Plan und Praxis: : Wilde Wege : Durchwurschteln und Nachregeln als Erfolgsprinzip

Beispiel: Autorisierung ausgehebelt

Große Unternehmen gehen beispielsweise vermehrt dazu über, dem Wunsch ihrer Mitarbeiter nach leichten, attraktiven Endgeräten nachzukommen, indem sie ihnen kleine Hybrid-Notebooks mit Windows oder IOS aushändigen, die mit und ohne Tastatur funktionieren. Die Geräte sind „hip“ genug, dass sich auch PR-Strategen eines Weltunternehmens nicht als hoffnungslos rückständig outen, wenn sie ihr Arbeitsgerät am Flughafen oder zu Hause vor den Kindern auspacken. Zugleich scheinen diese Systeme als Clients mit typischen Office-Betriebssystemen bestens in die herkömmliche Verwaltungsstruktur und -technik der Unternehmen zu passen. Sie dürften den Security-Teams sicherheitstechnisch also nicht allzu viele Sorgen bereiten – eine Win-win-Situation? Leider zu kurz gedacht! Ein Beispiel: PCs dieses „Formfaktors“ brauchen häufig Netzwerk-Interfaces, die nicht fest eingebaut sind, sondern außen an USB- oder proprietäre Schnittstellen angeschlossen werden – die MAC-Adressen der jeweiligen Systeme sind dann jedoch an diese externen Module gebunden. Vergisst man also beispielsweise nach einem Meeting eines dieser unscheinbaren „Mauseschwänzchen“ auf dem Tisch und ein anderer Teilnehmer steckt das Kabel ein, dann kann er für einen fast beliebigen Computer die MAC-Adresse des Kollegen nutzen – und schon ist ein eigentlich gutes Management-Konzept zur Steuerung des Informationszugriffs im Unternehmen nachhaltig unterhöhlt

Cloudangebote, immer neue Fernzugriffsvarianten, innovative Webdienste und verteilte Anwendungen mit Mobiltelefon-Frontends haben die IT-Planwelten genauso schnell überrannt wie die mobilen Endgeräte. Letztlich haben die vergangenen 15 Jahre so viele grundlegende Neuerungen in der Netzwerk- und Computerwelt gebracht, dass distanzierte Betrachter durchaus fragen dürfen, wie IT-Fachleute überhaupt noch von planbaren Zukunftswelten in ihrem Bereich sprechen können.

Menetekel Masterplan

Die Innovationsgeschwindigkeit in der IT, der man mit einem professionellen Innovationsmanagement begegnen kann [1], ist dabei nicht einmal der einzige Aspekt, der die Schlagkraft eines bewusst systematischen Umgangs mit Informationssicherheit begrenzt: Die Schere zwischen der Entwicklung von Cyber-Bedrohungen und der langfristigen Budgetplanung komplexer Organisationen macht sich kaum minder störend bemerkbar.

Besonders hart bekommen das derzeit produzierende Unternehmen zu spüren, die auf die zunehmenden Bedrohungen der Herstellungsprozesse durch Angreifer aus dem Internet reagieren müssen. Die schnelle Gangart der Digitalisierung von Produktionsanlagen – oft ohne große Gedanken an die daraus erwachsenden Risiken – und die zunehmenden Angriffe auf Systeme wie Roboter oder ganze Produktionsstraßen führen zusammen mit den immer hartnäckigeren Nachfragen der Partner und Kunden nach sicheren und damit verlässlichen Fertigungsprozessen dazu, dass die zuständigen Abteilungen der Unternehmen schnell für ein höheres Securityniveau im Bereich „Operational Technology“ (OT) sorgen wollen. Die Budgets sind allerdings längst für Monate oder gar Jahre vergeben, und zwar im Sicherheitsbereich meist an die klassische Office-IT.

Man hat also eigentlich gut geplant, reißt aber gerade dadurch jetzt Sicherheitslücken auf! Es wird nicht lange dauern, bis der erste Erpresser ein Millionen-Lösegeld dafür fordert, einen komplexen Fertigungsprozess an einem bestimmten Standort eines Unternehmens nicht an einem Tag X so zu sabotieren, dass die ganze Organisation Schaden nähme und womöglich sogar Menschenleben gefährdet wären.

Beispiel: Budgetierung behindert Verbesserungen

Auch die Problematik, bei bereits verplanten Budgets Gelder zur Abwehr neu auftretender Gefahren loszueisen, ist eine wohlbekannte Situation. Addiert man den Zeitfaktor hinzu, der für die Implementierung besonders hoch entwickelter Sicherheitssysteme zu veranschlagen ist, gerät die Praxis des vorausschauenden Handelns in großen Organisationen oft völlig an ihre Grenzen:

„Wir wollen nächstes Jahr ein Security-Information und -Event-Management-System einführen (SIEM) und ein Security-Operations-Center (SOC) aufbauen. Könnten Sie uns innerhalb der nächsten drei Wochen mitteilen, was das kosten wird?“ – „Nein.“ – „Aber warum denn nicht?“ – „Erst müssen wir festlegen, wie viele externe Berater Sie dazu brauchen und was Sie selbst leisten können. Dann müssen Sie sich über die Bedrohungsszenarien Gedanken machen, die Sie abfangen möchten: die Use-Cases. Daraufhin müssen wir noch prüfen, welche Geräte wir anzapfen müssen, um die erforderlichen Daten zusammenzubekommen, und ob das einfach ist oder Entwicklungsarbeit bedeutet – pro Standort natürlich. Wenn das alles, so in drei oder vier Monaten, feststeht und wir eine halbwegs genaue Vorstellung von den Risiken und Bedrohungen haben, können wir einen Proof of Concept an einem Standort fahren und sehen, wie viele Warnungen das System ausspuckt und ob Ihre Mannschaft das packt oder ob Sie besser einen Managed Service zur Überwachung buchen. Ich kann Ihnen daher höchstens die Kosten für die Anlauf- und Assessment-Phase halbwegs vorausberechnen.“ – „Ja aber … wie soll ich denn dann das Budget dafür beantragen? Das muss ich in drei Wochen erledigt haben, sonst habe ich nächstes Jahr überhaupt nichts frei.“

In der Praxis lassen sich Entscheidungen auch bei systematischer Vorgehensweise und manchmal gerade bei systematischer Vorgehensweise oft nicht annähernd so schnell treffen, wie es die Entscheidungstheorie als möglich annimmt und wie es die Praxis verlangt. Ein Planungsprozess kann außerdem einen anderen ad absurdum führen, wenn er nur hinreichend viele Abhängigkeiten mit sich bringt. Es gibt also viele Momente, die den Wert des Vorausplanens in der Informationssicherheit immer wieder infrage stellen.

Paradigma Planpriorität

Mahnende Stimmen geistern durch die Unternehmen: „Um sicher zu sein, müssen Sie systematisch vorgehen.“ – „Ihre Security-Teams reagieren nur, sie haben kein Gesamtkonzept, da fehlen Assessments und eine gründliche Aufarbeitung!“ – „Diese Tool-Landschaft ist doch bloß gewachsenes Stückwerk. Analysieren Sie bitte erst mal Ihre Anforderungen und bringen Sie das in Ordnung.“ – „Sie wollen ein ISMS, weil Ihre Kunden das fordern? Da müssen Sie aber erst einmal ordentlich Dokumentation nachholen. Machen Sie eine umfassende Bedrohungsanalyse, bevor Sie beginnen.“

Jeder dieser Sätze, die IT-Abteilungen in Unternehmen gewöhnlich von Auditoren oder Beratern zu hören bekommen, klingt erst einmal richtig – und ist das tendenziell auch. Unternehmen, die Informationssicherheit und Datenschutz unsystematisch betreiben, erreichen selten ein brauchbares Sicherheitsniveau und können erst recht nicht nach außen nachweisen, dass sie hinreichend abgesichert sind.

Alles scheint also für ein planvolles Vorgehen in Sachen Sicherheitsmanagement zu sprechen. Wären da nur nicht die vielen Störfaktoren, welche die heile Welt der präventiven Systematik stets aufs Neue infrage stellen. Der vorliegende Beitrag plädiert deshalb dafür, den Faktor „Dynamik“ im modernen Sicherheitsmanagement stärker einzubeziehen und Sicherheit eher kontinuierlich nachregelnd zu gewährleisten als nach perfekten Präventionslösungen zu suchen.

Menschen lieben Konsistenz

Dennoch halten sehr viele Akteure in der Informationssicherheit hartnäckig an ihrem Glauben an den Wert systematischen Vorgehens in ihrem Einflussbereich fest. Ein Grund dafür ist möglicherweise, dass Menschen im Allgemeinen und Techniker im Besonderen ein konsistentes Vorgehen hoch schätzen [2] und „Wurschteleien“, also das kurzfristige Taktieren und Schließen von Kompromissen, als minderwertig betrachten. Diese Tendenz gilt auch für Manager – und sie wird durch die Verbreitung von Management-Systemen und den Zwang zur Nachweisbarkeit risikomindernden Vorgehens in allen Bereichen der Unternehmensführung noch verstärkt.

Besonders wenig Verständnis gibt es für die Forderung, zwei auf den ersten Blick gegenläufige Strategien bewusst zu kombinieren: das langfristige Planen und systematische Handeln einerseits und das kurzfristige Reagieren auf Situationen und „Herumlavieren“ andererseits. Dies gilt speziell für die IT-Welt, die viele dort tätige Spezialisten beharrlich als prinzipiell berechenbar betrachten, obwohl sie gleichzeitig ständig über die Unwägbarkeiten des Computereinsatzes und über das störrische Wesen der Systeme zu berichten wissen.

Auch bei der Planung und Bewertung einzelner, konkreter IT-Security-Projekte versuchen die Akteure zumeist, den Erfolg durch exakte Zielsetzung, Erwartungsmanagement, gute Vorbereitung, Einbeziehung der richtigen Personen, geschicktes Setzen von Meilensteinen und penible Steuerung zu sichern. Zu ebendiesem Vorgehen raten auch die Autoren all jener wohlbekannten Untersuchungen, die beklagen, dass (je nach Studie) lediglich zwischen 20 und 50 Prozent aller IT-Projekte gelingen. Allen Analysen, guten Ratschläge und Anstrengungen der Projektmanager zum Trotz scheint die Erfolgsrate bei IT-Projekten aber dennoch seit Jahrzehnten nicht zu steigen [3].

Regiment der Reaktion

Möglicherweise liegen die Gründe für das Teilversagen planerischen und systematischen Vorgehens in der IT und Informationssicherheit tiefer. An dieser Stelle lohnt sich der Hinweis darauf, dass es durchaus auch Wissenschaftler gibt, die den Wert systematischen, planerischen Vorgehens generell infrage stellen – und zwar nicht aus rein theoretischen Überlegungen heraus, sondern auf der Basis von Beobachtungen in der Wirklichkeit.

Der wohl berühmteste Vertreter dieser Richtung ist Charles Lindblom, der schon 1959 den Aufsatz „The Science of Muddling Through“ veröffentlicht [4] und damit eine bis heute andauernde Diskussion in der Organisationswissenschaft ausgelöst hat. In seiner „Wissenschaft vom Sich-Durchwurschteln“ stellt der Autor die These auf, dass das Primat der Planung in einer sich schnell ändernden, komplexen Umgebung zu Ineffektivität führt – Lindblom hat dazu Ende der Fünfzigerjahre natürlich keine IT-Netzwerke, sondern gesellschaftliche Zusammenhänge betrachtet.

Beispiel: Ständig suboptimale Stadtplanung

Was er meint und was ihn zu seinen Thesen veranlasst, kann man in etwa nachvollziehen, wenn man die fast schon verzweifelten Versuche moderner Verkehrsplaner betrachtet, Straßen und öffentlichen Nahverkehr den wechselnden wirtschaftlichen Gegebenheiten in den Kommunen und den Vorlieben ihrer Bewohner anzupassen: Erst wollen alle die autogerechte Stadt, dann aber steigt der Benzinpreis und das Ökobewusstsein kommt auf. Lange spricht jeder vom Wert der Urbanität, aber dann lässt der Internet-Versandhandel die Läden in den Innenstädten sterben. Mal wollen alle in die City, dann wieder alle aufs Land. Erst sind die Jungen wichtig, dann plötzlich die Alten.

Führt man sich dazu die Planungs- und Umsetzungszeiten vor Augen, die etwa der Auf-, Aus- oder auch Abbau eines Straßen- oder Schienennetzes verlangt, lässt sich nachvollziehen, dass eine planungsfaule und stets nur kurzfristig reagierende Verwaltung zuweilen bürgernäher arbeiten kann als eine, die intensiv und aufwendig in die Zukunft denkt, ihre Entwürfe aber immer wieder veränderten Voraussetzungen anpassen muss. Gilt Ähnliches womöglich auch für das Team eines CISO?

Wissenschaftliche Wurschteltheorie

Lindblom überlegt zunächst, wie ein rein rationaler Problemlösungsprozess theoretisch ablaufen müsste: Die Akteure müssten erst einmal alle Handlungsoptionen, die für ihre Problemlösung infrage kommen, systematisch erfassen. Sie müssten danach alle externen Bedingungen und Einflüsse aufzeichnen, die ihr Projekt potenziell betreffen. Der nächste Schritt wäre, für jede mögliche Handlungsoption alle denkbaren Folgen unter allen denkbaren Umweltbedingungen abzuschätzen. Erst dann könnte ein so vorgehendes Team jede Option unter allen Voraussetzungen im Hinblick auf alle zu erreichenden Ziele und zu vermeidenden Nebenwirkungen evaluieren.

In der Theorie mag das noch machbar erscheinen, aber in der Praxis – so meint Lindblom – ist der Ansatz zum Scheitern verurteilt. Der Grund: Das Verfahren des systematischen Planens muss von Menschen mit begrenztem Zugang zu Informationen (die überdies immer schon falsch oder überholt sein können) und mit ihren limitierten Fähigkeiten und ihrem notorisch geringen Zeitbudget durchlaufen werden. Hinzu kommt, dass sich die Basisparameter (etwa die Bedrohungslage und die zu schützenden Daten und Prozesse in einer komplexen Umwelt) ständig ändern und dass die Basis des Handelns häufig in einer Risikobetrachtung besteht – einer Disziplin also, in der Menschen generell nicht übermäßig gut abschneiden (vgl. [5]).

Auch die komplexen Abhängigkeiten einzelner Faktoren untereinander erschweren ein systematisches Vorgehen – im Beispielfall „Informationssicherheit“ etwa Verfügbarkeit versus Missbrauchsschutz, Datenschutz versus Überwachungspotenzial und so weiter. Hinzu kommt die Tatsache, dass hochkomplexe Verfahren grundsätzlich in einzelne Handlungsschritte aufgeteilt werden müssen, die wiederum das Potenzial beschränken, eine Gesamtsicht auf das Ziel zu erlangen.

Lindblom hat für seine Thesen viel Kritik einstecken müssen – etwa, weil sein Ansatz das langfristige Verfolgen „großer“ Ziele zu erschweren scheint. Außerdem plädierte er mit derartiger Konsequenz fürs Wurschteln und rein inkrementelle Schritt-für-Schritt-Voranschreiten anstelle des Planens, dass er damit viele Projektmanager recht brutal vor den Kopf gestoßen hat.

Darüber hinaus, so werden viele IT-Spezialisten einwenden, beziehen sich Lindbloms Thesen doch auf soziale Verwaltungsvorgänge und zielen somit auf eine Welt, in der sich wandelnde Vorlieben und Einstellungen, Gruppendynamiken, wirtschaftlicher und sozialer Wandel, Moden, Kommunikationsgewohnheiten und andere irrationale Faktoren eine übermäßig große Rolle spielen. Dass all diese Momente durch bürokratisch organisierte Verwaltungsteams in Ämtern nicht schnell ausgewertet werden können, erscheint verständlich, weil sich die unüberschaubare Gemengelage des menschlichen Interagierens grundsätzlich schneller wandelt, als sich die Daten dazu erfassen und die Planungen anpassen lassen.

„Aber in der IT? Die ist doch nach Normen und Kenndaten konstruiert!“ – Schon kommt wieder das Bild des „eigentlich“ deterministischen Systems „Informationstechnik“ auf den Tisch, das sich durch Auswertung der vorhandenen Leistungs- und Sensordaten sowie Netz- und Datenflusspläne doch nach wie vor beherrschen lassen müsste, wenn man es nur professionell anginge …

Dynamik ist inhärent

Genau von diesem Bild müssen IT-Sicherheitsteams jedoch Abschied nehmen! Dieser Schritt ist die wichtigste Voraussetzung dafür, eine angemessene Vorgehensweise fürs Informationssicherheits-Management zu wählen, für die es glücklicherweise Verfahren und Werkzeuge schon gibt. Für den Ausweg aus dem Planungsdebakel ist es notwendig, Prioritäten zu verschieben und Aspekte der Security-Tätigkeit in den Vordergrund zu rücken, die bisher nicht den ihnen zukommenden Stellenwert genießen.

Zunächst ist allerdings noch der Beweis anzutreten, dass Lindbloms Analyse tatsächlich auf die IT-Sphäre anwendbar ist – die Berührungspunkte hierfür sind:

• Komplexe technische und organisatorische Abhängigkeiten und lange Umsetzungsfristen für Infrastrukturprojekte gibt es in der IT zuhauf – hier unterscheidet sie sich nicht vom Arbeitsgebiet der öffentlichen Verwaltung.
• Innovationszyklen bei Hard- und Software sowie IT-Verfahren laufen schon längst schneller ab, als eine klassische Sicherheitsplanung folgen kann.
• Auch in der Informationssicherheit stehen nicht alle Informationen problemlos zur Verfügung, die man für eine lückenlose Planung bräuchte: So sind Securityteams oft nicht in die Ideenfindungsabläufe der Businessabteilungen eingebunden und erfahren von neuen Prozessen zu spät, um sie unter Security-Gesichtspunkten vorab durchleuchten zu können. Und natürlich sind auch hier Menschen mit ihren Limits und knappen Zeitbudgets am Werk, die ein langfristig gewachsenes InfrastrukturKonglomerat und eine ebenso komplexe Ansammlung von miteinander verknüpften Anwendungen nicht immer vollständig überblicken können – eine Situation, die durch die derzeitige Personalknappheit noch verstärkt wird.
• Der vielleicht wichtigste Punkt: Moderne IT-Infrastrukturen stehen sehr wohl unter dem Einfluss sozialen Wandels, flüchtiger Moden, neuer Kommunikationsgewohnheiten und anderer scheinbar „irrationaler“ Faktoren! Das gesamte Szenario der eingangs beschriebenen „Conzumerisation“ ist im Grunde nichts anderes als die prominenteste Erscheinungsform dieses Faktums. Die Präferenz „schicker“ Geräte, der Siegeszug und stetige Wandel sozialer Medien, der Wunsch nach „flotten“ Tools und die Auflösung der festen Arbeitszeiten und -orte schaffen eine Situation, die sich nur wenig von der Gemengelage in der Lebens- und Mobilitätsgestaltung unterscheidet, mit der kommunale Planer kämpfen. Innovation und Wandel sind keine „Störfaktoren“, sondern ein zentrales Merkmal des modernen IT-Betriebs – und das „geht auch nicht wieder weg“.
• Wo es tatsächlich gelingt, den direkten Einfluss der gesellschaftlichen Wandlungen auf IT-Infrastrukturen durch strenge und restriktive Regeln für den IT-Einsatz in einer Organisation zu begrenzen, kommen die Umwälzungen indirekt über Kundenwünsche, Kommunikationsprozesse, Produkte und Managementmethoden ins Spiel. Eine isolierte, rein nach dem Idealbild technischer Exzellenz betriebene IT lässt sich in kaum einer Umgebung mehr realisieren.
• Das Aufkommen einer vielgestaltigen Cyberkriminalität sowie gezielter, ausgefuchster Angriffe auf Organisationen ist lediglich die dunkle Seite desselben Phänomens: Kreativität und Innovation finden sich auch bei denen, die ihren Profi t in der IT auf unehrlichen Wegen suchen.
• Sicherheit ist kein Ziel, dass absolut gesetzt werden kann: Jedes Unternehmen muss für sich beispielsweise individuell bestimmen, welche Balance es zwischen Sicherheit und Flexibilität halten will. Damit unterliegt auch die Informationssicherheit in einer Organisation unterschiedlichen, in gleichem Maße berechtigten und sich wandelnden Einschätzungen und Ansprüchen – und stellt damit wie Politik und Gesellschaft eine Sphäre dar, in der man Probleme nur regeln, nicht aber endgültig lösen kann.

Vor diesem Hintergrund erscheint klar, dass Lindbloms Überlegungen prinzipiell für die moderne IT relevant sind. Ebenso klar ist aber auch, dass die IT- und Informationssicherheits-Teams eben nicht einfach komplett aufs Durchwurschteln umschalten können: Denn die gleiche Gesellschaft, die sie unter stetigen Veränderungsdruck setzt, verlangt von den Organisationen Transparenz und vorausschauende „Compliance“ zu akzeptablen und akzeptierten Umgangsregeln mit wirtschaftlichen und persönlichen Daten. Auf die Frage, wie ein Unternehmen seinen Sicherheitsstatus halten will, kann es daher nicht permanent antworten: „Mal sehen, was kommt.“

SOC als Brückenkopf

Der Ausweg besteht darin, das Unplanbare als solches zu akzeptieren, Puffer für den Umgang damit zu installieren und Methoden den Vorrang einzuräumen, die schnellere Reaktionen auf Unbekanntes und jederzeitige Kurskorrekturen ermöglichen.

Dafür gibt es bereits eine Handhabe: SecurityOperations-Center (SOC). Die müssen allerdings aus ihrem Schattendasein als bloßes „Add-on“ zur „eigentlichen“ – sprich präventiven – Sicherheit erlöst und zum echten Zentrum der Sicherheitsarbeit im Unternehmen befördert werden [4]. Das BSI und andere Institutionen, die Informationssicherheit auch unter dem Aspekt ihrer Relevanz für Politik und Gesellschaft betrachten, drängen zu Recht seit geraumer Zeit darauf, vorrangig Maßnahmen und Technik gegen bereits anlaufende Angriffe zu implementieren und sich endlich einzugestehen, dass eine hundertprozentige Vorbeugung gegen CyberGefahren nicht möglich ist.

Seinen echten Wert entfaltet eine aktiv überwachende und dynamisch regelnde Betriebszentrale für Sicherheit aber nur, wenn sie tatsächlich im Unternehmen weitgehend die Regie über die Securitybelange übernimmt und dabei auch aktiv die Parameter für die meist jährlichen Anpassungen der langfristigen Planung im Plan-DoCheck-Act-Zyklus (PDCA) der InformationssicherheitsManagement-Systeme (ISMS) beisteuert

Dass Security-Information- und -Event-Management (SIEM) und/oder Netzwerk-Verhaltensanalyse sowie die Fokussierung auf Security-Operations die entscheidenden Ankerpunkte für einen Weg aus der Planungsmisere darstellen sollen, mag auf den ersten Blick überraschen. Ein SOC im Mittelpunkt des Sicherheitsmanagements bietet allerdings in der Tat hervorragende Voraussetzungen dafür, pragmatisch einen Paradigmenwechsel auf die Beine zu stellen, der eine echte Verzahnung notwendiger Planungsvorgänge, dynamischer Entwicklungen und schnellstmöglicher Reaktion auf Trends und akute Geschehnisse bewirkt.

Lernen und Handeln aus der Lage heraus

Die Basis dafür ist eine fundamental andere Denkweise, als sie in den meisten Unternehmen bis jetzt praktiziert wird: Statt weiter über „Störfaktoren“ zu klagen, die dem Primat der Vorausplanung am grünen Tisch entgegenstehen, sieht man in diesem Fall die Informationssicherheit als ein in sich hoch dynamisches Arbeitsgebiet an, bei dem sich aus der fortwährenden Beobachtung der jeweils aktuellen Lage einerseits Notwendigkeiten zum direkten Eingreifen ergeben und andererseits Anlässe, Weichen für langfristige Verbesserungen zu stellen.

Im Detail spielt ein SOC dabei folgende Rolle:

• Das SOC ist – wenn es funktioniert – genau derjenige Ort, an dem Unerwartetes zuerst sichtbar wird: Sowohl die dort eingerichteten Werkzeuge als auch die hier tätigen Mitarbeiter sind darauf spezialisiert, auf Gefahren so schnell wie möglich zu reagieren. KI-Implementierungen, die zur Unterstützung der optimalen „Response“ auch auf weltweit verfügbare externe Informationen über Bedrohungen zugreifen, haben bereits einen hohen Reifegrad erreicht und tragen zur Treffsicherheit der SOC-Arbeit bei.
• Mit jedem Vorfall, den das SOC registriert, wird zugleich sichtbar, warum ihn präventive Maßnahmen nicht verhindern konnten: Zusammen mit den Statistiken über die Zu- und Abnahme bestimmter bedrohlicher Situationen oder die Bedeutung der zugrunde liegenden technisch-organisatorischen Ausgangskonstellationen entsteht so ein wertvoller, „nacherzählbarer“ Input für Trendeinschätzungen und Planungen, wobei die Werkzeuge die damit verbundenen Daten oft genug auch noch leidlich brauchbar fürs Management aufbereiten.
• Die Sensorik moderner SIEM-Systeme oder Produkte zur Überwachung des Netzwerkverhaltens überbrücken wenigstens ansatzweise die Probleme einer traditionellen Informationsbeschaffung zu SecurityPlanungszwecken in einer Organisation – selbst für exotischere Umgebungen wie Produktionsanlagen gibt es bereits passende Adapter zur Kommunikationsanalyse und Anomalie-Erkennung. Dies kann ein bedeutender Faktor sein, beim Wettlauf sowohl mit den Angriffsstrategien als auch mit den Nebenwirkungen von BusinessEntscheidungen nicht ins Hintertreffen zu geraten. Anders ausgedrückt: Weil sich in der IT immer noch ein größerer Anteil der notwendigen Informationen für zielgerichtetes Handeln direkt über technische Sensoren abfragen lässt, ist auf diesem Sektor ein weitaus zielsichereres „Wurschteln“ machbar als in der sozialen Lebenswelt.
• Dokumentierte Vorfälle, wie sie ein SOC bereitstellen kann, sind die beste und anschaulichste Grundlage für die Diskussion über Sicherheit im Unternehmen. Sie ermöglichen es außerdem, Annahmen und theoretische Betrachtungen aus klassischen Risiko-Assessments immer wieder anhand aktueller Fakten zu überprüfen. ThreatIntelligence-Feeds lassen gleichzeitig schnell erkennen, ob sich aufgedeckte Trends auch andernorts manifestieren. Regelmäßige Security-Meetings, die sich auf die SOCArbeit stützen und das Business-Management gezielt mit einbeziehen, können Security vor diesem Hintergrund auch für nichttechnische Zielgruppen nachvollziehbar machen, die Einfluss auf die Sicherheit im Unternehmen haben – weit besser als in klassischen Assessment- und Planungs-Meetings. Aktuelle SOC-Daten und vor allem Erfolgsmeldungen über die Abwehr von Angriffen sind spannend und gut geeignet, Verständnis für SecurityProzesse, Richtungsänderungen in der Planung und Budgetwünsche zu wecken.

Fazit

In der beschriebenen Weise lässt sich eine geordnete Interaktion zwischen permanenter Realitätsbeobachtung, inkrementellen Justierungen und Planungsvorgängen in Gang bringen, die der Dynamik der IT-Welt gerecht wird und dennoch auch das Setzen eines längerfristigen Kurses erlaubt. Das bereits erwähnte Innovationsmanagement mit Vorschlagswesen, obligatorischen Sicherheitsbetrachtungen für Neuerungen und Testumgebungen für schwer einzuschätzende Innovationen kann diesen Ansatz weiter unterstützen.

Zusätzlich ist allerdings ein Umschwung in der Praxis der Budgetfreistellung vonnöten: SOCs brauchen nicht nur ein Betriebsbudget, sondern zusätzlich finanzielle Mittel, die für schnelle Maßnahmen im Angriffsfall oder punktuelle Ergänzungen der Security-Infrastruktur stets abrufbar sind. Die Unternehmen müssen außerdem Gelder bereitstellen, die das Abfedern der von ihnen selbst propagierten Innovationsfreundlichkeit ermöglichen – einfach, indem sie zweckgebundene Mittel für Sicherheitsbetrachtungen direkt ans Entwicklungs- und Innovationsbudget binden und somit dazu beitragen, dass der Wunsch nach „Security by Design“ die passende finanzielle Grundlage hat. Das reduziert die Gefahr, dass allzu „agil“ eingeführte neue Technik und Verfahren immer wieder Sicherheitslücken aufreißen, welche die Securityabteilung anschließend mit ihrem eigenen Budget mühsam wieder schließen muss.

Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele (johannes@wiele.com) ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Managing SecurityConsultant.

Literatur

[1] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (5): Überlast durch Trends und Hypes, Wenn das Innovationsmanagement fehlt, 2017# 1, S. 12

[2] Robert B. Cialdini, Die Psychologie des Überzeugens, Ein Lehrbuch für alle, die ihren Mitmenschen und sich selbst auf die Schliche kommen wollen, Huber, 2007, ISBN 978-3-456-84478-7

[3] Franz Pavlik, Scheitern von IT-Projekten, dieprojektmanager.com, http://dieprojektmanager.com/scheiternvon-it-projekten/

[4] Charles E. Lindblom, The Science of MuddlingThrough, Public Administration Review, 19. Jahrgang (1959), S. 79, erhältlich via www.jstor.org/stable/973677

[5] Gerd Gigerenzer, Bauchentscheidungen, Die Intelligenz des Unbewussten und die Macht der Intuition, Goldmann, 2008, ISBN 978-3-442-15503-3

[6] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (1): Das SOC hinter den sieben Bergen, 2016# 3, S. 50