Auch auf Unternehmen übertragbar
CW: Inwiefern ist dieses Modell in die freie Wirtschaft übertragbar?
LÜDERS: Ich habe nie selbst für ein Unternehmen in der freien Wirtschaft gearbeitet. Ich habe aber mit vielen Kollegen von dort zu tun. Unser Modell ist nicht viel anders als das, was wir in der Industrie finden. Der einzige Unterschied zu unserem Modell war lange Zeit, dass es in den Unternehmen eine IT-Abteilung gab, die Kontrolle über die Geräte der Mitarbeiter hatte. Solange das der Fall war, konnte auch das Thema Security zentral verwaltet und organisiert werden, mit allen Konsequenzen.
Mittlerweile hat sich dies durch die "Bring your own Device"-Thematik aber auch in der freien Wirtschaft fast komplett erledigt. Heute stehen die Unternehmen dort, wo wir am CERN schon immer waren. Deshalb ist unser Modell auf jeden Fall in die freie Wirtschaft übertragbar.
Entscheidend ist doch, dass wir den Menschen beibringen, was Computer-Sicherheit bedeutet. Grundlagenwissen vermitteln, idealerweise von klein auf. Auch am CERN arbeiten normale Menschen, die in der Regel kaum eine größere Affinität zum Thema Security besitzen als der Durchschnittsbürger.
Wir erklären unseren Mitarbeitern ja nicht, wie Computer-Sicherheit am CERN funktioniert - wie erklären ihnen, wie sie sich zuhause gegen alle möglichen Gefahren schützen. Was ist Phishing? Warum ist regelmäßiges Patching wichtig? Was passiert mit den Daten, die ich bei Facebook einstelle? Wie kommen Daten abhanden? Was bedeutet ein solcher Datenverlust? Haben die Menschen das erst einmal verstanden, ist es nur noch ein einziger Satz, den Sie ihnen mitgeben müssen: "Jetzt macht Ihr genau das Gleiche für die Computer-Sicherheit nicht nur zuhause, sondern auch am CERN." Damit haben wir den ersten Impuls für ein aktives IT-Security-Bewusstsein gegeben und schon ganz viel gewonnen.
- Vorbereitung des Zertifikats
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern. - Management einbeziehen
Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf. - Belegschaft sensibilisieren
Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben. - Anwendbarkeit und Risikoakzeptanz definieren
Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden. - Realistische Zeitpläne
Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen. - Pragmatische Ziele statt Perfektion
Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis. - Bewährtes einbetten
Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern. - Synergien nutzen
Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.
Die Mitarbeiter, die darüber hinaus aktiv eigene Web-Services oder Datenbanken am CERN betreiben möchten, erhalten dann von uns weitergehende Schulungen, die tiefer in bestimmte Aspekte einsteigen. Diese Kandidaten melden sich dann meist aber schon von selbst bei uns, nachdem wir sie mit den genannten Grundlagen versorgt haben.
Das gesamte Vorgehen gleicht selbstredend einem Marathon, bedenkt man die hohe Fluktuation an Mitarbeitern. Ich möchte nicht behaupten, dass wir alle gleichermaßen mit unseren Trainings erreichen können. Aber wir müssen immer am Ball bleiben.
CW: Herr Lüders, vielen Dank für das Gespräch.