Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

Keine Strategie hinsichtlich Sicherheitsbestrebungen zu besitzen, stellt zweifellos die schlechteste Wahl unter allen Möglichkeiten dar. Wer nichts gegen vorherrschende Gefahren unternimmt, bleibt den allgegenwärtigen Bedrohungen schutzlos ausgeliefert. Als Konsequenz besteht übergroße Gefahr, enorme Werte zu verlieren, obwohl dies vermeidbar wäre. Irgendwie erinnert diese Haltung an eine Vogel-Strauß-Mentalität, die sich ja bekannterweise fatal auswirken kann.

Eine andere, gerne gebrauchte Taktik lautet: „Wenn es soweit ist, werden wir schon etwas unternehmen“. Eine solche Vorgehensweise lässt sich als defensive Strategie bezeichnen. Sie zielt darauf ab, ein billiges Ergebnis zu erreichen und erweist sich nach dem vorher beschriebenen Fehlen eines Schlachtplans als zweitschlechteste Alternative. In der Praxis ist diese Methode leider am Häufigsten anzutreffen: Die jeweilige Führungsspitze erkennt (meistens gezwungenermaßen) die Notwendigkeit zum Handeln und versucht, eine schnelle Lösung zu finden. Diese Art zur Problembewältigung zeugt von Konzeptionslosigkeit. Meistens entsteht dabei ein wirkungsloses Flickwerk, welches unter dem Strich mehr Aufwand verursacht, als es Nutzen bringt 42. Die Reaktion auf einen Notfall erfordert auf den letzten Stand geschultes Personal, Ersatzteile, spezielles Werkzeug usw. Vergleichen wir es mit einem Reflex: Im Anlassfall wird automatisch mit bereits vorhandenen Mitteln reagiert. Erst nachzudenken zu müssen, was zu tun ist, kann in der freien Wildnis das Leben kosten. Das Gleiche gilt auch für einen Geschäftstreibenden im Dschungel des Wirtschaftsmarktes.

Auf der anderen Seite bedeutet die Omnipräsenz ständig wachsender Bedrohungen wiederum nicht, in Paranoia zu verfallen. Es ist kaum vorstellbar, doch es existieren tatsächlich Unternehmen, wo regelrechter Verfolgungswahn herrscht. 43Dort praktiziert man verschiedene eigenartige Verhaltensweisen, die aber allesamt nicht zielführend sind. Eine mögliche Form ist, sich den Möglichkeiten des Marktes zu verschließen, nur weil es gefährlich werden könnte. Abgesehen davon, dass es wahrscheinlich vom wirtschaftlichen Standpunkt her gar nicht durchführbar ist, bedeutet es zudem einen wenig sinnvollen und realistischen Weg. Bedrohungen wird es immer geben. Sie sind Teil des Geschäftsdaseins. Vollständigen, also hundertprozentigen Schutz gibt es, wie im gesamten sonstigen Leben, auch hier nicht. Was aber getan werden kann, ist das Maß seiner Sicherheit zu erhöhen.

Eine andere paranoide Verhaltensweise drückt sich darin aus, das Misstrauen gegenüber seinen Mitarbeitern zu übertreiben. In solchen Firmen herrscht die Aura von Bespitzelung und Geheimdienstaktivität. Letztendlich entsteht enorme Unruhe, die zu allgemeiner Unzufriedenheit und Destruktivität führt. 44Die Gefahren, die dadurch aufkommen, sind kontraproduktiv zur eigentlichen Absicht, das Bewusstsein aller Betroffenen zu fördern. Überwachung ist zweifellos ein wichtiger Teil der InfSec. Freilich muss aber das Verhältnis zu den Geschäftsabläufen stimmen. Wenn Kontrollvorgänge dominieren, sollten die Prozesse überdacht werden, denn dann läuft etwas falsch.

Ideal ist, wenn sich InfSec nicht auf einzelne Teilaspekte beschränkt, sondern von Anfang an integraler Bestandteil des gesamten Geschäftskonzeptes ist. Sicherheit als Querschnittsfunktion ist Teil der Produkte. Sie dient nicht dem Selbstzweck, sondern wird permanent in alle Geschäftsabläufe integriert. Es nützt herzlich wenig, einfach nur bloß ein bestimmtes Erzeugnis zu kaufen und zu glauben, damit ist der Schutz erhöht. InfSec kann nicht so ohne weiteres angeschafft werden. Nur zeitgerechter und konzeptioneller Aufbau sorgen für umfassende und optimale Sicherheit Eine offensive Strategie maximiert die Chancen und sichert den Erfolg.

Jeder Mensch verfügt über ein anderes Empfinden hinsichtlich Sicherheit. Das Gefühl geschützt zu sein ist hochgradig subjektiv. Daher ergeben sich bei jeder Person individuell unterschiedliche Anforderungen an Sicherheitskriterien. Bei einem Unternehmen verhält es nicht anders. Selbst Firmen, die in derselben Branche agieren, werden unterschiedliche Schwerpunkte festlegen. Worum es aber in allen Fällen geht, ist - ausgerichtet auf die Unternehmensziele - proaktiv die richtige Ausgewogenheit zwischen Wirtschaftlichkeit, gesetzlichen Bestimmungen, Organisation, Technologie, Praxis und Akzeptanz zu finden:



Ich habe Unternehmensleiter bereits sagen gehört: „Klingt ja alles schön und gut, aber wieso soll ich dafür Geld ausgeben?“ Nun, es gibt eine Reihe von Gründen, wieso InfSec in jedem Unternehmen ein wichtiges Thema ist:

1 Gesetzliche Bestimmungen: Diverse Rechtsvorschriften schreiben dezidiert Sicherheitsaktivitäten vor. In erster Linie ist hier das Datenschutzgesetz zu nennen, das nahezu in jedem europäischen Land existiert. Aber auch andere Bestimmungen, die je nach Nation unterschiedlich sein können, wie Urheberrecht, Aktienrecht usw., verlangen nach einer funktionierenden InfSec-Struktur. Speziell zu erwähnen wären hier allgemein gültige Regelungen für internationalen Datenverkehr.

1 Geschäftsverantwortung: Der CEO trägt Verantwortung gegenüber dem Konzern, den Aktionären, der Holding und sonstigen Auftraggeber, die ihm deren Vertrauen zur Wahrung ihrer Interessen übertragen haben. Natürlich besteht auch gegenüber eigenen Mitarbeitern die moralische Verpflichtung, deren Arbeitsplätze zu erhalten und den täglichen Geschäftsbetrieb bestmöglich zielgerecht zu führen. Dazu zählt auch die Aufgabe, für ausreichenden Schutz aller Werte zu sorgen.

1 Vertragliche Bestimmungen: Bei Outsourcing, Konsolidierung, strategischen Allianzen und internationaler Vernetzung ist die Frage nach Verantwortlichkeit bei Schadensereignissen zunehmend ein wichtiges Thema. Vielfach werden Geschäftsbeziehungen per Service Level Agreement (SLA) geregelt. Sicherheit wird darin als Ware gesehen. Sie ist Teil der Vereinbarungen, welche die Qualität der zu erbringenden Leistung beschreiben. Darin ausgehandelte Leistungen sind zu garantieren, ansonsten drohen mitunter saftige Pönalezahlungen.

1 Erwartungen der Geschäftsteilnehmer: Bei Kunden und Lieferanten findet bereits eine zunehmende Sensibilisierung hinsichtlich der Sicherheit ihrer Daten und des Schutzes ihrer Privatsphäre statt. Die Menschen fragen danach, wie mit ihren Daten umgegangen wird. Man will wissen, was mit ihnen passiert, wo sie gespeichert sind, wer Zugang hat und welche Missbrauchsrisiken bestehen. Schließlich wollen alle Betroffenen, dass ihre Rechte gesichert bleiben.

1 Druck der Medien: Berichterstatter fokussieren sich zunehmend auf Zwischenfälle im InfSec-Bereich. Selbst kleine Vorfälle werden medial ausgeschlachtet und machen in Windeseile die Runde in diversen Sozialen Netzwerken. Der Image-Schaden, der dadurch entstehen kann, ist fallweise enorm.

1 Politischer Druck: Politische Entscheidungsträger sehen den Schutz der nationalen Infrastruktur spätestens nach dem 11. September 2001 zweifellos als vorrangige Aufgabe. Ein Beispiel: Regierungsstellen mehrerer Länder haben bereits führende IKT-Unternehmen aufgefordert, die Sicherheit ihrer Produkte „dramatisch“ zu erhöhen.

1 Technologien: Die Entwicklung neuer Technologien im IKT- und Kommunikationsbereich wird begleitet von einem ebenso schnellen Wachstum der Bedrohungspotenziale 45. Betroffene Infrastrukturen sind aber Basis jeder Geschäftstätigkeit. Adäquate InfSec dient dazu, deren Funktionalität permanent aufrecht zu erhalten.