Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

Die Bestimmungen der InfSec-Policy sind von jedermann, der an den Geschäftsprozessen teilnimmt, verpflichtend einzuhalten. Jeder interne und externe Mitarbeiter, aber auch Lieferanten, Fremdfirmen und Vertragspartner müssen Kenntnis über die aktuelle Version des Dokumentes haben und dies regelmäßig nachweislich bestätigen. Eine Verletzung der InfSec-Policy stellt, abgesehen von eventuellen Gesetzesverstößen, ein Vergehen im Sinne der Geschäftsordnung dar.

Gerechtfertigte Abweichungen von der InfSec-Politik gehören dokumentiert und begründet. Sie bedürfen der ausdrücklichen Zustimmung der Geschäftsleitung! In jedem anderen Fall handelt es sich um eine Unterminierung der Unternehmensstrategie.

Alle Bestimmungen der InfSec-Policy sind regelmäßig auf Vollständigkeit und Richtigkeit zu prüfen und laufend am aktuellen Stand zu halten. Üblicherweise ist der Eigentümer des Dokuments, der für dessen Aktualisierung, Wartung und Publikation zuständig ist, identisch mit jener Stelle, der die Verantwortung übertragen wurde. Änderungen am Inhalt dürfen nur durch sie vorgenommen werden! Wenn diese Regel nicht beachtet wird, existiert binnen kürzester Zeit ein unübersehbarer Wirrwarr an Richtlinien.

Auf dringenden Änderungsbedarf muss rasch reagiert und nötigenfalls das Dokument vom Verantwortlichen schnell geändert werden. Ist dies nicht der Fall, besteht die Gefahr, dass Betroffene eigenständig einen Weg suchen, um ihr Problem zu lösen. Auch das kann mit einer Umgehung des Sicherheitsgedankens einhergehen und damit Risiken hervorrufen.

Die Festlegung einer InfSec-Politik und deren Niederschrift bedeutet einen wichtigen Schritt in Richtung Sicherheit. Wie später noch ausführlich beschrieben wird, erfordert effiziente InfSec einen Prozess. Nach der Etablierung wird dieser permanent aufrecht erhalten und den ständig wechselnden Umständen angepasst. Dadurch ergibt sich, den Verlauf begleitend neue Dokumente zu erstellen und Bestehende anzupassen.

Wir wissen, die InfSec-Policy bildet entsprechend dem Unternehmensleitbild die Basis für weitere Maßnahmen, Schrift- und Regelwerke. Das Zusammenspiel zwischen Geschäfts-, InfSec-Politik, abteilungsbezogenen Strategien, bis hin zur tatsächlichen Ausführung stellt die nachfolgende Grafik dar. Zur Illustration dieser Hierarchie von Leitbild, Geschäftspolitik, Grundsätzen und Richtlinien ist die Form einer „Richtlinienpyramide“ gewählt. Sie bietet nur eine von mehreren möglichen Lösungen und dient als Vorlage für die Erstellung einer individuellen Normenarchitektur. Der vorgeschlagene Aufbau ist nicht zwingend. So ist es durchaus möglich, Ebenen zusammenzuführen und damit die Ausdehnung zu verflachen. Die Art der Ausführung ist natürlich von spezifischen Sicherheitsanforderungen jedes einzelnen Betriebes abhängig. Wichtig ist letzten Endes nur, dass Dokumente vorhanden sind, die das „Was“ festlegen und diejenigen, die darauf aufbauen und das „Wie“ beschreiben.



Die Figur einer Pyramide verdeutlicht, sowohl Umfang und Anzahl, als auch die Präzision einzelner Bestimmungen von Ebene Eins bis Fünf nehmen beständig zu. Während das Unternehmensleitbild an der Spitze für alle darunter liegenden Ebenen gilt, werden ab der zweiten Stufe unterschiedliche Ziele und Strategien für die jeweiligen Geschäftsbereiche festgelegt. Hierunter fallen beispielsweise Marketing-, Personal- und Finanzpolitik. In unserem Fall ist es die InfSec-Politik, die in Form der InfSec-Policy niedergeschrieben wird. Innerhalb dieses speziellen Bereichs werden dann weitere Grundsätze, Richtlinien, Leitfäden und Handbücher spezifiziert, die dieses Thema ergänzen.

Bis jetzt wurde in diesem Kapitel nur bis zur Ebene Zwei (InfSec-Policy) geschrieben. Die nachfolgenden Ränge drei bis fünf werden im Zuge des weiteren InfSec-Prozesses erstellt und in diesem Buch anschließend noch ausführlich behandelt. Aus Gründen der Vollständigkeit und der Verständlichkeit ist bereits an dieser Stelle die komplette Hierarchie aller Regelungen dargestellt.

1 Ebene 1 (Leitbild): Das Leitbild des Unternehmens hält fundamentale unternehmerische Gesamtziele für die Zukunft fest. Diese umfassen üblicherweise ökonomische (Leistungs-, Erfolgs-, Gewinnziele) - und soziale (Image, Mitarbeiterförderung, Vollbeschäftigung, Firmenethik, Existenzerhaltung usw.) Vorhaben.

1 Ebene 2 (normativ): Aufgrund des Unternehmensleitbildes werden weitere Grundsätze (allgemeine Rahmenbedingungen und Normen) abgeleitet, die für die Realisierung des Unternehmensziels benötigt werden. Hier sind etwa die Marketing-, Personal-, Finanz- und eben die InfSec-Politik angesiedelt.

1 Ebene 3 (strategisch): Ab jetzt verbleiben wir ausschließlich im Segment der InfSec-Politik. In Stufe drei befinden sich alle relevanten Prinzipien für die sicherheitsrelevanten Bereiche eines Unternehmens. Behandelte Thematiken erfolgen bereits zielgruppenorientiert (für Anwender, Geschäftspartner, Führungskräfte ...) oder themenbezogen (wie Virenschutz, IKT, Gebäudesicherheit, ...). Betroffene Aufgabenkreise und alle dafür bedeutenden strategischen Ziele, Aufgaben und Maßnahmen sind hier abgefasst. Auf diese Weise bilden diese Dokumente wiederum die Grundlage für weitergehende Schritte, wie beispielsweise die Erstellung von InfSec-Richtlinien oder Arbeitsanweisungen (Ebene 4).

1 Ebene 4 (regulativ): Den „Bereichsspezifischen Sicherheitsgrundsätzen“ der vorangehenden Ebene folgen detaillierte Normen. Diese werden in Form von Richtlinien, Arbeitsanweisungen oder Prozeduren ausgegeben. Beispiele sind hier „Merkblätter für die Benutzung von Smartphones“, „Richtlinien für die Benutzung von Social Media“, Katastrophenpläne und dergleichen mehr.

1 Ebene 5 (operativ): An der Basis der Pyramide finden sich Implementierungsleitfäden (Installationsanweisungen) und Handbücher für verwendete Werkzeuge, die vor Ort für die Umsetzung der InfSec-Politik eingesetzt werden. Auf hier beschriebene Hilfsmittel und Dokumente haben üblicherweise nur Mitarbeiter der zuständigen Abteilungen Zugriff.

Entsprechend obiger Erläuterung könnte eine Richtlinienpyramide folgendermaßen aussehen:

In der Praxis habe ich immer wieder erlebt, viele Menschen erkennen die Unterschiede zwischen den einzelnen Ebenen nicht klar. Anhand nachfolgender auszugsweise wiedergegebener Beispieltextinhalte einzelner Dokumente aller Ebenen lassen sich die Wesensmerkmale der verschiedenen Hierarchien leicht darstellen. Gut abzulesen ist, wie sich die von der Spitze zur Basis zunehmende Präzisierung und der Umfang der Formulierungen niederschlägt:

1 Ebene 1 („Unternehmensleitbild“): „... Es sollen Produkte unter dem Maßstab höchster Qualität, Geschwindigkeit und Sicherheit in dieser Denkschmiede erzeugt werden und uns schon demnächst zur Marktführerschaft verhelfen ...”.

1 Ebene 2 („InfSec-Policy”): „... Alle Daten sind gegen missbräuchliche Verwendung zu schützen ...

Sowohl logischer (EDV-mäßiger) Zugriff, als auch physischer Zutritt (in Objekte des Unternehmens) sind durch Berechtigungen zu regeln ... „.