Spot an - Risiken aus / Managementsystem für Informationssicherheit
Von: Michael Junk, IT-Security & Compliance Manager, Novell Central EuropeDie Anforderungen an ein umfassendes IT-Sicherheitskonzept im Unternehmen sind in den letzten Jahren deutlich gestiegen. Das liegt nicht nur an einer allgemein gesteigerten Sensibilität gegenüber Fragen der IT-Sicherheit, sondern vor allem an verschärften gesetzlichen und anderen regulatorischen Rahmenbedingungen. Wurden Umfang und Ausgestaltung interner Kontrollsysteme bislang unternehmensintern definiert, gibt es jetzt genaue Vorgaben, wie beispielsweise KontraG, SOX oder Basel II. Versäumnisse werden teuer, meist haften direkt die Geschäftsführer und Vorstände. Aber wo soll man anfangen?
Was entspricht im Unternehmen eigentlich schon der Norm und um welche Norm geht es überhaupt? Vertraulichkeit, Verfügbarkeit und Integrität der Daten nehmen einen immer höheren Stellenwert in jedem einzelnen Unternehmen ein. Um einen sicheren Umgang mit Daten und informationsverarbeitenden Systemen zu gewährleisten, ist es erforderlich, entsprechende Sicherheitsstandards zu entwickeln und einzuhalten. Insbesondere die Unternehmensleitung muss sich ihrer Verantwortung bewusst werden, denn IT-Sicherheit ist immer Chefsache. Der Sicherheitsprozess muss auf Leitungsebene initiiert und anschließend von allen Beteiligten im Unternehmen mitgetragen und mitgestaltet werden. Verstanden haben das inzwischen viele. Aber ein integriertes und funktionsfähiges Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS), das dauerhaft die Informationssicherheit steuert, kontrolliert und Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleistet, hat derzeit in den Unternehmen noch Seltenheitswert.
Um transparent zu machen, was bislang fehlt und wie sich die „Lücken“ schließen lassen, bietet sich für Unternehmen jeder Größenordnung eine GAP-Analyse an. Per betriebswirtschaftlicher Definition basiert eine GAP-Analyse auf dem Vergleich zwischen angestrebtem und tatsächlichem Verlauf einer Zielgröße. Wird dabei eine Lücke identifiziert, dann ist zu überlegen, welches die Ursachen hierfür sind und welche Maßnahmen ergriffen werden sollen um sie zu beseitigen. Auf den Bereich Identity & Security bezogen bedeutet es, das Sicherheitskonzept des Unternehmens auf der Basis der ISO-Norm 27001 systematisch zu überprüfen. Diese Analyse kann als Vorbereitung für eine Zertifizierung dienen, ist aber auch für Unternehmen hilfreich, die eine formale Zertifizierung zwar nicht anstreben, die aber ihr IT-Sicherheitskonzept dennoch an dem allgemein anerkannten und von Partnern und Kunden zunehmend erwarteten Stand der Technik ausrichten wollen.
Im Rahmen einer GAP-Analyse wird der Ist-Zustand der IT-Struktur für relevante Verfahren und Systeme analysiert und die fraglichen Systeme auf Basis einer Schutzbedarfsfeststellung beurteilt. Risiken werden kenntlich gemacht und in Anlehnung an ISO 27001 bewertet. Die Sicherheitsrichtlinien und interne Kontrollen müssen untersucht und etwaige Lücken im Sicherheitskonzept aufgedeckt und gewichtet werden. Anschließend werden weitere Schritte geplant.
Dabei ist es wichtig, die gesetzlichen und regulatorischen Rahmenbedingungen im Auge zu behalten und die Balance zwischen Aufwand und Nutzen von Sicherheitsmaßnahmen zu halten. Die Analyse ist zwar zeitaufwändig, ist aber gut investiert, weil sich die verantwortlichen anschließend auf die wesentlichen Dinge konzentrieren können. Der Aufbau eines ISMS orientiert sich dann am so genannten PDCA-Modell (plan - do - check - act). Von der Erfassung sicherheitsrelevanter Geschäftswerte (assets) über die Identifikation und Einstufung bestehender Risiken bis zur Planung und Umsetzung geeigneter Schutzmaßnahmen erhält das Unternehmen Instrumente zur Kontrolle und Verbesserung der Informationssicherheit innerhalb der Organisation. Das Modell gewährleistet der Unternehmensführung die volle Kontrolle über zu tätigende Investitionen und unterstützt das IT-Management dabei, Schwachstellen zu identifizieren und durch den gezielten Einsatz von Mitteln zu beheben. Es ist also nicht ausreichend, dass entsprechende Prozessbeschreibungen (Workflows und Berechtigungen) existieren. Es muss nachvollziehbar dargestellt werden können, dass und wie diese Prozesse funktionieren und ineinander greifen.
Der Aufbau und die Zertifizierung eines ISMS kann die Unternehmenskultur intern wie extern beeinflussen, neue Geschäftsmöglichkeiten mit sicherheitsbewussten Kunden schaffen und zusätzlich die Mitarbeitermoral sowie ihr Bewusstsein für Diskretion am Arbeitsplatz steigern. Darüber I hinaus kann so Informationssicherheit durchgesetzt und das Risiko von Unterschlagung, Informationsverlust und unerwünschtem Bekannt werden der Informationen minimiert werden. Zuallererst muss die GAP-Analyse aber in den Unternehmen ein Licht anknipsen und die vorhandenen IT-Sicherheitssysteme be- und durchleuchten. Nachschauen und gegebenenfalls aufräumen sowie in Richtung ISMS optimieren, müssen die IT-Verantwortlichen dann noch selbst.
Über den Autor:
Michael Junk ist seit 10 Jahren im Bereich IT-Security tätig, davon 8 Jahre im Banken-und Versicherungs-Umfeld. Schwerpunkt seiner Tätigkeit sind IT-Sicherheits-Audits und IT-Sicherheitsberatung sowie Mitwirkung bei IT-Sicherheitsprojekten und Aufbau von IT-Architekturlandschaften auf verschiedenen ISO-Normen unter Berücksichtigung gesetzlichen Rahmenbedingungen. Er ist zertifiziert bei ITIL, T.I.S.P, CISA.