Service & IT-Sicherheit

So geht integratives Management

Eric Schreiber schreibt als Experte zu den Themen Informationssicherheit, sowie Prozess und IT-Service Management. Als Consultant mit mehrjähriger Branchenerfahrungen in IT-Dienstleistung, Sozialwirtschaft, Öffentliche Träger, Fertigungsindustrie und Maritimer Wirtschaft stellt er sich den Herausforderungen unterschiedlichster IT-Organisationen.
Die Ziele von Service- und Information-Security-Management erscheinen zunächst unterschiedlich. Eine zentrale Kontrollinstanz hilft bei der Kooperation beider Bereiche.

Viele Unternehmen sehen IT und IT-Security nicht als ihre Kernkompetenzen an. Sinnvollerweise lagern sie die Prozesse an einen Dienstleister aus, der wissen sollte, wie die IT-Prozesse einzurichten und abzusichern sind und welche Prüfmechanismen etabliert werden müssen. Meist werden hierfür aus den vereinbarten Service Level Agreements (SLA) monatlichen Reports entwickelt. Ihnen kann man unter anderem entnehmen, wie viele Störungen es gab und wie hoch das Ticketvolumen war. Die meisten SLA-Vereinbarungen beziehen sich aber lediglich auf die Verfügbarkeit von Anwendungen. Schwer messbare Ziele hinsichtlich Integrität oder Vertraulichkeit werden noch unzureichend abgebildet. In Teilen wird auf schwammige Ansätze wie "gemäß BSI-Grundschutz" oder nach ISO 27001 und unter Berücksichtigung der „Auftragsdatenverarbeitung nach § 11 BDSG und der technisch organisatorischen Maßnahmen aus § 9 BDSG“ verwiesen, ohne die Rahmenparameter wie den Schutzbedarf der Daten vorzugeben.

Viele Unternehmen sehen IT und Information Security nicht als ihre Kern-Kompetenz an.
Viele Unternehmen sehen IT und Information Security nicht als ihre Kern-Kompetenz an.
Foto: rawpixel.com - shutterstock.com

Zusammenarbeit der Abteilungen sinnvoll

Mittelständische IT-Organisationen, die mehr als nur kurzfristig erfolgreich sein wollen, sollten daher ein Service- und ein Information-Security-Management etablieren. Dabei sollten beide Bereiche trotz ihrer teils unterschiedlichen praktischen Herangehensweisen zusammenarbeiten und Ziele und Ressourcen abgleichen. Prozesse von Information-Security- und Service-Management sollten integrativ gestaltet werden, um die Geschäftsanforderungen mit der Leistungsfähigkeit der IT-Infrastruktur abzugleichen. Gleichermaßen sind klare Verantwortlichkeiten notwendig. Das Service-Team muss über Eskalationswege definierte Übergabepunkte erhalten, zu denen es nicht mehr tätig sein darf, um forensische Maßnahmen nicht zu behindern oder sogar Beweise zu vernichten.

Information Security sichert den Tatort und sucht Spuren

Beispiel Hacking-Angriff. Im Report steht, wann welche Störungen durch den Angriff auftraten, wie hoch das Ticketvolumen hierdurch war und wie die Fehler innerhalb welcher Zeit behoben wurden. Vielleicht wurde hierfür das System vom Netz genommen und vollständig durchgebootet. Oder die verseuchten Rechner wurden neu aufgesetzt, bis schließlich alle Störungen beseitigt sind. Ein Bericht über den Vorfall selber, inklusive der Entstehung und Maßnahmenplan bleiben meist außen vor.

Der Information Security Manager hat aber nicht nur zum Ziel, die Störungen zu beseitigen. Er will die Ursache für die Störung herausfinden. Welche Schwachstellen sind vorhanden und konnten genutzt werden? Was für eine Art von Virus traf das Unternehmen? Ist einer der Anwender vielleicht auf Phishing-Seiten gewesen? Ging eine E-Mail mit verseuchtem Inhalt ein? Wie wurde der Virus verteilt? Wurde eine Spionage-Software zur Industriespionage eingesetzt? Denn erst diese Forensik der Vorfälle versetzt das Unternehmen in die Lage, herauszufinden, wo die eigenen IT-Schwachstellen genau liegen und diese zu beheben. Daher können die Interessen des Service-Managers denen des Information Security Managers sogar zuwider laufen. Während der erste schnellstmöglich die Prozesse wieder bereinigen und in Gang setzen will, verfährt der zweite nach dem Motto "Nicht den Tatort betreten", bis alle Spuren gesichert sind.