschwert. Die Daten aus anderen Bereichen sollten dann nicht einfach auf diesen Bereich projiziert werden, ohne ihn genauer zu analysieren. Unter Berücksichtigung von geschäftsspezifischen Hintergründen kann eine zielgruppengerechtere und aussagekräftigere Leistungsmessung erfolgen.
  • Eine Wertgenerierung durch die Informationssicherheit ist nicht zuletzt deshalb erwünscht, weil alle Aktivitäten und Maßnahmen zur Erhöhung der Sicherheit mehr oder weniger hohe Investitionen erfordern. Damit nicht nur Kosten, sondern auch ein finanziell bewertbarer Nutzen entsteht, sollte das Business von den Sicherheitsaktivitäten und -Maßnahmen profitieren. Unter anderem sollten geschäftliche Transaktionen besser vor Manipulationen geschützt werden, sodass weniger Arbeit im Business anfällt, um die Integrität zu prüfen und wiederherzustellen – Störungen und Ausfälle sollen minimiert und die Auswirkungen von Sicherheitsvorfällen reduziert werden. Auf diese Weise lassen sich messbare finanzielle Vorteile im Business schaffen – Business-Ressourcen können dann stärker auf die Wertgenerierung konzentriert werden, da sie seltener durch Problembehebungen und Nacharbeiten belastet sind.

Das Fehlen einer angemessenen Integration blockiert oder schwächt die beschriebenen Vorteile: Die strategische Ausrichtung des Unternehmens würde erfolgen, ohne dass sicherheitsrelevante Risiken und Beschränkungen berücksichtigt werden. Bei getrennten Zielen von Business und Informationssicherheit würden die beiden Bereiche weitgehend unabhängig voneinander agieren – erst wenn Sicherheitsprobleme oder -bedenken auftreten, würde man die Informationssicherheit integrieren, was zu ineffizienten Nacharbeiten und suboptimalen Lösungen führt. Das Risikomanagement wäre, sofern es überhaupt durchgängig umgesetzt worden ist, von Verständnisproblemen und heterogenen Sichtweise geprägt – eine sinnvolle Ableitung von geeigneten Gegenmaßnahmen wäre nur schwer möglich.

Ohne eine Integration könnte das Ressourcenmanagement die Erwartungen an Effektivität und Effizienz nicht erfüllen: Die fehlende Zusammenführung von Vermögenswerten und Geschäftsprozessen mit Risiken und Bedrohungen würde die Festlegung und Berücksichtigung von Schutzbedarfen verhindern – individuelle Merkmale, die zur Wertschöpfung eines Unternehmens beitragen, könnten bei der Ausgestaltung der Sicherheit nicht einfließen. Die Leistungsmessung wäre ohne die wechselseitige Integration von Informationssicherheit und Business in ihrer Aussagekraft beeinträchtigt, da Datenerhebung und -interpretation weder auf die unterschiedlichen Zielgruppen noch auf die Business-Ziele abgestimmt worden wären. Ein zusätzlicher Beitrag zur Wertschöpfung durch die Informationssicherheit wäre nur schwer möglich, wenn aufgrund fehlender Integration nicht transparent wäre, wie businessrelevante Systeme und Prozesse sinnvoll zu schützen sind.

Im Allgemeinen kann man das Potenzial der Informationssicherheit nur umfassend nutzen, wenn sie hinreichend gut ins Unternehmen integriert wird und dadurch eine Verknüpfung mit dem Business entsteht.

Integrationsebenen und -ansätze

Um die beschriebenen Vorteile einer integrierten Informationssicherheit nutzbar zu machen, muss die Integration ganzheitlich, auf mehreren Ebenen im Unternehmen erfolgen. Die Ebenen Governance, Ziele, Prozesse, Organisation und Finanzen ermöglichen der Informationssicherheit, das Unternehmen und seine Wertschöpfung aus unterschiedlichen Perspektiven zu adressieren. Der grundlegende Gedanke besteht darin, auf diesen Ebenen ein Alignment zwischen Informationssicherheit und Business zu erreichen und damit die wechselseitige Integration zu fördern.

Governance

Die Informationssicherheit sollte stets in der Governance verankert sein. Damit im Unternehmen ein angemessenes Sicherheitsniveau erreicht werden kann, ist nämlich eine entsprechende Steuerung und Regelung des Geschäftsbetriebs notwendig.

Die Governance kann von bestimmten Gesetzen oder anderen Regularien stark beeinflusst werden. Das Risikomanagement unterstützt die Festlegung von Prioritäten für die Umsetzung von Regelungen, welche die Governance fordert: Zum einen wird eine RessourcenPriorisierung innerhalb der Informationssicherheit, zum anderen eine Priorisierung von Sicherheitszielen gegenüber anderen unternehmensrelevanten Zielen ermöglicht. Damit wird ein wirtschaftlicher Umgang mit den meist knappen Ressourcen eines Unternehmens gefördert.

Die Informationssicherheit sollte vor allem in den grundlegenden Entscheidungsbereichen der ITGovernance (vgl. [2]), also des IT-bezogenen Bereichs der Governance, eine Rolle spielen::

  • IT-Prinzipien sind abstrakte Aussagen darüber, wie die IT im Geschäftsumfeld etabliert werden soll. Auch Informationssicherheit kann als ein Prinzip verstanden werden; sie ist dann ein Verhaltensgrundsatz, der zur Verbesserung der Sicherheit im Unternehmen verhelfen soll. Es geht im Allgemeinen darum, dass sich die Stakeholder eines Unternehmens bei allen betrieblichen Aktionen an bestimmte, abstrakt definierte sicherheitsrelevante Regeln halten sollen. Beispiele, wie solche Prinzipien formuliert werden können, sind: Überlegungen zur Informationssicherheit sollen integraler Bestandteil jeder Geschäftsentscheidung sein. – Risiken rund um die Speicherung, Übertragung und Verarbeitung von Informationen im Unternehmen sollen angemessen beurteilt werden. – Das Unternehmen soll die Ausbildung von Mitarbeitern ermöglichen, die für ein angemessenes Sicherheitsniveau erforderlich ist. – Bekannt gewordene Sicherheitsvorfälle sollen stets mit der notwendigen Sorgfalt und zeitgerecht behandelt werden.
  • Die IT-Architektur wird durch die IT-Governance mit einer Sammlung von Regeln und Richtlinien für den Umgang mit der IT gesteuert, die Vorgaben für die Art und Weise der Aufgabenerfüllung enthalten. Regeln und Richtlinien umfassen üblicherweise viele sicherheitsrelevante Vorgaben: Oft beschreiben sie detailliert, in welcher Art und Weise ein angemessenes Sicherheitsniveau im Unternehmen gewährleistet werden soll. Dazu gehört zum Beispiel die Regel, dass jeder Mitarbeiter bei der Einstellung und mindestens einmal jährlich an einer Awareness-Schulung teilnehmen soll. Außerdem kann gefordert werden, dass die Effektivität von Sicherheitsmaßnahmen mithilfe aussagekräftiger Kennzahlen zu beurteilen ist. Grundsätzlich sollten auch relevante Compliance-Vorgaben in diesen Regeln und Richtlinien aufgehen.
  • Die IT-Infrastruktur-Strategien bestimmen die Leistungsfähigkeit der IT oder in Bezug auf Informationssicherheit die Leistungsfähigkeit der Sicherheitsmaßnahmen. Wesentliche Teile sind Bereitstellung und Zweckbestimmung von Ressourcen als wichtiger Erfolgsfaktor der Informationssicherheit. Die Bereitstellung im materieller (z. B. Arbeitszeit) und materieller Ressourcen (z. B. IT-Systeme) hat einen starken Effekt darauf, wie Sicherheitsmaßnahmen gestaltet werden können und wie sie das Sicherheitsniveau im Unternehmen verbessern. IT-Infrastruktur-Strategien können unter anderem beeinflussen, ob Sicherheitsmaßnahmen eher mit physischen, technischen oder organisatorischen Mitteln umzusetzen sind.
  • Der IT-Applikationsbedarf spezifiziert, welche Softwareanwendungen man zur geschäftlichen Aufgabenerfüllung grundsätzlich benötigt und was entweder intern entwickelt oder extern beschafft werden muss. In Bezug auf die Informationssicherheit handelt es sich dabei in der Regel um Anwendungen, welche die Sicherheit im Unternehmen unterstützen beziehungsweise ermöglichen sollen. Dazu zählen zum Beispiel Antiviren-, Verschlüsselungs- und Analysesoftware; außerdem sind auch Anwendungen zur Vorbereitung von Sicherheitsmaßnahmen notwendig, etwa Officeprogramme zur Erstellung von Richtlinien oder Berichten.
  • Der Bereich IT-Investition und -Priorisierung umfasst Entscheidungen darüber, wie viel und worin investiert werden soll. Unter anderem sind hierbei Projektanträge zu beurteilen und Auswahlentscheidungen zu treffen. Ohne Investitionen stehen keine Ressourcen zur Verfügung und ohne Ressourcen kann keine Sicherheitsmaßnahme umgesetzt oder betrieben werden – Investitionen sind daher essenziell, um das Sicherheitsniveau im Unternehmen anzuheben. Investitionen werden jedoch immer auch aus der wirtschaftlichen Perspektive betrachtet: Man sollte stets überlegen, ob die Kosten einer Sicherheitsmaßnahme geringer ausfallen als die zu erwartenden Kosten eines Sicherheitsvorfalls, gegen den die Maßnahme schützt. Um Investitionsentscheidungen zu erleichtern und die Objektivität beim Vergleich von Alternativen zu erhöhen, sollten Entscheidungsvorlagen erstellt werden, die auf etablierten Techniken, wie der Nutzwertanalyse, basieren. In der Praxis ist ein Unternehmen oft mit einer Vielzahl sinnvoller Investitionen konfrontiert, die in der Regel aufgrund der begrenzten verfügbaren Mittel priorisiert werden müssen. Investitionen werden meist sequenziell getätigt, was zu einer Wartezeit für einzelne Projekte führen kann. Eine gute Priorisierung berücksichtigt alle relevanten Faktoren, wie Risiken, Liquidität und wirtschaftliche Kennzahlen.

Ziele

Ziele regen die Mitarbeiter eines Unternehmens dazu an, auf einen bestimmten angestrebten Zustand hinzuarbeiten. Sie sorgen für eine Konkretisierung des abstrakten und allgemein gehaltenen Vorgehens, welches das Unternehmen als Strategie festgelegt hat. Die Informationssicherheit ist oft Bestandteil oder sogar wesentliches Hilfsmittel der Zielerreichung. Zu den Zielen, die primär auf der Informationssicherheit fundieren, gehören unter anderem:

  • Die Risikoreduzierung besitzt aus Sicht der Wirtschaftlichkeit einen hohen Stellenwert: Beim Eintritt von Risiken können gravierende finanzielle Schäden entstehen. Unter anderem können die Verfügbarkeit und Integrität von Systemen und Informationen beeinträchtigt sein, sodass wichtige Geschäftsprozesse verzögert oder sogar blockiert werden – was erhebliche Umsatzeinbußen zur Folge haben kann. Oder im Falle der Kompromittierung vertraulicher Informationen können zum Beispiel geheime Geschäftsstrategien von Konkurrenten eingesehen oder die Reputation gegenüber Kunden und Geschäftspartnern beschädigt werden. Die Informationssicherheit verhilft mit passenden Sicherheitsmaßnahmen zur Reduzierung von Risiken auf ein akzeptables Niveau.
  • Die Verbesserung der Reputation ist ein Teil der Risikoreduzierung, allerdings liegt hier der Fokus auf den Kunden und dem damit verbundenen Geschäft. Reputation kann zum Beispiel für das Marketing wichtig sein, wenn neue Kunden gewonnen werden sollen oder der Markenwert von Produkten im Mittelpunkt steht. Für die Reputation kann nicht nur die Vermeidung von negativer Presse im Fall von Sicherheitsvorfällen, sondern auch positive sicherheitsbezogene Werbung (z. B. mit einem Zertifikat) vorteilhaft sein. Sicherheit kann ein Qualitätsmerkmal für die Produkte des Unternehmens darstellen.
  • Die Erfüllung von Regularien setzt unter anderem voraus, dass Vorgaben zum Thema Informationssicherheit erfüllt werden. Entsprechende Vorgaben beziehen sich zum Beispiel auf die Sicherheit von Netzwerken und IT-Systemen sowie auf den sicheren Umgang mit vertraulichen Daten. In der Praxis sind unter anderem die EU-Datenschutzgrundverordnung (DSGVO) in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) sowie der PCI-Datensicherheitsstandard sehr häufig einschlägig.

Durch ein Alignment der Informationssicherheit am Business sollten Sicherheitsziele so formuliert werden, dass sie nicht in Konflikt mit den Kernprozessen des Unternehmens stehen – optimalerweise unterstützen sie diese Prozesse sogar. Die Informationssicherheit erhält Impulse aus der geschäftlichen Welt und passt sich daran an; sie fokussiert sich auf die Bedürfnisse von internen und externen Kunden sowie der Gesamtorganisation. Dazu gehören zum Beispiel die Ausrichtung des Risikomanagements am Geschäftsbedarf, eine möglichst reputationsfördernde Informationssicherheit sowie die Selektion von Standards und Best Practices, die zum Geschäft und den Strategien des Unternehmens passen.

Aber auch andere Ziele des Unternehmens sollte man in angemessener Weise mit der Informationssicherheit verknüpfen: Wenn sich ein Unternehmen zum Beispiel auf Softwareentwicklung spezialisiert hat, sollten sicherheitsrelevante Ziele in den Entwicklungszyklus integriert sein (z. B. die Behebung erkannter Schwachstellen). Wenn ein Unternehmen mit leistungsbezogenen Vergütungsbestandteilen arbeitet, sollten die verwendeten Zielformulierungen, soweit sinnvoll, sicherheitsrelevante Inhalte besitzen: Entweder werden dabei separate Sicherheitsziele ergänzt (z. B. die Durchführung eines Schwachstellenscans) oder sicherheitsrelevante Merkmale in die ursprüngliche Zielformulierung integriert (z. B. bei der Entwicklung einer sicheren Datenschnittstelle). Eine Vernachlässigung von Sicherheit würde dann zu Konsequenzen in der leistungsbezogenen Vergütung führen.

Grundsätzlich sind Zielkonflikte zu vermeiden. Durch Sicherheitsmaßnahmen können jedoch unerwünschte Nebeneffekte auftreten, die das Erreichen einzelner Sicherheits- oder Geschäftsziele erschweren. Eine Maßnahme, die sich auf die Vertraulichkeit bezieht, könnte etwa die Verfügbarkeit beeinträchtigen: Werden beispielsweise Daten verschlüsselt, reduziert dies das Risiko einer unberechtigten Einsichtnahme, erhöht aber das Risiko einer Unverfügbarkeit für Berechtigte. Denn eine fehlerhafte Schlüsselverwaltung könnte ja verhindern, dass man die Daten wieder entschlüsseln kann, weil der digitale Schlüssel nicht mehr vorhanden ist.

Mindestens ebenso problematisch ist der Konflikt mit Geschäftszielen: Sicherheitsmaßnahmen, welche die Durchlaufzeit kritischer Geschäftsprozesse merklich verlängern oder sogar blockieren, sind nicht nur wirtschaftlich problematisch, sondern auch aus der Sicherheitsperspektive heikel, da sie von Nutzern oft nicht akzeptiert und nicht selten umgangen werden. Im Rahmen eines Alignments lassen sich Sicherheitsmaßnahmen identifizieren, die besser zum Unternehmen passen – zum Beispiel eine automatische Verschlüsselung von E-Mails am Gateway statt einer manuellen Verschlüsselung beim Versand.

Um eine spezifische Zielformulierung und nachvollziehbare Messung der Zielerreichung zu unterstützen, sollten geeignete Metriken definiert und hinreichende Daten erhoben werden. Das gilt sowohl für Sicherheitsziele als auch für Business-Ziele mit sicherheitsbezogenen Inhalten.

Der zweite Teil dieses Beitrags befasst sich in der nächsten mit den Integrationsebenen „Prozesse“, „Organisation“ und „Finanzen“.

Dr. Stefan Beißel (CISM, CISA, CISSP, PMP) ist freier Autor und besitzt langjährige Berufserfahrung in IT-Sicherheit und IT-Audit bei international tätigen Unternehmen (Stefan.Beissel@ages.de ) – er hat zudem in Master- und Bachelorstudiengängen verschiedene Fächer der Wirtschaftsinformatik gelehrt.

Literatur

[1] IT Governance Institute, Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006, ISBN 978-1-933284-29- 3, online auf www.isaca.org/Knowledge-Center/Research/Documents/Information-Security-Govenance-for-Boardof-Directors-and-Executive-Management_res_Eng_0510.Pdf

[2] Peter D. Weill, Don’t Just Lead, Govern: How TopPerforming Firms Govern IT, in: MIS Quarterly Executive, Vol. 3, No. 1, März 2004, S. 1, online auf https://pdfs.semanticscholar.org/6a43/58e40b8f1f9bcb7f20d272a07e fdecbb8ec2.pdf

Diesen Beitrag teilen: