![\"\"](\"https:\/\/www.flane.ch\/blog\/wp-content\/uploads\/2021\/02\/CISM-ohne-neuer-Blogpost-1024x461.png\")
<\/figure><\/div>\n\n\n\nWas genau muss man tun, damit m\u00f6glichst keine Datenlecks entstehen oder Kriminelle das geistige Tafelsilber einer Organisation einfach raustragen? Wo f\u00e4ngt man an, welche Fragen m\u00fcssen sich die Verantwortlichen stellen? Und wie geht es weiter, wenn m\u00f6gliche Schwachstellen und Risiken erst einmal erkannt sind?<\/p>\n\n\n\n
Die einheitliche Antwort auf all diese Fragen lautet: CISM (ISACA Certified Information Security Manager)<\/span><\/a>. Hinter dem sperrigen Begriff steht eine weltweit anerkannte Zertifizierung f\u00fcr Fachleute, die sich Informationssicherheit in Unternehmen befassen. W\u00e4hrend der Zertifizierung lernen Sie alles Notwendige, um ganzheitliche und vor allem nachhaltige Informationssicherheit zu gew\u00e4hrleisten.<\/p>\n\n\n\n Den Wald vor lauter B\u00e4umen \u00fcbersehen<\/strong><\/p>\n\n\n\n Am Anfang jedes Sicherheitsprojekts steht eine gr\u00fcndliche Bestandsaufnahme. Denn ohne eine solche gilt: \u201eIch weiss nicht, was ich nicht weiss.\u201c Blinde Flecken sind jedoch ein Garant daf\u00fcr, dass jedes Sicherheitskonzept in sich zusammenf\u00e4llt wie ein Kartenhaus. Von daher gilt: Sie k\u00f6nnen nur sch\u00fctzen, was Sie auch kennen.<\/p>\n\n\n\n Womit wir schon bei einem der ersten grossen Stolpersteine w\u00e4ren. Denn viele Praktiker denken beim Thema \u201eBestandsaufnahme\u201c an Server, PCs, Smartphones. Vielleicht noch an Cloud-Anbieter. Die jeweiligen Speicherorte sind aber zweitrangig. Denn es geht nicht um IT-Sicherheit. Sondern um Informationssicherheit.<\/p>\n\n\n\n Wer die sch\u00fctzenswerten Informationen kennen will, darf sich nicht ausschliesslich auf Technik fokussieren. Vielmehr m\u00fcssen Sie zum Schutz von Informationen verstehen, wie die Fachabteilungen \u2013 also das vielzitierte \u201eBusiness\u201c \u2013 eigentlich das Geld verdienen: Mit welchen Tools arbeitet das Marketing (lies: wo liegen sch\u00fctzenswerte personenbezogene Daten)? Wie verwaltet die Entwicklungsabteilung ihre Datenbest\u00e4nde (lies: wie ist das geistige Eigentum abgesichert)? Welche externen Partner haben Zugriff auf welche Datens\u00e4tze und Ger\u00e4te (lies: wie gut ist unsere Rechteverwaltung)?<\/p>\n\n\n\n Ebenfalls nur im Zusammenspiel mit den Fachabteilungen umsetzbar ist eine Datenklassifizierung. Also ein Einstufen s\u00e4mtlicher Datens\u00e4tze anhand ihrer Vertraulichkeit. N\u00f6tig ist dies, um zum Schutz der Daten nur das jeweils notwendige Minimum an Aufwand treiben zu m\u00fcssen. Die Fachabteilungen k\u00f6nnen im Vorfeld beim Identifizieren der Daten und ihrer Speicherorte helfen. Nach Abschluss der Analyse und den daraus folgenden konkreten Massnahmen \u2013 Verschl\u00fcsselung, Mehrfaktor-Authentifizierung, Zugriffskontrolle und so weiter \u2013 muss dann die gesamte Organisation ins Bild gesetzt werden. Schliesslich sind es die Mitarbeiterinnen und Mitarbeiter, die tagt\u00e4glich mit den eventuell als \u201estreng vertraulich\u201c markierten Dateien umgehen.<\/p>\n\n\n\n Seien Sie sich Ihrer Rolle bewusst<\/strong><\/strong><\/p>\n\n\n\n Als Teil der IT-Organisation sind Sie Dienstleister f\u00fcr die Fachbereiche. Informationssicherheit richtet sich an den Gesch\u00e4ftszielen aus, nicht umgekehrt. Sind die Informationssicherheitsexperten \u00fcber diese Ziele und die daf\u00fcr notwendigen Gesch\u00e4ftsprozesse im Bild, k\u00f6nnen sie gezielt nach Risiken und Schwachstellen suchen.<\/p>\n\n\n\n Idealerweise verankern Sie Datensicherheit so in der Organisation, dass sie nicht nachgelagert ist, sondern von den Fachbereichen beim Aufsetzen neuer Projekte gleich miteinbezogen wird. Beispielsweise durch kurze Workshops mit den Security-Fachleuten. Letztere k\u00f6nnen durch ihre gewonnenen Einblicke viel zielgenauere Vorschl\u00e4ge machen, wie Fachabteilungen das Sicherheitsniveau erh\u00f6hen k\u00f6nnen \u2013 ohne dabei alles durch Einschr\u00e4nkungen zu ersticken. Auf Neudeutsch gesagt wandelt sich das Sicherheitsteam vom \u201eDepartment of No\u201c zum \u201eBusiness Enabler\u201c.<\/p>\n\n\n\n Wie sag\u2018 ich es meinem Chef?<\/strong><\/p>\n\n\n\n Ebenso untechnisch wie das eben Erl\u00e4uterte ist ein weiterer, unabdingbarer Bestandteil des Konzepts: das Ins-Boot-Holen der Gesch\u00e4ftsf\u00fchrung. CEO und CFO m\u00fcssen nichts von Public-Key-Infrastrukturen und SIEM-Installationen verstehen. Wollen aber sehr wohl wissen, welchen Risiken das Unternehmen ausgesetzt ist und welche Konsequenzen im Fall der F\u00e4lle drohen.<\/p>\n\n\n\n Je konkreter Sie die Gefahren schildern k\u00f6nnen, desto durchschlagkr\u00e4ftiger ist Ihr Argument. Wollen Sie beispielsweise die Gefahren durch Ransomware verdeutlichen, sind x-beliebige Vorf\u00e4lle aus einem anderen Erdteil weniger eindr\u00fccklich als ein Beispiel aus der unmittelbaren Umgebung (bezogen auf die Region oder das eigene Marktsegment). Eventuell \u00fcberzeugen auch die Ergebnisse eines Penetrationstests.<\/p>\n\n\n\n Nachdem fr\u00fcher oder sp\u00e4ter die gesamte Organisation aktiv am Schutzkonzept mitwirken muss, sollten Sie der Gesch\u00e4ftsf\u00fchrung auch gleich die passende Einstellung schmackhaft machen. Meint: Die F\u00fchrungsetage muss davon \u00fcberzeugt sein, dass bei einem Fehltritt \u2013 Mitarbeiter*in f\u00e4llt auf Phishing-Link herein oder auf einen CEO-Fraud-Angriff \u2013 keine negativen Konsequenzen wie Abmahnungen drohen d\u00fcrfen. Sondern dass ein solcher Vorfall viel eher die Notwendigkeit weiterer Informationsprogramme verdeutlicht. Je klarer die Gesch\u00e4ftsleitung diese Geisteshaltung kommuniziert, beispielsweise im Rahmen eines Webcasts oder Intranet-Beitrags, desto positiver wirkt sich dies auf die Motivation der Belegschaft aus. Auf diese Motivation und das daraus entstehende Wohlwollen gegen\u00fcber einem Informationssicherheitskonzept sind Sie angewiesen, wenn Ihr Konzept Erfolge einfahren soll.<\/p>\n\n\n\n Wer informiert eigentlich die Belegschaft?<\/strong><\/p>\n\n\n\n Nach CISM<\/span><\/a> qualifizierte Security-Spezialisten sind auch fit beim wichtigen Thema Risikomanagement. Sie wissen also, wie sich Risiken im Unternehmen identifizieren lassen und wie anschliessend mit diesen Risiken umzugehen ist. Auch das laufende \u00dcberwachen der Problemfelder ist Teil der Weiterbildung.<\/p>\n\n\n\n Wie schon mehrfach erw\u00e4hnt, m\u00fcssen Sie besser fr\u00fcher als sp\u00e4ter die komplette Belegschaft mit ins Konzept einbeziehen. Konkret passiert das haupts\u00e4chlich durch ein Awareness-Programm. Also ein B\u00fcndel aus Informationsmassnahmen, das die Kolleginnen und Kollegen in Sachen Informationssicherheit auf dem Laufenden h\u00e4lt.<\/p>\n\n\n\n Wie Sie das ganz sicher nicht erreichen? Durch verpflichtend einmal pro Quartal zu absolvierende, weitgehend generisch gehaltene Webinare zu Themen wie Phishing, Compliance oder Passwortsicherheit. Bessere Chancen haben Sie durch einen f\u00fcr Ihre Organisation massgeschneiderten modularen Ansatz. Bestehend aus Intranet-Beitr\u00e4gen, Erkl\u00e4r- oder Informationsvideos, Life-Hacking-Pr\u00e4sentationen, E-Learning-Inhalten oder auch Wettbewerben (wer leitet die meisten Phishing-Nachrichten pro Woche an die IT weiter?).<\/p>\n\n\n\n Holen Sie die Belegschaft dort ab, wo sie anzutreffen ist: Per Infoscreen in der Kantine, per E-Mail-Newsletter, per PDF-Magazin im Intranet, per Messenger. Kommunizieren Sie zudem immer auf Augenh\u00f6he. Niemand lernt, wenn sie oder er sich nicht angesprochen oder fachlich \u00fcberfordert f\u00fchlt. Und bleiben Sie vor allem am Ball. Einmalig abgefeuerte Info-Salven verfehlen ihre Wirkung. Nur wer kontinuierlich in kleinen H\u00e4ppchen informiert, bleibt im Ged\u00e4chtnis und kann die erw\u00fcnschten Verhaltens\u00e4nderungen bei den Anwenderinnen und Anwendern erzielen.<\/p>\n\n\n\n Cloud: ja oder nein?<\/strong><\/p>\n\n\n\n Als CISM<\/span><\/a> k\u00f6nnen Sie auch die Frage beantworten, wann eine Cloud-Migration sinnvoll ist. W\u00e4hrend die kaufm\u00e4nnische Seite oftmals (vermeintlich) ganz schnell erledigt ist, stellen sich insbesondere in Sachen Informationssicherheit deutlich mehr Fragen. Grunds\u00e4tzlich gilt, dass jeder der bekannten Hyperscaler mit an Sicherheit grenzender Wahrscheinlichkeit ein h\u00f6heres Sicherheitsniveau bietet als man es im selbstbetriebenen Rechenzentrum erreichen kann.<\/p>\n\n\n\n Dies gilt aber auch nur dann, wenn die notwendigen Mechanismen auch im Vertrag mit dem Anbieter festgehalten sind. Auch wenn Sie Firewalls und Datensicherungen als Selbstverst\u00e4ndlichkeit ansehen: Ein Cloud Provider liefert Ihnen nur, was ausdr\u00fccklich bestellt wurde. Lesen Sie die Vertr\u00e4ge daher genau und beziehen Sie immer auch Finanz- und Rechtsspezialisten mit ein. Erstere, um auf eventuell kollidierende Audit-Stichtage hinzuweisen. Letztere, um Compliance-Verst\u00f6sse zu verhindern.<\/p>\n\n\n\n Seien wir ehrlich. Selbst das beste Sicherheitskonzept sorgt nicht f\u00fcr absoluten Schutz vor Datenpannen. 100 Prozent Dichtheit sind unrealistisch. Daher geh\u00f6rt es auch zu den Aufgaben des CISM<\/span><\/a>, einen Notfallplan zu erstellen, einzu\u00fcben und zu pflegen. Im Fall der F\u00e4lle bleibt keine Zeit, Prozesse zu definieren und Ansprechpartner innerhalb und ausserhalb des Unternehmens zu identifizieren. Incident Response-Konzepte m\u00fcssen zu Friedenszeiten erdacht und ausprobiert werden. Dies hilft auch, eventuelle Kosten durch externe Dienstleister m\u00f6glichst niedrig zu halten: Wer Vertr\u00e4ge mit Anti-DDoS (Distributed Denial of Service)-Anbietern, externen Rechtsbeist\u00e4nde oder Krisenkommunikationsagenturen in Ruhe aushandelt, zahlt weniger als der, der sich erst im Schadensfall um Zuarbeit bem\u00fcht.<\/p>\n\n\n\n![\"\"](\"http:\/\/www.flane.ch\/blog\/wp-content\/uploads\/2021\/02\/network-2402637_1280-1024x576.jpg\")
<\/figure><\/div>\n\n\n\n![\"\"](\"http:\/\/www.flane.ch\/blog\/wp-content\/uploads\/2021\/02\/pexels-panumas-nikhomkhai-1148820-1024x684.jpg\")
<\/figure><\/div>\n\n\n\n![\"\"](\"http:\/\/www.flane.ch\/blog\/wp-content\/uploads\/2021\/02\/conference-room-768441_1920-1024x683.jpg\")
<\/figure><\/div>\n\n\n\n![\"\"](\"http:\/\/www.flane.ch\/blog\/wp-content\/uploads\/2021\/02\/bausteine-4-1024x1024.jpg\")
<\/figure><\/div>\n\n\n\n![\"\"](\"http:\/\/www.flane.ch\/blog\/wp-content\/uploads\/2021\/02\/datenklassifizierung-5-1024x646.jpg\")
<\/figure><\/div>\n\n\n\n