Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

Für die Erlangung erwünschter Informationen eignet sich die Internettechnologie sehr gut. Fragen nach Qualität oder Erhebungen mittels digitaler Fragebogen sind bewährte Feedback-Lieferanten. Voting-Systeme, Web-Umfragen oder Gewinnspiele erfordern bereits mehr Aufwand, sind aber gut geeignet, einen Status Quo abzuleiten. Dieser kann in weiterer Folge als Ausgangspunkt zu einer weiteren Entscheidungsfindung dienen.

Durchaus sinnvoll ist, vorzusehen, eine Nachricht anonym abzugeben. Erfahrungsgemäß haben doch viele Menschen Angst, sich zu ihren Aussagen direkt zu bekennen. Letztendlich dienen alle kanalisierten Rückmeldungen dazu, zu prüfen, wie die Sicherheitssituation aus Fremdsicht empfunden wird.

Sobald es gelungen ist, alle Betroffenen ins selbe Boot zu bekommen, ist der Zeitpunkt erreicht, eine unternehmensweite InfSec-Politik festzulegen. Grundsätzliche Ziele, Strategien, Umfang, Verantwortlichkeiten und Vorgangsweisen aller Sicherheitsbemühungen im Betrieb bedürfen einer Festlegung. Wie in der Architektur erstellt man zuerst die Pläne, bevor die Bauphase beginnt. Themen, die als Schwerpunkte zu behandeln sind, sind jeweils vom individuellen Unternehmensleitbild abhängig. Ausgehend vom obersten Unternehmensplan werden danach alle Aufgabenkreise des Betriebs strategisch ausgerichtet. Auch alle InfSec-Ziele und -Strategien sind diesem untergeordnet und bestimmen in weiterer Folge die Sicherheitsobliegenheiten. Diese Vorgehensweise gewährleistet, dass alle weiteren Entscheidungen, Tätigkeiten und Investitionen innerhalb der gesamten Firma dazu dienen, strategische Unternehmensziele zu unterstützen.

Die Funktionen der InfSec bestehen in Wertsteigerung des Unternehmens, sowie in Schaffung und Erhaltung dessen Zuverlässigkeit und Vertrauenswürdigkeit. Dies bedeutet: Die Gewährleistung von Kontinuität und Korrektheit der Geschäftsabläufe und die Maximierung von Verfügbarkeit, Integrität, Vertraulichkeit der Informationen.

Das Streben nach ständiger Verbesserung der Qualität der Arbeitsprozesse und der damit verarbeiteten Informationen ist vermutlich bereits in jedem Leitbild integriert. Um diesen Vorsatz zu erreichen, bedarf es grundsätzlich der Sicherung und Erhaltung geistiger (Arbeitsprozesse, Know-how, ...) sowie materieller Vermögenswerte. Ein bedeutungsvoller Bestandteil dieser Bemühungen ist die geregelte Nutzung von Daten und Informationen. Hierbei stellen die wohl wichtigsten Aspekte die Vergabe der Zugangs- und Zutrittsrechte samt der Nachvollziehbarkeit dieser Vorgänge dar.

Damit InfSec überhaupt effektive Wirkung erzielt, bedarf es der Definition geeigneter organisatorischer, personeller, infrastruktureller und technischer Voraussetzungen. Den Knackpunkt hierbei stellen üblicherweise finanzielle Mittel dar. Es liegt auf der Hand, ohne Etat können Sicherheitsaufgaben kaum ernstzunehmend wahrgenommen werden. Aus diesem Grund empfiehlt sich, von Beginn an die jeweilige Finanzlage zu berücksichtigen. Die Definition und die spätere Verwaltung eines Sicherheitsbudgets wird am Besten in der InfSec-Politik festgelegt. Spätere Enttäuschungen lassen sich so vermeiden.

Um festzustellen, wo überhaupt Gefahren für das eigene Unternehmen liegen, sind dezidierte Ermittlungen und Analysen von Bedrohungen und Risiken nötig. Dazu erfolgt eine Inventur aller bestehenden Firmenwerte. In diesem Zusammenhang bietet sich eine Klassifizierung von Daten, Hardware, Software, Dokumentation und Anwender an. Dieser Vorgang dient, um zu ermitteln, welche Objekte auf welche Art geschützt werden.

Ein fundamentaler Bestandteil der InfSec-Politik sind Förderung und Pflege des Sicherheitsgedankens sowohl innerhalb des Unternehmens, als auch gegenüber Geschäftspartnern und der Öffentlichkeit. Diesem Thema wurde ja bereits genügend Raum gewidmet.

Mit der Veröffentlichung von Sicherheitsrichtlinien ist immer die Notwendigkeit deren Überprüfung verbunden. Schlussendlich muss auch untersucht werden, ob Regelungen befolgt werden. Würden sie nicht auf Einhaltung kontrolliert, wären sie ja obsolet. Eine entsprechende Ausführung zu diesem Thema ist ebenfalls Inhalt der InfSec-Politik. Unter Umständen ist es erforderlich, zu dieser Angelegenheit eine Betriebsvereinbarung abzuschließen.

In der Praxis häufig vernachlässigt ist das Controlling von Implementierung und laufendem Betrieb der ausgewählten Maßnahmen. Herrscht hier Mangel, verlaufen viele Sicherheitsprojekte im Sand und InfSec verliert an Wirksamkeit. Damit dies nicht passiert, wird angeraten, die Lenkungsaufgabe von Beginn an zu verankern.

Verlässlichkeit bezieht sich auf die Minimierung der Wahrscheinlichkeit, dass ein Schaden eintritt. Selbst im Fall der Fälle - etwa wenn bereits ein Missgeschick passiert ist - muss umgehendst reagiert werden. Ein wichtiges Hilfsmittel in Notlagen stellt ein Katastrophenplan dar. Dieser regelt die Behandlung von sicherheitsrelevanten Ereignissen. Weiters legt er Eskalationsprozeduren und Verantwortlichkeiten fest. Unumgänglich ist, festzulegen, dass dieses Dokument rechtzeitig erarbeitet und permanent aktualisiert wird.

Wie bereits erwähnt, existieren in nahezu jedem Land gesetzliche Vorschriften, die in bestimmter Weise Sicherheitsanforderungen vorschreiben 47. Es ist auch Aufgabe der InfSec-Politik, für die Wahrung dieser juristischen Vorgaben zu sorgen. Ein wichtiger Aspekt ist zudem die Behandlung der Rechte Betroffener hinsichtlich Datenschutz (wie Auskunftsrecht, Recht auf Richtigstellung, Unterrichtung und Zustimmung ...) 48. Auch entsprechende Regelungen für die Datenverarbeitung im Auftrag oder unter Einbeziehung Dritter sind erforderlich 49.

Aus all den vorher beschriebenen Aufgaben leitet sich die Definition einer individuellen unternehmensweiten InfSec-Politik ab. Entscheidend für die dabei jeweils gehandhabte Philosophie ist der Ansatz, Regelungen anzuwenden. Prinzipiell bieten sich drei Varianten an:

1 Was nicht speziell erlaubt ist, wird generell verboten. Dieser Blickwinkel stellt eine einfache und billige Strategie dar. Empfehlenswert ist eine solche Taktik in erster Linie dann, wenn Neuerungen zum Einsatz kommen, von denen zu Beginn noch nicht gesagt werden kann, wie sie sich später auf die Sicherheit auswirken. Im Laufe der Zeit lässt sich in solch einem Fall - falls nötig - die ursprünglich einschränkende Bestimmung den Umständen angepasst lockern. Zu bedenken ist, ein restriktives Verfahren birgt eine große Schwäche in sich: Oftmals zeigt es sich unflexibel und kann dadurch im Anlassfall zu Verzögerungen und chaotischen Zuständen führen.

2 Was nicht speziell verboten ist, ist grundsätzlich erlaubt. Diese Ideologie ist bereits wesentlich aufwendiger und teurer als die Vorhergehende. Aber auch sie weist einen Mangel auf: Üblicherweise impliziert sie eine Holschuld für Betroffene. Sie sind verpflichtet, sich permanent am letzten Stand der Dinge zu halten. Ebenso wie bei der ersten Variante können sich im Anlassfall Fehler oder Nachlässigkeiten produktivitätshemmend auswirken.

3 Idealer Ansatz ist, notwendige Rechte zur richtigen Zeit den richtigen Personen zu geben. Dieses Prinzip ist als „Need-to-Know“ bekannt. Es sieht vor, Mensch, Technik, Aufgaben, sowie alle Beziehungen dieser drei Elemente untereinander im richtigen Maß dynamisch zu kombinieren. Die einer Person zugeordnete Rolle muss der vorgesehenen Aufgabenerfüllung zur Zielerreichung entsprechen. Speziell im Zeitalter des E-Business ist es notwendig, gleichzeitig offen und restriktiv zu sein. Beispielsweise braucht auf der einen Seite der Kunde die Möglichkeit, seine Wünsche erfüllt zu bekommen, während im selben Moment unerwünschte Einflüsse (wie Viren, Hacker ...) abgehalten werden müssen. Die Kunst, mit dieser Situation umzugehen, ist später noch ausführlich beschrieben („Fallbeispiele“).