Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

1 Eine neue, sündteuere Zutrittsanlage wird angeschafft. Die Administration der Berechtigungskarten funktioniert aber nicht. Nicht mehr benötigte Berechtigungen bleiben aufrecht. Auf der einen Seite werden Ausweise von Leuten, die nicht mehr für das Unternehmen arbeiten, nicht eingezogen. Andererseits erhalten Besucher Zutrittskarten, obwohl sie gar nicht für diesen Betrieb arbeiten. Einfachheitshalber überlässt man sie der eigenen Verantwortung.

1 Hinzu kommt, dass zwar der Vordereingang gesichert ist, der Lieferantenzugang hingegen nicht überwacht wird. Bei Anlieferung hält ein Keil die Tür offen.

1 Nicht gerade billige Softwaretools sichern das Firmennetz gegen Hackerangriffe ab, doch innerhalb des Netzes herrscht vollständiges Chaos. Eine Vergabe für Zugriffsberechtigungen ist nicht geregelt, Benutzerkennzeichen ausgeschiedener Mitarbeiter bleiben ewig lange gültig, ein Berechtigungskonzept fehlt vollkommen. Nahezu jeder kann Daten, die gar nicht für ihn bestimmt sind, einsehen und manipulieren. Missbrauch ist Tür und Tor geöffnet.

Solche unnötigen Fehler passieren. Hohe Kosten entstehen, Gelder werden verschleudert, aber der Nutzen lässt zu wünschen übrig. Das muss nicht sein! Im Zuge meiner Tätigkeit habe ich die Erfahrung gewonnen, dass trotz verschiedenster Strategien, Branchen, Unternehmen, Nationalitäten und involvierter Menschen im Grund genommen immer gleichartige Anforderungen an die InfSec bestehen. Schenkt man diesen fundamentalen Ansprüchen genügend Aufmerksamkeit und hält sich dabei an einige grundsätzliche Prinzipien, lassen sich relativ schnell, einfach und kostengünstig gute Fortschritte erzielen.

In meiner Lektüre sind alle wesentlichen Aspekte der Standardliteratur extrahiert, zusammengefasst und leicht verständlich formuliert. Unnötiger Overhead an Inhalten wird vermieden. Aufwendige Prozeduren sind weitgehend vereinfacht, wodurch sie - Zeit und Kosten sparend, aber dennoch – wirksam umgesetzt werden können. Sämtliche aufgezählten Maßnahmen sind universell umsetzbar. Durch den umfassenden und kompakten Aufbau des Buchs ist es für den Leser möglich, rasch einen ausgiebigen Überblick über die gesamte Materie zu erlangen. Ich habe Wert darauf gelegt, eine praxisgerechte und realistische Einschätzung von Bedrohungen, Risiken und Kosten zu vermitteln. Wer weiss, wo wirklich Gefahren lauern und welche Mittel dagegen existieren, kann gezielt und angemessen agieren. Unternehmen, egal welcher Größe und Branche, haben die Möglichkeit, anhand beschriebener Prinzipien leicht zu erkennen, was zu beachten ist, damit sie rasch, wirksam und kostengünstig ein hohes Maß an Sicherheit erreichen.

Ein besonderes „Add-On“ stellt ein Abschnitt über Security-Controlling (siehe „ Prozessoptimierung/Controlling “) dar. Dieses Thema ist in keiner mir bekannten Publikation zu finden. Mit Hilfe ausgewählter Steuerungsmechanismen ist es möglich, das Sicherheitsgeschehen aktiv zu gestalten und somit optimale Wertschöpfung zu lukrieren.

Zielpublikum

1 Leiter von Firmen (jeder Größe und Branche): Primär ist dieses Werk an Chef eines Unternehmens adressiert. Der Grund dafür liegt darin, dass der erste und wichtigste Schritt für weiteren Erfolg sein muss, die Geschäftsverantwortlichen für den Sicherheitsgedanken zu gewinnen. Die wohl größte Barriere für gelungen umgesetzte InfSec ist mangelndes Bewusstsein der Führungsebene 16. Die Gunst des „Chief-Executive Officers“ (CEO) erlangt man allerdings nur dann, wenn er genau über die Kosten und den Nutzen von Security Bescheid weiß. Ist es ihm möglich, festzustellen, was ihm Risikomanagement bringt, und wie er mit wenig Aufwand einen effektiven Zustand erreicht, wird der die Unverzichtbarkeit von InfSec erkennen und diese vorantreiben.

1 Chief Information Officer (CIO) / Leiter Informationstechnologie (IT-Leiter, IT-Verantwortlicher): Die Hauptaufgabe eines CIOs ist die Sicherstellung des reibungslosen Betriebs der IT-Infrastruktur. Dazu zählen die Kernbereich der InfSec: Verfügbarkeit, Integrität, Vertraulichkeit. Damit liegt auf der Hand, dass ausreichendes Wissen bezüglich InfSec für einen CIO unumgänglich ist.

1 Sonstige Entscheidungsträger (Abteilungsleiter): Einige Unternehmen haben bereits Sicherheitsmaßnahmen etabliert und dafür Personal beschäftigt. In diesem Fall will jeder Entscheidungsträger wissen, wie effizient seine Mitarbeiter und die eingesetzten Methoden arbeiten. Bestehen eventuell Möglichkeiten, Kostensenkungen zu erzielen? Mittel und Wege, die diese Frage beantworten, sind in diesem Buch zu finden.

1 Sicherheitsbeauftragte: In den meisten Fällen ist davon auszugehen, dass der Topmanager die Sicherheitsaufgaben delegiert. Die Bezeichnung „Sicherheitsbeauftragter“ dient hier als Sammelbegriff für alle Tätigkeiten, die im Zusammenhang mit Aufbau und Aufrechterhaltung von InfSec stehen. In großen Unternehmen existieren spezielle Abteilungen wie „Revision“, „Security-Management“ oder „Datenschutzbeauftragter“, die sich mit Sicherheitsfragen beschäftigen. In kleineren Firmen werden diese Aufgaben oft von bereits bestehenden Stellen, wie z.B. der Computerabteilung mit erledigt. Für alle diese Personen hält dieses Buch universelle Inhalte bereit, die als Hilfe und Anregung, als Leitfaden, oder zur Nachschlagemöglichkeit dienen. Speziell für die Steigerung der Effizienz ihres Aufgabenbereiches finden sich eine Menge Tipps.

Konkrete Zahlen dienen einer besseren Argumentation gegenüber einerseits der Unternehmensleitung, die überzeugt werden muss, und andererseits alle sonstigen von InfSec berührten Personen, deren Kooperation ebenfalls zu gewinnen ist. Die beschriebenen Ausführungen sollen dem „Sicherheitsbeauftragten“ helfen, sein Leben zu erleichtern und sowohl seinen eigenen als auch den Erfolg der gesamten Firma zu sichern.

1 Consulting-Firmen: Die Beratungsbranche setzt große Hoffnungen in das Thema InfSec. Tatsächlich ist Outsourcing ein wichtiges Thema für Sicherheitsaufgaben. Beispiele hierfür wären Risikoanalyse oder Zertifizierung. Für Anbieter von InfSec-Diensten kann dieses Werk wertvolle Erkenntnisse liefern.

1 Sonstige: Natürlich sind auch alle sonstigen zu einem Unternehmen gehörige Stakeholder zumindest indirekt von Sicherheitsauswirkungen betroffen. Dazu zählen im weitesten Sinne Mitarbeiter, Kunden, Geschäftspartner, öffentliche Institutionen und Investoren. Informationstechnologie (IT) nimmt immer mehr Raum im Leben eines Jeden von uns ein. Privat- und Berufswelt verschmelzen zunehmend. Teleworking, mobile Dienste, Soziale Netzwerke oder Online-Geschäftsabwicklungen bieten hierfür gute Beispiele. Leider fehlen einer großen Zahl von Menschen Bewusstsein und Verständnis für Gefährdungsmöglichkeiten, 17die mit dieser Entwicklung verbunden sind. Unbedachte Handhabung neuer Technologien stellt eine große Gefahr für die Wirtschaft und letztendlich auch für jeden einzelnen Beschäftigten dar. Es darf nicht vergessen werden: Menschen zu überzeugen kommt billiger und effektiver, als Tools zu kaufen, die zur Überzeugung nötigen.

Auf der anderen Seite legen viele Internetbenutzer in puncto Websicherheit vor allem auf verstärkte Aufklärung wert 18. Die Ausführungen dieses Buchs können helfen, auch diesem Personenkreis neue Perspektiven zu vermitteln.

Für das Verständnis des Buchinhaltes ist kein spezielles Vorwissen notwendig. Aus diesem Grund bietet diese Publikation Jedem, der sich für InfSec interessiert und effektive Orientierung sucht, die Möglichkeit, einen guten Überblick zu erlangen.

Grundsätzliches

Ursprünglich, als ich begonnen habe, dieses Buch zu schreiben, war es überwiegend für Fachleute ausgerichtet. Ich habe es damals als Checkliste für mich und meine Mitarbeiter konzipiert. Im Zuge des Schreibens habe ich zunehmend realisiert, nicht die Technik stellt das Problem dar, sondern das Verständnis des Managements und der Betroffenen. Um deren Gespür für InfSec zu wecken, habe ich versucht, das Thema allgemein, umfassend und etwas philosophisch zu behandeln.