Es gibt unterschiedliche Gründe, die firmeneigene IT-Sicherheitsorganisation auf den Prüfstand zu stellen. Einer der wichtigsten ist die zunehmende Abhängigkeit vieler Unternehmen von einer funktionsfähigen und verlässlichen Kommunikations- und Informationstechnik. Darüber hinaus gilt es, rechtliche Vorgaben sowie eventuelle vertragliche Vereinbarungen mit Geschäftspartnern zu berücksichtigen.
Unzulänglichkeiten in Sachen IT gefährden nicht mehr nur das einzelne Unternehmen - die Wirtschaft als Ganzes kann durch gezielte Angriffe aus dem Ruder geraten. Längst hat der Gesetzgeber auf die zunehmende zwischenbetriebliche Vernetzung reagiert - etwa in Form der Novellierung des Bundesdatenschutzgesetzes (BDSG) sowie von Aktiengesetz (AktG) und Handelsgesetzbuch (HGB) im Rahmen des Gesetzes für Kontrolle und Transparenz in Unternehmen (KonTraG).
Erst der Blick auf die gesamte IT-Landschaft ermöglicht es, Bedrohungen frühzeitig zu erkennen und eventuellen Schaden zu begrenzen. Hierzu muss man das individuelle Risiko, die vorhandenen Sicherheitssysteme und deren Schnittstellen genau kennen. Ein diesbezüglich koordiniertes Vorgehen erfordert die Zusammenarbeit der einzelnen Fachabteilungen. Jedoch nur eine von der Geschäftsleitung klar formulierte Zielvorgabe führt zu einer guten Kooperation und letztendlich zu einer erfolgreichen Sicherheitsorganisation im Unternehmen.
Was zu tun ist
Oft genügt bereits eine bessere Steuerung der internen Ressourcen und eine exakte Abgrenzung der Arbeitsfelder. Die häufigsten Schwachstellen im IT-Sicherheits-Management sind:
- Keine in der Aufbauorganisation verankerte Sicherheitsorganisation,
- kein Risiko-Management, fehlende Notfallpläne (Intrusion Detection),
- keine defensiven organisatorischen Maßnahmen (Vulnerability-Management),
- ein trügerisches Gefühl der Sicherheit aufgrund falscher Maßstäbe und Tools,
- Nachlässigkeiten im Regelbetrieb (etwa mangelndes Patch-Management).
Die häufigsten Folgen sind:
- Störung des Produktions- und Betriebsablaufs bis hin zum Stillstand,
- Verlust von Informationsvorsprung und Wettbewerbsvorteilen,
- Schädigung der Firma, von Vertragspartnern oder Dritten,
- kein kontinuierlicher Optimierungsprozess.
Besteht kein Notfallplan, kommt es häufig zu überstürzten und hektischen Handlungen: Nicht selten verursachen Panikreaktionen einen unnötigen Systemstillstand, der Imageschäden und Wettbewerbsnachteile nach sich ziehen kann. Ohne ausgereifte, in Trockenübungen erprobte Notfallpläne nutzen die besten technischen Schutzsysteme nichts.
Interne oder externe Kontrolle?
Die Etablierung einer Sicherheitsorganisation ist der erste Schritt zum erfolgreichen Sicherheits-Management. Mit ihr steht und fällt das Sicherheitsniveau des gesamten Unternehmens. Eine erfolgreiche IT-Sicherheitsorganisation besteht aus den drei folgenden Elementen:
-Die Sicherheitsverantwortung: Sie liegt entweder beim Vorstand (per Gesetz), oder wird von diesem einschließlich der erforderlichen Kompetenzen an einen "Security-Officer" delegiert.
-Eine zentrale Koordinationsstelle für IT-Sicherheit: Sie fungiert als mit der erforderlichen Fachkompetenz ausgestatteter Dienstleister innerhalb der IT-Organisation.
-Eine interne oder externe Kontrollinstanz: Sie gleicht die bestehenden Sicherheitsvorkehrungen mit dem Soll ab und legt die Ergebnisse dem Vorstand und Security-Officer vor.
Die Bündelung der IT-Sicherheitskoordination an einer zentralen Stelle darf dabei nicht zur Alibifunktion verkommen. Aufgabe dieser Zentralstelle ist es vielmehr, Security als Qualitätsmerkmal der IT-Organisation und -Systeme zu propagieren und zu steuern. Die Verantwortung für die Umsetzung der sicherheitsrelevanten Ziele sollte in jedem Fall bei den Projekt-, System- und Betriebsverantwortlichen verbleiben. Die zentrale Sicherheits-Koordinierungsstelle fungiert idealerweise als Dienstleister innerhalb der IT-Organisation.
Da Sicherheit ein Merkmal ist, das sich lediglich durch "Nichtauftreten" von Schadensfällen beziehungsweise durch effizientes und zielgerichtetes Handeln im Krisenfall identifizieren lässt, ist der Aufbau eines Kontroll- und Berichtssystems (an Vorstand und SecurityOfficer) dringend erforderlich.
Im Laufe der Jahre haben sich Security-Standards etabliert, die sich mit der Gestaltung einer IT-Sicherheitsorganisation beschäftigen. Das Sicherheits-Management eines Unternehmens kann sogar mit einem Gütesiegel versehen werden. Innerhalb Deutschlands nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierungen eines IT-Verbunds nach dem Grundschutzhandbuch (GSHB) vor - wobei es sich bei einem IT-Verbund um eine einzelne Anwendung oder um die komplette IT einer Firma handeln kann. Ein in Europa agierendes Unternehmen wird jedoch eher eine Zertifizierung nach dem ISO-Standard 17799 anstreben.
Zertifizierungsprozess als Orientierung
Im Gegensatz zum GSHB befasst sich der ISO/IEC-17799-Standard hauptsächlich mit dem Aufbau eines IT-Sicherheits-Managements und seiner Verankerung in der Organisation. Anders als im IT-Grundschutzhandbuch finden sich hier keine detaillierten Umsetzungshinweise, sondern übergreifende Anforderungen. Nicht jedes Unternehmen wird gleich den aufwändigen Zertifizierungsprozess durchlaufen wollen. Es lohnt sich aber, sich an den Vorgaben dieser Gremien zu orientieren - erstens, um das Rad nicht neu zu erfinden, und zweitens, um den Aufwand im Falle eines späteren Zertifizierungswunsches gering zu halten. (kf)
*Andrea Schäffter ist Consultant bei der Secaron AG in Hallbergmoos.
Angeklickt
Ist das Bewusstsein für die IT-Sicherheit im Unternehmen erst einmal geweckt und die Teilnahme aller Mitarbeiter von oberster Stelle eingefordert, kann auch eine kleine Organisationseinheit für die IT-Sicherheit innerhalb kurzer Zeit einen dem Firmengeschäftsmodell angemessenen Security-Standard etablieren und aufrechterhalten. Optimale Gestaltung und Schnittstellen-Definition hängen stark von der Größe des Betriebs und der dort gelebten Kultur ab.
IT-Sicherheitsstandards
CoBiT
Control Objectives for Information and related Technology
IT Governance Institute:
www.isaca.org/cobit.htm
BS7799
Information Security Management
British Standard Institution:
www.bsi-global.com
ISO 17799
Entspricht Teil 1 des BS7799
IT-GSHB
Grundschutzhandbuch für den mittleren Schutzbedarf
Bundesamt für Sicherheit in der Informationstechnik:
www.bsi.de/gshb
Das Grundschutzzertifikat bestätigt auch die Erfüllung von ISO 17799.