Die gute Nachricht vorweg: Sie können tatsächlich alle schützenswerten Daten in Ihrem Unternehmen schützen. Die schlechte Nachricht gleich hinterher: Es gibt viel zu tun. Ein Überblick.
Sascha Maier, Head of IT & Cyber Resilience, IWC Schaffhausen
Was genau muss man tun, damit möglichst keine Datenlecks entstehen oder Kriminelle das geistige Tafelsilber einer Organisation einfach raustragen? Wo fängt man an, welche Fragen müssen sich die Verantwortlichen stellen? Und wie geht es weiter, wenn mögliche Schwachstellen und Risiken erst einmal erkannt sind?
Die einheitliche Antwort auf all diese Fragen lautet: CISM (ISACA Certified Information Security Manager). Hinter dem sperrigen Begriff steht eine weltweit anerkannte Zertifizierung für Fachleute, die sich Informationssicherheit in Unternehmen befassen. Während der Zertifizierung lernen Sie alles Notwendige, um ganzheitliche und vor allem nachhaltige Informationssicherheit zu gewährleisten.
Den Wald vor lauter Bäumen übersehen
Am Anfang jedes Sicherheitsprojekts steht eine gründliche Bestandsaufnahme. Denn ohne eine solche gilt: „Ich weiss nicht, was ich nicht weiss.“ Blinde Flecken sind jedoch ein Garant dafür, dass jedes Sicherheitskonzept in sich zusammenfällt wie ein Kartenhaus. Von daher gilt: Sie können nur schützen, was Sie auch kennen.
Womit wir schon bei einem der ersten grossen Stolpersteine wären. Denn viele Praktiker denken beim Thema „Bestandsaufnahme“ an Server, PCs, Smartphones. Vielleicht noch an Cloud-Anbieter. Die jeweiligen Speicherorte sind aber zweitrangig. Denn es geht nicht um IT-Sicherheit. Sondern um Informationssicherheit.
Wer die schützenswerten Informationen kennen will, darf sich nicht ausschliesslich auf Technik fokussieren. Vielmehr müssen Sie zum Schutz von Informationen verstehen, wie die Fachabteilungen – also das vielzitierte „Business“ – eigentlich das Geld verdienen: Mit welchen Tools arbeitet das Marketing (lies: wo liegen schützenswerte personenbezogene Daten)? Wie verwaltet die Entwicklungsabteilung ihre Datenbestände (lies: wie ist das geistige Eigentum abgesichert)? Welche externen Partner haben Zugriff auf welche Datensätze und Geräte (lies: wie gut ist unsere Rechteverwaltung)?
Ebenfalls nur im Zusammenspiel mit den Fachabteilungen umsetzbar ist eine Datenklassifizierung. Also ein Einstufen sämtlicher Datensätze anhand ihrer Vertraulichkeit. Nötig ist dies, um zum Schutz der Daten nur das jeweils notwendige Minimum an Aufwand treiben zu müssen. Die Fachabteilungen können im Vorfeld beim Identifizieren der Daten und ihrer Speicherorte helfen. Nach Abschluss der Analyse und den daraus folgenden konkreten Massnahmen – Verschlüsselung, Mehrfaktor-Authentifizierung, Zugriffskontrolle und so weiter – muss dann die gesamte Organisation ins Bild gesetzt werden. Schliesslich sind es die Mitarbeiterinnen und Mitarbeiter, die tagtäglich mit den eventuell als „streng vertraulich“ markierten Dateien umgehen.
Seien Sie sich Ihrer Rolle bewusst
Als Teil der IT-Organisation sind Sie Dienstleister für die Fachbereiche. Informationssicherheit richtet sich an den Geschäftszielen aus, nicht umgekehrt. Sind die Informationssicherheitsexperten über diese Ziele und die dafür notwendigen Geschäftsprozesse im Bild, können sie gezielt nach Risiken und Schwachstellen suchen.
Idealerweise verankern Sie Datensicherheit so in der Organisation, dass sie nicht nachgelagert ist, sondern von den Fachbereichen beim Aufsetzen neuer Projekte gleich miteinbezogen wird. Beispielsweise durch kurze Workshops mit den Security-Fachleuten. Letztere können durch ihre gewonnenen Einblicke viel zielgenauere Vorschläge machen, wie Fachabteilungen das Sicherheitsniveau erhöhen können – ohne dabei alles durch Einschränkungen zu ersticken. Auf Neudeutsch gesagt wandelt sich das Sicherheitsteam vom „Department of No“ zum „Business Enabler“.
Wie sag‘ ich es meinem Chef?
Ebenso untechnisch wie das eben Erläuterte ist ein weiterer, unabdingbarer Bestandteil des Konzepts: das Ins-Boot-Holen der Geschäftsführung. CEO und CFO müssen nichts von Public-Key-Infrastrukturen und SIEM-Installationen verstehen. Wollen aber sehr wohl wissen, welchen Risiken das Unternehmen ausgesetzt ist und welche Konsequenzen im Fall der Fälle drohen.
Je konkreter Sie die Gefahren schildern können, desto durchschlagkräftiger ist Ihr Argument. Wollen Sie beispielsweise die Gefahren durch Ransomware verdeutlichen, sind x-beliebige Vorfälle aus einem anderen Erdteil weniger eindrücklich als ein Beispiel aus der unmittelbaren Umgebung (bezogen auf die Region oder das eigene Marktsegment). Eventuell überzeugen auch die Ergebnisse eines Penetrationstests.
Nachdem früher oder später die gesamte Organisation aktiv am Schutzkonzept mitwirken muss, sollten Sie der Geschäftsführung auch gleich die passende Einstellung schmackhaft machen. Meint: Die Führungsetage muss davon überzeugt sein, dass bei einem Fehltritt – Mitarbeiter*in fällt auf Phishing-Link herein oder auf einen CEO-Fraud-Angriff – keine negativen Konsequenzen wie Abmahnungen drohen dürfen. Sondern dass ein solcher Vorfall viel eher die Notwendigkeit weiterer Informationsprogramme verdeutlicht. Je klarer die Geschäftsleitung diese Geisteshaltung kommuniziert, beispielsweise im Rahmen eines Webcasts oder Intranet-Beitrags, desto positiver wirkt sich dies auf die Motivation der Belegschaft aus. Auf diese Motivation und das daraus entstehende Wohlwollen gegenüber einem Informationssicherheitskonzept sind Sie angewiesen, wenn Ihr Konzept Erfolge einfahren soll.
Wer informiert eigentlich die Belegschaft?
Nach CISM qualifizierte Security-Spezialisten sind auch fit beim wichtigen Thema Risikomanagement. Sie wissen also, wie sich Risiken im Unternehmen identifizieren lassen und wie anschliessend mit diesen Risiken umzugehen ist. Auch das laufende Überwachen der Problemfelder ist Teil der Weiterbildung.
Wie schon mehrfach erwähnt, müssen Sie besser früher als später die komplette Belegschaft mit ins Konzept einbeziehen. Konkret passiert das hauptsächlich durch ein Awareness-Programm. Also ein Bündel aus Informationsmassnahmen, das die Kolleginnen und Kollegen in Sachen Informationssicherheit auf dem Laufenden hält.
Wie Sie das ganz sicher nicht erreichen? Durch verpflichtend einmal pro Quartal zu absolvierende, weitgehend generisch gehaltene Webinare zu Themen wie Phishing, Compliance oder Passwortsicherheit. Bessere Chancen haben Sie durch einen für Ihre Organisation massgeschneiderten modularen Ansatz. Bestehend aus Intranet-Beiträgen, Erklär- oder Informationsvideos, Life-Hacking-Präsentationen, E-Learning-Inhalten oder auch Wettbewerben (wer leitet die meisten Phishing-Nachrichten pro Woche an die IT weiter?).
Holen Sie die Belegschaft dort ab, wo sie anzutreffen ist: Per Infoscreen in der Kantine, per E-Mail-Newsletter, per PDF-Magazin im Intranet, per Messenger. Kommunizieren Sie zudem immer auf Augenhöhe. Niemand lernt, wenn sie oder er sich nicht angesprochen oder fachlich überfordert fühlt. Und bleiben Sie vor allem am Ball. Einmalig abgefeuerte Info-Salven verfehlen ihre Wirkung. Nur wer kontinuierlich in kleinen Häppchen informiert, bleibt im Gedächtnis und kann die erwünschten Verhaltensänderungen bei den Anwenderinnen und Anwendern erzielen.
Cloud: ja oder nein?
Als CISM können Sie auch die Frage beantworten, wann eine Cloud-Migration sinnvoll ist. Während die kaufmännische Seite oftmals (vermeintlich) ganz schnell erledigt ist, stellen sich insbesondere in Sachen Informationssicherheit deutlich mehr Fragen. Grundsätzlich gilt, dass jeder der bekannten Hyperscaler mit an Sicherheit grenzender Wahrscheinlichkeit ein höheres Sicherheitsniveau bietet als man es im selbstbetriebenen Rechenzentrum erreichen kann.
Dies gilt aber auch nur dann, wenn die notwendigen Mechanismen auch im Vertrag mit dem Anbieter festgehalten sind. Auch wenn Sie Firewalls und Datensicherungen als Selbstverständlichkeit ansehen: Ein Cloud Provider liefert Ihnen nur, was ausdrücklich bestellt wurde. Lesen Sie die Verträge daher genau und beziehen Sie immer auch Finanz- und Rechtsspezialisten mit ein. Erstere, um auf eventuell kollidierende Audit-Stichtage hinzuweisen. Letztere, um Compliance-Verstösse zu verhindern.
Seien wir ehrlich. Selbst das beste Sicherheitskonzept sorgt nicht für absoluten Schutz vor Datenpannen. 100 Prozent Dichtheit sind unrealistisch. Daher gehört es auch zu den Aufgaben des CISM, einen Notfallplan zu erstellen, einzuüben und zu pflegen. Im Fall der Fälle bleibt keine Zeit, Prozesse zu definieren und Ansprechpartner innerhalb und ausserhalb des Unternehmens zu identifizieren. Incident Response-Konzepte müssen zu Friedenszeiten erdacht und ausprobiert werden. Dies hilft auch, eventuelle Kosten durch externe Dienstleister möglichst niedrig zu halten: Wer Verträge mit Anti-DDoS (Distributed Denial of Service)-Anbietern, externen Rechtsbeistände oder Krisenkommunikationsagenturen in Ruhe aushandelt, zahlt weniger als der, der sich erst im Schadensfall um Zuarbeit bemüht.
Sie sehen: Es gibt tatsächlich viel zu tun. Das Wissen, dass Sie sich auf dem Weg zum CISM aneignen, lässt die Herkulesaufgabe jedoch auf ein handhabbares Format schrumpfen.