Information Security Management: Risiken wirksam begegnen

Das Risiko durch Bedrohungen richtig einschätzen

Obwohl Cyberangriffe hohe Kosten und einschneidende Imageverluste verursachen können, bleibt die Gefahr für viele Unternehmen abstrakt. Solange sie nicht von einer Lösegeldforderung nach einer Ransomware-Attacke betroffen sind, dem Raub von Kundendaten hilflos gegenüberstehen oder ein Denial of Service ihre Produktionsanlagen lahmlegt, stehen sie einer Investition in die Cybersicherheit oft abwartend bis ablehnend gegenüber.

Dementsprechend ist auch die Belegschaft selbst in sicherheitskritischen Bereichen häufig nicht darauf geschult, auf Risiken zu achten und vorausschauend zu handeln. Bedrohungen für die Unternehmensdaten, -prozesse und -strukturen bestehen zu jeder Zeit – nicht erst wenn der Ernstfall eintritt. Die gute Nachricht ist, dass sich Cyberrisiken durchaus antizipieren, einschätzen und erfolgreich minimieren lassen. Denn das Risiko, das von einer Bedrohung ausgeht, hängt vom Grad der Wahrscheinlichkeit ab, dass der Ernstfall eintritt. Und genau diese Eintrittswahrscheinlichkeit lässt sich auf ein handhabbares Maß verringern – vorausgesetzt, es werden die richtigen Maßnahmen getroffen.

So existieren verschiedene statistische Verfahren, mit denen sich Risikoklassen abschätzen lassen. Im Rahmen einer Risikomatrix etwa lässt sich die Risikowahrscheinlichkeit gegen die Wahrscheinlichkeit abwägen, dass eine Bedrohung zur Realität wird. Auf diese Weise lassen sich kritische Bereiche identifizieren und Risiken gestaffelt nach ihrem Handlungsbedarf klassifizieren. Auch das BSI gibt Hilfestellung zu einer solchen Risikoanalyse.

Eine solche Risikoanalyse bildet die Basis für ein Security Management, welches beispielsweise für die Betreiber kritischer Infrastrukturen (KRITIS) per IT-Sicherheitsgesetz vorgeschrieben ist. Diese müssen festgelegte Sicherheitsbestimmungen einhalten und ihre Netzwerke und Daten mit adäquaten Maßnahmen schützen. Dabei orientieren sich die gesetzlichen Vorgaben an der ISO 27001. Eine Zertifizierung des Security Managements nach ISO 27000 oder ISIS 12 ist jedoch auch für andere Unternehmen wichtig. Nicht nur, weil sich ihre Einordnung als nicht-kritische Infrastruktur ändern könnte, sondern auch, weil eine solche Zertifizierung signalisiert, dass die Firma wirksame Sicherheitsstandards implementiert hat. Diese werden immer häufiger von Kunden gefordert und stärken gleichzeitig das von Geschäftspartnern und Kunden entgegengebrachte Vertrauen.

Was ist Information Security Management?

Information Security Management (ISM) ist kein Tool. Es ist ein strukturiertes Vorgehen, das Unternehmen ermächtigt, bestehende Bedrohungen zu identifizieren und zu bewerten. Aufgrund dieser Bewertung gelingt es, Bedrohungen hinsichtlich ihrer Relevanz einzuordnen und Maßnahmen zu ergreifen, um Risiken so weit wie möglich zu reduzieren. Die Systematik innerhalb eines ISM umfasst Richtlinien, Rollen und Prozesse.

„Das ISM erlaubt die Identifizierung, Dokumentation und Klassifizierung der Risiken nach deren potenzieller Schadenshöhe sowie Eintrittswahrscheinlichkeit.“

Ulf-Gerrit Weber, Axians IT Security

Ein wirksames ISM hilft, immer von neuem zu evaluieren, ob sich eine Risikolage verschlechtert oder verbessert und entsprechend nachzusteuern. Es zielt also darauf ab, die Informationssicherheit kontinuierlich zu optimieren. Damit entsteht ein geplantes, zielorientiertes und nachvollziehbares Vorgehen, mit dem Unternehmen der Angriffslandschaft schlagkräftig begegnen können. Um das zu erreichen, gilt es zunächst, ein umfassendes Konzept zu erstellen, aus welchem sich Regeln für den Aufbau technischer Abwehrmechanismen und -systeme ableiten lassen. Entsprechend müssen Prozesse für die verschiedenen Abteilungen definiert werden. Da die Abläufe beispielsweise im Backoffice oder im Vertrieb sehr unterschiedlich sein können, gelten verschiedene Voraussetzungen, die jeweils in einen abteilungsindividuellen Sicherheitsprozess übernommen werden müssen. Als nächster Schritt folgt die Einrichtung von Berechtigungen und Rollen, etwa die Implementierung eines Sicherheitsbeauftragten. Bei allen diesen Schritten ist eine lückenlose Dokumentation essentiell, um auch bei künftigen Neuerungen die Übersicht zu behalten.

Unternehmensweite Struktur für mehr Sicherheit

Um zu ermitteln, welche Struktur einem ISM zugrunde gelegt werden soll, ist es sinnvoll, die entsprechenden Fachabteilungen gemeinsam mit der Unternehmensleitung, der IT-Leitung und der Personalvertretung an einen Tisch zu holen. Dies ist wichtig, um eine gemeinsame Linie und die Akzeptanz für das Konzept und die aus ihm abgeleitete Richtlinie unternehmensweit fest zu verankern. Die dann gemeinsam gefasste Informationssicherheits-Richtlinie legt die Grundrichtung fest, unter anderem welche Investitionen für das ISM geplant sind, wer das Thema vorantreiben wird und welche Personen dabei involviert werden. Zugleich schreibt sie die Unterstützung der Unternehmensleitung und damit auch des Unternehmens fest.

Von großem Vorteil ist es, wenn intern ein CISO (Chief Information Security Officer) oder ISO (Information Security Officer) eingesetzt werden kann, der das ISM unternehmensweit im Blick behält und bei einzelnen Problemstellungen Empfehlungen ausspricht. Dieser CISO oder ISO übernimmt nach der Implementierungsphase des ISM zudem die Aufgabe, die Fortentwicklung und Optimierung voranzutreiben. Auf diese Weise wird der Prozess der kontinuierlichen Verbesserung, den ein ISM liefert, in Gang gehalten.

Den Aufbau eines ISM wirksam vorantreiben

Eines der Haupthemmnisse für Unternehmen, in Cyber Security zu investieren, sind Kostenbedenken. Tatsächlich lassen sich die Kosten und der Zeitaufwand für den Aufbau eines ISM nicht ohne weiteres voraussehen. Dort, wo interne Strukturen an die dokumentierten Risken angepasst werden müssen, orientieren sich die Investitionen an der Höhe der Risiken und sind deshalb nicht pauschal zu beziffern. Das ISM erlaubt die Identifizierung, Dokumentation und Klassifizierung der Risiken nach deren potenzieller Schadenshöhe sowie Eintrittswahrscheinlichkeit. Dies erlaubt Investitionsentscheidung zur Senkung der Risiken, wobei hohe Risiken mit erhöhter Priorität anzugehen sind und geringere Risiken zum Teil schnell reduziert werden können. Entscheidend ist jedoch, dass Unternehmen eine Strategie für den Umgang mit allen Risken entwickeln. Jedes einzelne muss nach der Bewertung auf ein akzeptables Maß reduziert werden.

Fazit

In einer zunehmend vernetzten Welt wachsen die Bedrohungen für den Datenschutz und die Sicherheit in Unternehmen. Risikomanagement ist immer der erste Schritt, um herauszufinden, welche Werte im Unternehmen geschützt werden müssen und welche Risiken für diese bestehen.

Die Kunst eines umfassenden Information Security Management (ISM) liegt darin, das komplexe Zusammenspiel verschiedener Regeln und Prozesse so zu vereinfachen, dass es in den Workflow des Unternehmens passt und die Mitarbeiter Sicherheitsaspekte umsetzen können, ohne dass dies die tägliche Arbeit stört. Erfahrene Sicherheitsspezialisten stehen für die Einführung, Strukturierung und das Training in Sachen ISM zur Verfügung. Unternehmen profitieren somit von einem breiten externen Know-how und dem Blick eines unbeteiligten Dritten auf ihre internen Prozesse und Anforderungen.

Über den Autor:

Ulf-Gerrit Weber ist Senior Security Consultant bei Axians IT Security. Der studierte Elektrotechnik-Ingenieur Ulf-Gerrit Weber begann seine Karriere als Netzwerkentwickler bei der Eltec Elektronik, einem Hersteller für Industrierechner und Industrial Imaging-Lösungen. Seit 2004 ist er bei Axians IT Security, wo er die Konzeption und Implementierung technischer und organisatorischer Security-Projekte verantwortet.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.