Informationssicherheit muss Teil der Unternehmenskultur werden

von Sven Malte Sopha, Jan Graßhoff

IT-Sicherheit ist schon lange kein Randthema mehr, auch geht es um mehr als die „bloße“ Abwehr von Wirtschaftskriminalität. Die Angriffsszenarien werden komplexer. Nicht nur Großkonzerne wie Sony und TV5Monde, sondern auch staatliche Institutionen wie der Bundestag stehen im Visier der Angreifer. Nur die wenigsten Attacken werden öffentlich bekannt. Unternehmen sowie Politik und öffentliche Verwaltung haben die sich ändernde Bedrohungslage erkannt. Neben gesetzlichen Regelungen existieren teilweise auch branchenspezifische Regelungen, um das Thema Sicherheit strukturiert anzugehen und damit das Sicherheitsniveau weiter zu verbessern. Rein technische Mittel reichen zur Abwehr aber nicht mehr aus.

• IT-Sicherheit allein greift zu kurz
• Informationssicherheit für die gesamte Organisation
• Sicherheit ist ein Führungsthema
• Bewusstsein schafft Sicherheit
• Managementsysteme als methodischer Rahmen
• Bewährte Standards und Tools reduzieren die Komplexität
• Informationssicherheit geht alle an

Compliance ist auch in Sachen Informationssicherheit eine wichtige Anforderung geworden. So kann von außen auf Organisationen eingewirkt werden, eigene Daten und die der Kunden besser zu schützen. Werden Vorschriften und Sicherheitsziele nicht eingehalten, können finanzielle Schäden ebenso die Folge sein wie eine Gefährdung der öffentlichen Sicherheit oder eine negative Außenwirkung mit möglicherweise existenzbedrohenden Konsequenzen. So oder so: Für alle Organisationen ist es unerlässlich, nicht nur die Regularien und gesetzlichen Bestimmungen im Bereich Informationssicherheit formal einzuhalten, sondern Sicherheit und Prozesse auch wirklich operativ zu leben.

Sicherheit kann nicht von einer einzelnen Abteilung nebenher bzw. punktuell erledigt werden – tatsächlich ist Informationssicherheit ein Thema für die gesamte Organisation, zu jeder Zeit. Diese Herausforderungen gelten gleichermaßen für Organisationen aller Branchen und aller Größen und umfassen private Unternehmen genauso wie die öffentliche Verwaltung.

IT-Sicherheit allein greift zu kurz

Die Erfahrung aus zahlreichen Projekten zeigt, dass in vielen Unternehmen und Behörden das Thema Sicherheit derzeit noch als bloße IT-Sicherheit verstanden wird. Entsprechend ist mit dem Thema oft nur ein CISO oder IT-Sicherheitsbeauftragter und gegebenenfalls die IT-Abteilung befasst. Sicherheit ist dann – der Rolle und Perspektive der technisch ausgerichteten Abteilung gemäß – auf ihre technische Dimension reduziert. Organisatorische Aspekte und Maßnahmen geraten selten in den Blick. Eine gesamtheitliche Betrachtung des Themas Sicherheit findet in der Regel nicht statt. Ebenfalls ist beobachtbar, dass Beschäftigte oft engagiert an der Steigerung des Sicherheitsniveaus mitwirken. Um dieses Potenzial jedoch vollständig zu nutzen, bedarf es deutlicher Unterstützung aus der Führungsebene, beispielsweise bei der Ressourcenbereitstellung. Nur so werden die Fachbereiche in die Lage versetzt, ihre Sicherheitsaufgaben erfüllen zu können.

Informationssicherheit für die gesamte Organisation

Die steigende Komplexität von Sicherheitsvorfällen zeigt, dass sich durch rein technische Maßnahmen kein geeignetes Sicherheitsniveau erreichen lässt. Echte Sicherheit von Informationen entsteht ausschließlich im Zusammenspiel von Menschen, Prozessen und Technologien. Eine übergreifende Informationssicherheit beschäftigt sich nicht ausschließlich mit der Technik. Aus diesem Grund ist Informationssicherheit nicht allein Sache der IT-Abteilung, sondern eine Aufgabe für die gesamte Organisation, auch aller Fachabteilungen und Beschäftigten. Um die drei Grundwerte der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – zu gewährleisten, bedarf es darum neben technischer Maßnahmen immer auch organisatorischer Rahmenbedingungen.

Sicherheit ist ein Führungsthema

Die Notwendigkeit, festgelegte Sicherheitsniveaus von Daten und Informationen einzuhalten, erzeugt Handlungsdruck auf die Führungsebene. Bekanntwerdende Sicherheitsvorfälle führen direkt zu Reputationsschäden und finanziellen Verlusten. In ganz extremen Fällen kommen auch strafrechtliche Konsequenzen in Betracht. Die Führungsebene ist gefragt, entsprechend zu handeln – nicht reaktiv, sondern proaktiv. Auch weil Sicherheit nicht nur eine technische, sondern auch eine organisatorische Dimension hat, ist es ein Thema, das nur auf der Ebene des Top-Managements strategisch verantwortet werden kann – Informationssicherheit verlangt Führung.

Es ist die Aufgabe der Führungsebene, Sicherheitsbewusstsein vorzuleben, für den notwendigen Rahmen zu sorgen, die entsprechenden Organisationsstrukturen zu schaffen und das Thema Sicherheit in der Organisation zu verankern. Effektive Informationssicherheit entsteht nur, wenn sie die Kultur der Organisation durchdringt, wenn sie gelebt wird – von allen Beschäftigten und allen Fachabteilungen.

Bewusstsein schafft Sicherheit

Transparenz und Motivation sind unerlässlich, damit Informationssicherheit Bestandteil der Kultur einer Organisation wird. Für das Top-Management kommt es darauf an, in der Organisation eine offene Kultur des Austauschs über Sicherheitsfragen zu schaffen und für ein Umfeld zu sorgen, dass die Beschäftigten über alle Abteilungen hinweg motiviert, sich selbst für Sicherheit einzusetzen. Um die Beschäftigten dauerhaft zu sensibilisieren und aktiv einzubinden, können pragmatische Ansätze dienen, wie z.B. der regelmäßige Austausch mit den Fachbereichen (um zu wissen, wo der Schuh drückt) und die Stärkung der Mitarbeiter durch Änderung von Prozessen. Der Sicherheitsbeauftragte kann als Brückenbauer zwischen den unterschiedlichen Interessensgruppen moderieren.

Der Effekt: Informationssicherheit wird ein gemeinsames Ziel und integraler Bestandteil des Handelns. Beschäftigte auf allen Hierarchiestufen werden ganz natürlich den Einfluss ihrer Projekte und Prozesse auf die Informationssicherheit überprüfen, aus eigenem Antrieb Missstände identifizieren und auf deren Behebung drängen. Diese intrinsische Motivation der Beschäftigten adressiert auch noch eine andere Herausforderung: Die fortschreitende Vernetzung und steigende Komplexität machen es für eine Organisation zunehmend schwieriger, das erforderliche Sicherheitsniveau mit einem zentralisierten Ansatz zu erreichen.

Allein durch Vorgaben der Führungsebene, die in den Fachabteilungen unreflektiert umgesetzt werden sollen, ist Informationssicherheit kaum noch zu erzielen. Vielmehr hängt sie immer auch davon ab, wie das Tagesgeschäft organisiert ist. Dabei muss das Subsidiaritätsprinzip gelten: Letztlich haben alle, vom Top-Manager über den Administrator bis zum Pförtner, die Aufgabe, Sicherheit in ihren Bereichen sicherzustellen – Informationssicherheit braucht die Mitwirkung der gesamten Organisation. Darum hat es sich unter anderem bewährt, einen interdisziplinär besetzten Steuerkreis für Informationssicherheit einzurichten. Diesem Steuerkreis kommt eine wichtige Mittlerrolle zu: Das Gremium, dem Vertreter aller Organisationseinheiten bzw. Themenbereiche angehören sollten, kann die unterschiedlichen Bedürfnisse und Interessen aller Abteilungen berücksichtigen.

Managementsysteme als methodischer Rahmen

Organisationen werden es in Zukunft mit immer komplexeren Angriffen auf IT-Systeme zu tun haben. Alle Szenarien im Vorfeld zu durchdenken, ist unmöglich. Ein effektiver Ansatz ist, die Organisation so aufzustellen, dass Regelungen zur Unterstützung von strategischen Zielen definiert sowie Sicherheitsprozesse und Zuständigkeiten etabliert werden. Im Ernstfall steht dann ausschließlich die inhaltliche Arbeit im Fokus, nicht erst die Klärung von Zuständigkeiten.

Es ist Aufgabe der Führungsebene ein effizientes Steuerungssystem aufzubauen. Werden klare Verantwortlichkeiten benannt, ist auch eine zielgerichtete Ressourcensteuerung möglich. Dies adressiert neben den strategischen auch taktische Aspekte, etwa weil die Führung so die Steuerung konkreter Sicherheitsvorfälle gewährleisten kann. Sogenannte Managementsysteme können den notwendigen Rahmen bilden, um Informationssicherheit in der Organisation zu verankern.

Bewährte Standards und Tools reduzieren die Komplexität

Ein international anerkanntes Managementsystem ist der Standard ISO 27001. Dieser definiert, wie ein Information Security Management System (ISMS) aussehen sollte. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) knüpft mit seinem Konzept für den „IT-Grundschutz“ an die internationale ISO 27001 an. Das BSI hat mit dem IT-Grundschutz den Standard für Informationssicherheit geschaffen, dessen Einhaltung für Bundes- und die meisten Landesbehörden eine Compliance-Aufgabe und damit verbindlich ist.

Es hat sich bewährt, bei der Steuerung und Umsetzung von Maßnahmen Tools zur Unterstützung zu nutzen. Dabei sollte auf Bewährtes zurückgegriffen werden. Am Markt vorhandene Tools lassen sich an die eigenen Bedürfnisse anpassen und so auch in komplexeren Umgebungen einsetzen. ISMS-Tools dienen beispielsweise dazu, die Vorgaben des gewählten Standards darzustellen, die Zusammenhänge und Abhängigkeiten zwischen Komponenten zu dokumentieren und für eine übersichtliche Darstellung der Konformität zu sorgen. Eine toolgestützte Umsetzung erleichtert auch die Steuerung des ISMS deutlich, die übergreifende Zusammenarbeit in Organisationen wird ebenfalls vereinfacht.

Informationssicherheit geht alle an

Für alle Organisationen ist es an der Zeit, das Thema Informationssicherheit aus dem technischen Ghetto der IT-Abteilung zu befreien. Informationssicherheit ist ein strategisches Thema für die Führungsebene – und ein Alltagsthema für die gesamte Organisation. Wer die Regularien und Gesetze im Bereich Informationssicherheit einhalten will, braucht dazu das Engagement und die Akzeptanz aller Beschäftigten. Es braucht das Bewusstsein, dass Informationssicherheit eine zentrale Säule der Organisation ist – ein Fundament, das von Führungskräften und Beschäftigten kontinuierlich gestärkt werden muss. Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden!