Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

Alle Anforderungen an die InfSec-Politik eines Unternehmens werden in einem Grundsatzdokument niedergeschrieben. Das damit entstandene Elaborat bezeichnet man allgemein als „InfSec-Policy“. Es stellt die schriftliche, verbindliche und rechtswirksame Basis für den Umgang mit InfSec und den damit verbundenen Maßnahmen des Betriebs dar. Würde eine schriftliche Festlegung nicht erfolgen, blieben alle Vorsätze für effiziente InfSec bloß ein Lippenbekenntnis, das schnell verklingt. Individuelle Sicherheitsvorstellungen müssen genau spezifiziert werden. Erst dann lassen sie sich auch überprüfen und steuern.

Die Bestimmungen dieses Schriftstückes sollen grundsätzlich allgemein gehalten sein, weil die InfSec-Politik eher langfristig orientiert ist. Enthaltene Ausführungen stellen lediglich das Fundament für darauf aufbauende weiterführende Dokumente, wie beispielsweise Grundsätze oder Richtlinien dar. Technische Details oder Einzelheiten zu bestimmten Sicherheitsmaßnahmen und deren Umsetzung sind nicht Inhalt dieser Niederschrift. Für technische Realisierung soll genügend Spielraum und Flexibilität für die zum gegebenen Zeitpunkt beste Lösung bestehen. Kurzum: Die InfSec-Policy beschreibt, was geschieht, nicht wie es geschehen soll. In knappen und einfachen Worten stellt sie Aufgaben der InfSec-Politik dar.

Folgende prinzipielle Fragen bieten dafür geeigneten Rahmen:

1 Worin bestehen Grund und Zweck für dieses Dokument im Hinblick auf Erstellung, Verwendung, Umgang und Weitergabe mit Informationen?

1 Was soll überhaupt geschützt werden? Sicherheitspolitisches Ziel ist, bestehende Risiken zu erkennen, Schutzziele zu definieren und die Gefahren auf ein tragbares Maß zu senken.

1 Wo liegen die Verantwortlichkeiten für InfSec insgesamt und für jeden einzelnen Betroffenen?

1 Welcher Geltungsbereich und -zeitraum besteht?

1 Wie wird die Einhaltung überprüft?

Als selbstredend gilt, die im Dokument getroffenen Festlegungen realistisch und lebbar zu halten. Die InfSec-Policy darf keine wesentlichen Änderungen in der organisatorischen Firmenstruktur verursachen. Eher sollte sie sich der bestehenden Architektur anpassen und davon zweckmäßige Bestimmungen ableiten. Schließlich dürfen bereits optimal laufende Geschäftsprozesse nicht beeinträchtigt werden.

Das bedeutet aber zugleich, es muss wohl oder übel ein gewisses Maß an Risiko akzeptiert werden. Letztendlich hat es ja keinen Sinn, einen hohen Grad an Sicherheit zu erreichen, wenn dadurch alle Räder still stehen. Genauso wenig ist es zielführend, Regelungen zu verlautbaren, die nicht durchführbar oder kontrollierbar sind, weil dazu etwa Personal oder Ausrüstung fehlen.

Viele Unternehmen bekennen sich zwar zu InfSec, verfügen aber dennoch nicht über eine InfSec-Policy. Kein Zweifel, für die Erstellung einer derartigen Regelung ist je nach Firmengröße ein nicht zu unterschätzender Aufwand nötig. Das bedeutet aus wirtschaftlicher Sicht, Ressourcen in Form von Geld, Zeit und Personal müssen zur Verfügung stehen. Viele Chief-Executives fragen sich an dieser Stelle: „Wozu soll ich mir das antun? Es verursacht doch nur Kosten, Bürokratie und zusätzlichen Papierkram! Wenn wirklich Gefahr im Verzug ist, kaufe ich ein fertiges, bewährtes Produkt mit Plug-and-Play kombiniert mit einem Wartungsvertrag. Das ist doch viel einfacher und kostengünstiger und ich bin genauso abgesichert.“ Ich weiß, das ist die übliche Einstellung und die meisten Unternehmen handhaben es auch so. Keine Frage, auf jeden Fall besser ist, bei Bedarf irgendeine fertige Lösung aus dem Regal einzusetzen, als gar keine. Trotzdem zeugt diese Einstellung von sehr kurzsichtiger und engstirniger Sichtweise.

Vorteile und Nutzen, welche die Erstellung und der Einsatz einer InfSec-Policy gegenüber den erwähnten Gepflogenheiten bieten, sind vielfältig:

1 Klarheit über gemeinsame Ziele und Werte wird geschaffen.

1 Niedergeschriebene InfSec-Politik betrachtet umfassend alle sicherheitsrelevanten Bereiche eines Betriebes, inklusive der größten Schwachstelle, dem Menschen. Ein fertiges Produkt hingegen deckt nur einen spezifischen, meist technischen Teil ab.

1 Einmalige Anschaffungen oder Aktionen stellen lediglich kurzfristige punktuelle Lösungen dar, deren Wirkung schnell verpufft. Eine InfSec-Policy stellt sicher, dass InfSec als Prozess abläuft, der ständig aktualisiert wird.

1 Der Wille zur Sicherung von Arbeitsfähigkeit, Fortbestand des Unternehmens und dessen Wertsteigerung wird dokumentarisch festgehalten.

1 Üblicherweise werden erst durch eine Risikoanalysedie tatsächlichen Gefahren offenkundig. Die erlangten Erkenntnisse dienen, um gezielt vorhandene Bedrohungen zu beseitigen oder zumindest abzuschwächen. Die InfSec-Policy regelt hierzu die Vorgehensweise. Als Ergebnis entstehen speziell auf die individuelle Situation zugeschnittene Maßnahmen, die methodisch alle Geschäftsziele unterstützen.

1 Weiterer Vorteil ist, dass nach der Risikoanalyse eine geordnete Bestandsaufnahme aller Werte vorhanden ist. Diese dient beispielsweise auch als Unterstützung bei Wirtschaftsprüfungen.

1 Ohne funktionierender Basisorganisation und einem Mindestmaß an Investitionen ist es nicht möglich, eine akzeptable Sicherheitslage zu erreichen und beizubehalten. InfSec-Politik in Schriftform schafft die Grundlage, um Ressourcen zur Erstellung und Aufrechterhaltung der InfSec bereit zu stellen.

1 Koordinierter Einsatz bestimmter Security-Technologien, wie Verschlüsselung oder Virenschutz wird aufeinander abgestimmt und konkret geregelt.

1 Die Firmenleitung dokumentiert, ihre Verantwortung und Verpflichtung gegenüber Gesetz, Aktionären und Mitarbeitern wahrzunehmen. Schließlich wird der Vorstand ja dafür bezahlt, die Werte des Unternehmens zu beschützen und zu vermehren. Das Vorhandensein eines Grundsatzdokumentes beweist, er nimmt es mit der Sorgfaltspflicht ernst. Zusätzlich reduziert es auch das Haftungsrisiko der verantwortlichen Führungskräfte.

1 Einmal schriftlich festgehalten und veröffentlicht, schützt InfSec-Politik vor Willkür und Handlungen gegen Firmeninteressen.

1 Glaubwürdige und wirksame Ansprechstellen für InfSec werden geschaffen.

1 Zudem ermöglicht die InfSec-Policy, den Stand der Sicherheitsbemühungen messbar darzustellen. Beispielsweise dient vorhandene Dokumentation dazu, jederzeit den eigenen Fortschritt gegenüber internationalen Standards anderer Firmen zu vergleichen. In Zeiten der Globalisierung beurteilen Geschäftspartner einander zunehmend nach Sicherheitsgesichtspunkten.

1 Festgelegte Grundsätze sorgen für durchgehende Konsistenz innerhalb eines Unternehmens. Da die InfSec-Policy unternehmensweit gültig ist, wird sichergestellt, dass alle Filialen, Niederlassungen und Abteilungen gleiche Produkte und Abläufe verwenden.

1 Das Dokument bietet eine Arbeitsgrundlage für das betroffene Personal. Jeder weiß, was er erwarten kann und natürlich auch, was von ihm erwartet wird. Je besser die Basis ist, auf der aufgebaut wird, desto weniger Aufwand fällt in nachfolgenden Arbeitsprozessen an.

1 Damit verbunden ist eine Stärkung von Dezentralisierung, Selbstverantwortung und Kompetenz: Das Subsidiaritätsprinzip ermöglicht betroffenen Stellen im Anlassfall schnellere Reaktionen.

1 Rechtfertigungen gegenüber allen Partnern finden durch dieses Schriftstück Unterstützung. Besteht die Notwendigkeit, aus Sicherheitsbedenken Kundenwünsche abzulehnen, oder interne unpopuläre Entscheidungen zu treffen, kann auf die InfSec-Policy verwiesen werden.

1 Alle Betroffenen werden dafür sensibilisiert, dass Informationen Werte darstellen, die sie sorgsam und verantwortungsvoll zu behandeln haben. Auf dieser Grundlage bauen weiterführende Maßnahmen zur Bewusstseinsbildung auf.