54,99 €
Mehr erfahren.
- Herausgeber: MITP
- Kategorie: Wissenschaft und neue Technologien
- Serie: mitp Professional
- Sprache: Deutsch
- Mit einem durchdachten IT-Sicherheitskonzept zu mehr Informationssicherheit
- IT-Security-Management praxisnah erläutert: Sicherheitsrichtlinien, IT Compliance, Business Continuity Management, Risikomanagement und Security Audit
- Aufbau eines Information Security Management Systems (ISMS) nach ISO 27001 und BSI-Grundschutz
Umfassendes Praxiswissen für IT-Security-Manager
Daten werden heutzutage in Public Clouds verlagert und dort verarbeitet, auf Mobiltelefonen gespeichert, über Chat-Apps geteilt oder im Rahmen von Industrie 4.0 in einer Größenordnung erfasst, die bislang kaum denkbar war. IT-Security-Manager müssen die entsprechenden Maßnahmen nicht nur an diese Veränderungen anpassen, sondern auch an die EU-Datenschutz-Grundverordnung, das IT-Sicherheitsgesetz, die Anforderungen von Kunden oder das China Cybersecurity Law.
Dieser Praxisleitfaden wird Ihnen als IT-Security-Manager helfen, sich in der riesigen Menge an Einzelthemen und Aufgaben zurechtzufinden.
Typische Fragestellungen und Antworten für den Berufsalltag
Jedes Kapitel beschreibt ausführlich jeweils einen Bereich der IT-Security. Die notwendigen theoretischen Grundlagen wechseln sich dabei ab mit Tipps aus der Praxis für die Praxis, mit für den Berufsalltag typischen Fragestellungen, vielen konkreten Beispielen und hilfreichen Checklisten. Alle Teilgebiete werden abschließend in einem Kapitel zusammengeführt, das die Einführung und Weiterentwicklung eines IT-Sicherheitsmanagements auf Basis der ISO-27000-Normen-Familie unter Beachtung der datenschutzrechtlichen Bestimmungen der EU-DSGVO behandelt.
Praxisleitfaden und Nachschlagewerk
So erhalten Sie sowohl einen kompetenten Praxisleitfaden – auch für den Berufseinstieg – als auch ein umfassendes Nachschlagewerk für Ihre tägliche Arbeit.
Aus dem Inhalt:
- Umfang und Aufgabe des IT-Security-Managements
- Organisation der IT-Security
- IT-Compliance
- Kundenaudits am Beispiel TISAX
- Verzahnung von Informationssicherheit und Datenschutz
- Organisation von Richtlinien
- Betrieb der IT-Security
- IT Business Continuity Management
- IT-Notfallmanagement
- Verfügbarkeitsmanagement
- Technische IT-Security
- IT-Risikomanagement
- Sicherheitsmonitoring
- IT-Security-Audit
- Management von Sicherheitsereignissen und IT-Forensik
- Kennzahlen
- Praxis: Aufbau eines ISMS
- Awareness und Schulung
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 722
Veröffentlichungsjahr: 2025
Ähnliche
Thomas W. Harich
IT-Sicherheitsmanagement
Das umfassende Praxis-Handbuch
IT-Security und technischer Datenschutz nach ISO/IEC 27001 und IT-Grundschutz
Impressum
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über https://portal.dnb.de/opac.htm abrufbar.
ISBN 978-3-7475-0994-4 4. Auflage 2025
www.mitp.de E-Mail: [email protected] Telefon: +49 7953 / 7189 - 079 Telefax: +49 7953 / 7189 - 082
© 2025 mitp Verlags GmbH & Co. KG, Augustinusstr. 9a, DE 50226 Frechen
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Dieses E-Book verwendet das EPUB-Format und ist optimiert für die Nutzung mit Apple Books auf dem iPad von Apple. Bei der Verwendung von anderen Readern kann es zu Darstellungsproblemen kommen.
Der Verlag räumt Ihnen mit dem Kauf des E-Books das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Der Verlag schützt seine E-Books vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die E-Books mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert. Bei Kauf in anderen E-Book-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.
Lektorat: Katja Völpel Sprachkorrektorat: Katja Völpel Coverbild: nightstranger1/stock.adobe.com Satz: III-satz, Kiel, www.drei-satz.deelectronic publication: III-satz, Kiel, www.drei-satz.de
Einleitung
Anmerkung zur vierten Auflage
Auch wenn die grundlegenden Pfeiler des IT-Sicherheitsmanagements immer noch dieselben sind wie in der ersten und den darauffolgenden Auflagen, so hat sich innerhalb der verschiedenen Themenbereiche dennoch vieles getan. Aus diesem Grund habe ich die vierte Auflage genutzt alle Kapitel gründlich zu überarbeiten, zu erweitern, veraltete Vorgehensweisen zu entfernen und neue hinzuzufügen. Damit trage ich auch den neuesten europäischen Regularien Rechnung, die eine neue Perspektive in das Thema einbringen. Es ist schlicht etwas anderes, ob ein Unternehmen Sicherheit nur aus der Innensicht heraus voranbringt oder ob durch Gesetze eine gesamtwirtschaftliche Sichtweise hinzugefügt wird. So ist das erklärte Ziel aus Sicht der europäischen Nationalstaaten und letztendlich aus europäischer Sicht, die Sicherheitsrisiken über alle relevanten Branchen im Blick zu haben und zu jeder Zeit eine Art Übersicht über die Gefährdungslage im Zugriff zu haben. Natürlich ist man davon noch Jahre entfernt, aber die ersten Schritte wurden mit dem IT-Sicherheitsgesetz begonnen und werden nun mit NIS2 (Network and Information Security Directive 2) fortgesetzt. Wenn man über den europäischen Tellerrand hinausblickt, stellt man fest, dass Länder wie Indien oder China dem europäischen Raum schon ein paar Jahre voraus sind.
Fortschritte macht zudem das organisierte Verbrechen. Die Zeitspanne, die zwischen der ersten Phising-Mail und der erfolgreichen Verschlüsselung von Daten liegt, sinkt weiter von mehreren Tagen auf wenige Stunden. Der steigende Automatisierungsgrad der verschiedenen Phasen eines Angriffs legt nahe, dass diese Zeitspanne weiter sinken wird. Dementsprechend schnell müssen die Verteidiger einen Angriff entdecken und zielgerichtet darauf reagieren. Damit verschiebt sich generell der Fokus weiter weg von den präventiven Maßnahmen wie dem klassischen Antivirenprogramm hin zum Management von Sicherheitsereignissen und deren Behandlung.
Diesen neuen Schwerpunkten trage ich Rechnung, indem ich die entsprechenden Kapitel erweitert habe.
Mein Dank gilt auch dieses Mal all denjenigen, die sich mit Lob oder konstruktiver Kritik eingebracht haben. Dazu gehören neben den Hochschulen auch Vertreter von Unternehmen, die als praktische Anwender und Umsetzer ganz genau sehen, wo es Raum für Verbesserungen gibt, und dies auch an mich weitergegeben haben.
Über die Zielgruppe
Noch immer ist die Bandbreite an Ausbildungen, die ein typischer IT-Security-Manager vorweisen kann, überraschend groß. Das liegt vermutlich daran, dass die Aufgabe vor allem ein gut ausgeprägtes analytisches Denken voraussetzt, das auf einem breiten technischen Verständnis für IT-Zusammenhänge aufsetzt. Da der technische Background, genauso wie die Kompetenz hinsichtlich Compliance-Themen, auch nachträglich, durch Weiterbildungen, ausgebaut werden kann, ist es durchaus möglich, sich auch als Quereinsteiger für einen solchen Job zu qualifizieren. Das ist aber nur die halbe Wahrheit. Im Zuge der vielen neuen Studiengänge im Bereich der Informationssicherheit wird die Konkurrenz mit passenden Bachelor- und Masterabschlüssen weiter zunehmen. Wenn man einen solchen Abschluss nicht nachweisen kann, dann empfiehlt es sich in jedem Fall, passende Zertifizierungen zu erwerben.
Weiterhin gilt, dass die Aufgabe zukunftssicher ist und an Vielschichtigkeit eher zunimmt als abnimmt. Gerade die Komplexität schafft die Chance, dem Arbeitsplatz den eigenen Stempel aufzudrücken, und wenn man die Grundlagen einmal verstanden hat, fällt es schwer, sich eine spannendere Aufgabe vorzustellen. Das Gebiet der IT-Security ist nicht so alt, als dass es bereits fest ausgetretene Pfade gäbe. Vielmehr gehen die Meinungen, was denn ein IT-Security-Manager zu tun hat, weit auseinander. Damit muss sich die IT-Security-Organisation dem Unternehmen flexibel anpassen. Stetige Veränderungen, hinzukommende Verknüpfungen mit anderen Abteilungen und die laufende Kommunikation mit denen, die Daten verarbeiten, und denen, die sie verwalten, bringen einerseits Abwechslung und andererseits den Druck, laufend hinzuzulernen.
Für alle, die frisch einsteigen, schon Erfahrungen haben oder gar aus einem ganz anderen Fachgebiet heraus quereinsteigen und nun auf einfache, aber doch umfassende Art in die Thematik IT-Security eingeführt werden wollen, ist das vorliegende Buch gedacht.
Aufbau des Buches
Für eine strukturierte Vorgehensweise beim Durcharbeiten des Buches ist es sinnvoll, mit dem ersten Kapitel »Umfang und Aufgabe des IT-Security-Managements« zu beginnen. Im Grunde umreißt es das Aufgabengebiet und bringt die verschiedenen Themen in einen Zusammenhang. Ein guter Einstieg, um danach zielgerichtet diejenigen Kapitel zu betrachten, die einem selbst am interessantesten erscheinen. Aus diesem Grund sind alle Kapitel so verfasst, dass ein direkter Einstieg erleichtert wird.
Ansonsten gilt: Für ein durchgängiges Verständnis und als eine Art roter Faden ist es empfehlenswert, sich erst um Fundament und Dach zu kümmern, bevor die verschiedenen Säulen abgearbeitet werden.
Jedes Kapitel beschreibt einen zusammenhängenden Themenbereich der IT-Security. Der Aufbau bleibt dabei immer ähnlich. Obligatorische Theorie wechselt sich ab mit Tipps aus der Praxis für die Praxis, ein paar Beispielen und dazu Aufzählungen und Checklisten als Hilfestellung. Die einzelnen Themen umfassen dabei das notwendige Wissen, um den Arbeitsplatz IT-Security ausfüllen zu können, und häufig noch etwas mehr.
Die Aufgaben eines IT-Security-Managers sind vielfältig und abwechslungsreich, bauen aber immer wieder aufeinander auf. Es gibt Themen wie das IT-Risikomanagement, die in den verschiedensten Fragestellungen immer wieder auftauchen. So ist das Wissen notwendig, wie eine Risikobewertung durchgeführt wird, wenn es darum geht, Prioritäten in der Notfallvorsorge zu treffen, aber genauso auch im alltäglichen Betrieb, wenn es um die Berechtigungsvergabe oder die Entscheidung für und wider eine einzukaufende Software geht. Aus diesem Grund wird dieses Aufgabenfeld als Teil der Dachkonstruktion in der Abbildung abgebildet.
Die weiteren Elemente des Hauses stellen die anderen Kapitel des Buches dar. Manche Themen bilden das Fundament für den gesamten Komplex, wieder andere bilden zusammen mit einem oder zwei Bereichen eine Einheit. So sind die Kapitel zum IT-Notfallmanagement und zum Verfügbarkeitsmanagement zwei Teile des übergeordneten Themas IT Business Continuity Management.
Die Wahl, die IT-Security-Organisation, die IT-Compliance, das IT-Security Incident Management und die Bildung von Awareness als Fundament zu nutzen, fiel aufgrund der Tatsache, dass es nicht möglich ist, sie immer und immer wieder mitzubetrachten. Gleichgültig, welche Maßnahme implementiert oder welche Richtlinie durchgesetzt werden soll, immer stellen sich die Fragen, wie diese zu kommunizieren und zu schulen ist, wie die inneren und äußeren Anforderungen aussehen und wie die IT-Security-Organisation aufgebaut sein muss, um dies auch bewältigen zu können.
Ein Kapitel sticht etwas hervor. Das reine Praxiskapitel über die Einführung eines Information Security Management Systems (ISMS) steht etwas abseits am rechten Rand des Hauses. Diese Zuordnung soll vergegenwärtigen, dass alle im Buch behandelten Themen in irgendeiner Art und Weise Teil des ISMS sind. Die Zusammenführung und die Annäherung an die Praxis werden an dieser Stelle vertieft angegangen.
Kapitel 1: Umfang und Aufgabe des IT-Security-Managements
1.1 Kapitelausblick
Im ersten Kapitel werden die einzelnen Themengebiete des IT-Security-Managements in einen Gesamtzusammenhang eingebettet. Es wird erläutert, warum man Informationen schützen muss und wie diese Aufgabe durch die IT-Security-Organisation wahrgenommen wird.
Die Top-5-Fragen zum aktuellen Kapitel:
Sind die Aufgabengebiete definiert, die dem IT-Security-Management zugeordnet werden?
Sind die organisatorischen Einheiten, die sich um die Betreuung von sicherheitsrelevanten Systemen kümmern, darüber informiert und dahin gehend instruiert, dass sie sich im Einflussbereich des IT-Security-Managements befinden?
Wurden Schutzziele zusammen mit der Unternehmensleitung definiert?
Werden die Grundregeln (Prinzipien) im Umgang mit Informationen kommuniziert und in der Praxis umgesetzt?
Werden die Grundpfeiler der IT-Security, das IT-Risikomanagement, die IT-Compliance und die IT-Governance, auch in Verbindung mit dem IT-Security-Management gebracht und damit auch als Aufgabe des Managers IT-Security gesehen?
1.2 Einführung
Ransomware, die Sicherheit der Lieferkette, neue europäische Cyber-Gesetze wie NIS2, Heimarbeitsplätze, Cloud-Services und viele andere Themen beherrschen die Schlagzeilen in den Medien genauso wie die Diskussionen in den Fachkreisen. Angesichts der Wucht dieser Themen und den häufig noch fehlenden, umfassenden Sicherheitsarchitekturen, die man benötigt, um diese zu beherrschen, geht immer häufiger das Gefühl dafür verloren, wie die verschiedenen Sicherheitsfelder miteinander verwoben sind. Klassische Aufgaben der Prävention, wie der Schutz vor Schadsoftware oder das Patchen, müssen mit der aktiven Erkennung von Angriffen zusammenspielen, um effizient zu sein. Altes Wissen, das aus den Frühzeiten der Personal Computer stammt, trifft auf völlig neue Angriffsmuster. In dieser Gemengelage ist es die Aufgabe des Managers IT-Security, den Überblick zu bewahren und auf die wesentlichen Bedrohungen mit den erforderlichen Maßnahmen in angemessener Weise zu reagieren. Im Sprachgebrauch dieses Buches unterscheidet er sich damit von einem IT-Security-Experten, der Fachmann für ein dediziertes Feld der IT-Security ist und sich überwiegend auch nur innerhalb dieses Arbeitsgebiets bewegt.
Der Manager IT-Security sieht sich in der Situation, das Know-how des Unternehmens zu schützen, indem er Bedrohungen erkennt, abschätzt und diesen dann geeignete Sicherheitskonzepte und Maßnahmen entgegensetzt. Zu diesem Zweck bedient er sich Werkzeugen, die in diesem Buch dargestellt werden. Diese Werkzeuge haben sich über die Jahre bewährt und in der Zwischenzeit auch international durchgesetzt. Aus diesem Grund ist es nicht überraschend, dass sich eine vergleichsweise junge EU-Datenschutz-Grundverordnung und eine Mehrheit aktueller Gesetze der Prozesse der deutlich »älteren« ISO 27001-Norm bedient.
1.3 Informationen und Daten
Der Schutz von Informationen, also dem Know-how des Unternehmens, ist die Aufgabe des IT-Security-Managements. Nur was sind Informationen und worin unterscheiden sie sich von Daten? Daten sind eine technische Darstellung von Informationen. Anders ausgedrückt: Informationen sind Daten, die einen Sinn ergeben. Auf niedrigster Ebene bestehen sie aus den physikalischen Zuständen »hohe Spannung« oder »niedrige Spannung« oder übersetzt null oder eins. Somit sind Daten zunächst einmal Bits und Bytes, deren Interpretation wiederum Informationen ergeben. Sicherheitsmaßnahmen wiederum kann man nicht direkt auf Informationen beziehen. Setzt man Verschlüsselung ein, dann werden die Daten verschlüsselt. Installiert man einen Virenscanner, dann schützt man das Betriebssystem und indirekt wieder die Daten. Ganz anders, wenn man dies aus der Perspektive des Risikomanagements betrachtet, dann stehen die Informationen im Mittelpunkt und deren Wert für das Unternehmen. Wenn wir also von Informationsschutz sprechen, geht es im Grunde darum, alle Systeme inklusive der Daten technisch zu schützen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu bewahren.
Jede Form von Informationen, wie immer sie auch ausgestaltet sein mögen und deren Verlust einen Schaden für das Unternehmen bedeuten würde, gehört zu den Unternehmenswerten, die im Fokus des Managers IT-Security liegen.
Wichtig
Auch wenn sich das IT-Security-Management auf Daten und Daten verarbeitende Systeme konzentriert, stehen noch eine ganze Reihe weiterer Unternehmenswerte im Fokus der IT-Security. Dazu zählen auch abstrakte Werte wie der Ruf des Unternehmens oder das Wissen in den Köpfen der Mitarbeiter.
Informationen können in vielfältiger Form vorliegen. Die Erfahrungen von Mitarbeitern gehören genauso zu den schützenswerten Informationen wie Informationen, die auf Datenträgern vorliegen und durch IT-Systeme verarbeitet werden. Im Gegensatz zu Ersteren können Informationen, die auf Datenträgern wie Festplatten oder auf Papier vorliegen, generell geschützt werden. Deshalb konzentrieren sich viele Maßnahmen der IT-Security auf diese Art der Informationen.
Informationen haben einen Lebenszyklus und einen je nach Alter unterschiedlichen Schutzbedarf. So sind Informationen über eine technische Neuentwicklung zunächst einmal sehr sensibel, da der Schaden bei Verlust in diesem Stadium am höchsten wäre. Wird die Neuentwicklung zur Serienreife gebracht, so ist der Schutzbedarf vielleicht immer noch hoch, aber regelmäßig nicht mehr so hoch wie zu Beginn. Dieser sinkt weiter, wenn die Produktion und die Auslieferung beginnen.
Wichtig
Der Wert einer Information hängt von seiner generellen Bedeutung für das Unternehmen, seiner Qualität, seinem Alter und letztendlich von den Kosten ab, die bei ihrem Verlust oder der Nichtverfügbarkeit entstehen würden.
Informationen sind unterschiedlich wichtig, eine Tatsache, die sich in der Bewertung auf Basis der Klassifizierungsrichtlinie widerspiegelt. Diese dient dazu, Unternehmenswerte nach Schutzbedarf einzustufen. Im Rahmen der Verfügbarmachung von Informationen spielt es zudem eine Rolle, inwieweit unwichtige Informationen herausgefiltert werden können. Dazu zählen Informationen, die für den Betrieb des Unternehmens keinerlei Rolle spielen und deren Vermischung mit relevanten Informationen Zeit und Ressourcen kosten. Zu diesen unwichtigen Informationen kann man z.B. Spam-E-Mails zählen.
Die Klassifizierung von Informationen ist ein wichtiges Instrument für den Manager IT-Security, weil sie aufzeigt, worauf er sich konzentrieren muss und worauf nicht. Außerdem bildet sie die Grundlage für das IT-Risikomanagement. Der Prozess der Einstufung von Unternehmenswerten wird unter aktiver Mithilfe des Erstellers der Information durchgeführt und hat weitreichende Auswirkung auf die Speicherung, die Verarbeitung, den Zugang und das Backup der Information.
1.4 IT-Security-Management ist wichtig
In Unternehmen, in denen ein organisatorischer Bereich IT-Dienstleistungen erbringt, ohne direkt Teil der Wertschöpfungskette zu sein, wird es schwerer fallen, IT-Security zu leben, als in einem Unternehmen, dessen Selbstzweck aus IT-Dienstleistungen besteht. Unternehmen, deren IT-Leitung in der Unternehmensspitze repräsentiert wird, haben wiederum einen organisatorischen Vorteil gegenüber Unternehmen, in denen dies nicht der Fall ist. Diese Zusammenhänge lassen sich immer wieder finden und durchziehen alle Unternehmen. Damit im Zusammenhang steht die Tatsache, dass IT-Security immer noch stark als IT-Thema gesehen wird und häufig nicht die Unternehmensleitung, das Controlling oder der Vorstand als Treiber und Förderer in Erscheinung treten. Diese Sichtweise ist einem laufenden Wandel unterzogen und es ist zu erkennen, dass sich dies in vielen Ländern bereits ändert. So hat das in Deutschland seit Juli 2015 gültige Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das IT-Sicherheitsgesetz (IT-SiG), dazu geführt, dass Unternehmen, die kritische Infrastrukturen betreiben, mit hohem Aufwand Sicherheitsmanagementsysteme implementiert haben. Mit der »Network and Information Security Directive« (NIS2) wird der Geltungsbereich auf noch deutlich mehr Unternehmen ausgeweitet, was einen neuen Schub mit sich bringen wird. Europäische Verordnungen wie der Cyber Resilience Act (CRA) wiederum verschieben den Fokus von der Infrastruktur auf Produkte selbst, die einen Sicherheitsstandard einhalten müssen, und machen damit neue Felder auf, die in ein umfassendes Sicherheitskonzept mit eingebunden werden müssen.
Länder wie die USA sind den Europäern um einige Jahre voraus. So haben die Skandale um die Firmen Enron und WorldCom hohe Wellen geschlagen, die bereits 2002 im Sarbanes-Oxley Act mündeten. Dieses Gesetz soll die Verlässlichkeit von Finanzdaten amerikanischer Firmen sicherstellen, und dafür greift es tief in die Nachvollziehbarkeit administrativer Handlungen im Umgang mit Daten ein. Eine ganze Reihe an Prozessen und Vorgehensmodellen müssen umgesetzt werden, um dies zu erreichen, und die meisten davon zielen in die gleiche Richtung wie ein umfassendes IT-Security-Management. Ein Blick auf die verschiedenen repräsentativen Umfragen zeigt weiterhin ein sehr inhomogenes Bild. Auch wenn die gesetzlichen und normativen Vorgaben dieselben sind, bedeutet das nicht, dass der Stand des IT-Sicherheitsmanagements auch überall auf dem gleichen Niveau ist. Die Unterschiede zwischen den Unternehmen sind gewaltig. Das liegt an verschiedenen Faktoren wie der Sicht der Unternehmensleitung, der Größe der Budgets für IT-Sicherheit oder auch dem »gefühlten« Schutzbedarf der eigenen Daten. Dazu kommt, dass ein Softwareunternehmen von Natur aus eher in IT-Dimensionen denkt als eine Bäckerei. Hebt man den Blick an und konzentriert sich auf die strategische Ebene, dann verschwinden die Unterschiede sehr schnell, und es wird ersichtlich, dass die Aufgabe des IT-Security-Managements aus genau den gleichen Gründen wichtig für beide Unternehmen ist.
Folgende Grundsätze sollen verdeutlichen, warum das IT-Security-Management eine unternehmerische Kernaufgabe darstellt – unabhängig von Geschäftszweck und auch unabhängig von der Unternehmensgröße:
IT-Security ist wichtig für alle Unternehmen, die Know-how besitzen, das sie zu einem wichtigen Player auf dem Markt macht.
IT-Security ist wichtig für alle Unternehmen, die Konkurrenten auf dem Markt haben.
IT-Security ist wichtig für alle Unternehmen, deren kritische Geschäftsprozesse von datenverarbeitenden Systemen, im weitesten Sinne, abhängig sind.
IT-Security ist wichtig für alle Unternehmen, die personenbezogene Daten verarbeiten oder speichern.
Wenn man die Dinge von dieser Warte aus sieht, gibt es keine Unterschiede mehr zwischen Bäckereien, Softwareherstellern oder öffentlichen Einrichtungen. Die Implementierung eines IT-Security-Managements ist für alle Unternehmen aller Geschäftsfelder entscheidend, um auf dem freien Markt bestehen zu können.
Die Unterschiede liegen dann nur noch in der Handhabung und Bewertung der verschiedenen Sicherheitsprozesse begründet. Also darin, wie man Risiken bewertet und davon abgeleitet, welches Budget man investiert, um Maßnahmen zur Risikoreduzierung zu installieren.
1.5 Wie gefährdet sind die Unternehmensdaten?
Staatliche und private Stellen versuchen, die globale Gefährdungslage regelmäßig zu erfassen und geeignet darzustellen. Aus dieser Darstellung lassen sich Trends ablesen, die der Unternehmensleitung ein unabhängiges Bild ermöglichen, bevor sie daran geht, die dort gesammelten Informationen auf das eigene Unternehmen zu übertragen.
1.5.1 Sicht des Verfassungsschutzes
Die Landesämter für Verfassungsschutz, die sich gezielt mit dem Thema Wirtschaftsspionage beschäftigen, touren seit Jahren durch die Unternehmen und geben eine Einschätzung, was ihrer Erfahrung nach im Bereich des professionellen Datendiebstahls vor sich geht. Und die Zahlen, die sie dabei präsentieren, haben es in der Tat in sich. Es geht nicht nur um konkrete Beispiele, die bemüht werden, sondern darum, dass die Menge aufgedeckter staatlicher Spionageaktionen exponentiell steigt und dass sich ihrer Ansicht nach viele Staaten angesichts des weltweiten Konkurrenzkampfs im Wirtschaftssektor nicht mehr anders zu helfen wissen, als die Informationen zu stehlen, die sie benötigen. Im Gegensatz zu früher trifft es dabei nicht mehr nur die großen Unternehmen, vielmehr rücken die Mittelständler in den Fokus. Unternehmen mit wenigen Tausend Mitarbeitern, die auf einem Sektor technologisch führend sind, werden zum Zielobjekt. Zur Zielerreichung wird laut Verfassungsschutz die ganze Bandbreite an Angriffsmöglichkeiten genutzt. Das reicht von Angriffen über das Internet über eigens für einen Angriff entwickelte Trojaner bis hin zum lokal durchgeführten Spionageangriff durch studentische Hilfskräfte oder Diplomanden.
Ein Zitat von der Webseite des baden-württembergischen Verfassungsschutzes drückt es so aus: »Der Verfassungsschutz sieht in den internetgebundenen Angriffen auf Netzwerke und Computersysteme von Firmen und Regierungsstellen die aktuell gefährlichste Bedrohung im Bereich Wirtschaftsspionage.« Hilfestellungen gibt das Amt auch: Es verweist auf die Schriften des Bundesamts für Sicherheit in der Informationstechnik (BSI), und dort wiederum wird das IT-Security-Management als der Prozess beschrieben, der eingeführt werden muss, um die Sicherheit des eigenen Know-hows und damit den Fortbestand des Unternehmens zu sichern.
Ein noch höheres Risiko besteht laut Verfassungsschutz darin, Opfer eines Ransomware-Angriffs zu werden – also eines Angriffes mit dem Ziel, das Unternehmen oder die öffentliche Einrichtung um ein Lösegeld zu erpressen. Das Opfer wird in diesem Fall nicht mehr aufgrund dessen ausgesucht, ob es lohnenswerte Geheimnisse hat, sondern schlicht nach der finanziellen Leistungsfähigkeit und danach, wie einfach es ist, es zu hacken.
1.5.2 Öffentliche Wahrnehmung
Wenn es erforderlich wird, zumeist abstrakte Gefährdungen mit Daten und Fakten zu hinterlegen, werden die eher generellen Verdachtsmomente und die wenigen konkreten Beispiele des Verfassungsschutzes im Zweifelsfall nicht ausreichen, um die nötigen Mittel bewilligt zu bekommen, die erforderlich sind, ein modernes IT-Security-Management aufzubauen. Für diesen Zweck sind einige Quellen im Internet hilfreich, die sich seit Jahren bemühen, Vorfälle zu sammeln und statistisch darzustellen. Das Problem dabei ist grundsätzlich, dass niemand gerne darüber spricht, wenn er zum Mittelpunkt eines erfolgreichen Angriffs geworden ist. Angst um die eigene Reputation oder die Sorge, verklagt zu werden, falls auch anvertraute Daten gestohlen wurden, tun ihr Übriges.
Der Schaden einer Veröffentlichung wird häufig höher eingeschätzt als der Nutzen einer Anzeige. Das liegt auch daran, dass der Prozentteil an aufgeklärten Vorfällen verschwindend gering ist. Während große, publikumswirksame Vorfälle auch von staatlichen Stellen verfolgt werden, bleibt es kleinen Unternehmen häufig selbst überlassen, Nachforschungen anzustellen. Auch heute noch sind die allermeisten Polizeidienststellen nicht in einem Maß ausgerüstet, das sie in die Lage versetzen würde, selbst erfolgreich tätig werden zu können.
Ein zweiter wichtiger Grund, warum viele Vorfälle niemals veröffentlich werden, ist der, dass sie schlicht und einfach nicht entdeckt werden. Schätzungen gehen bis an die 90 % aller Angriffe, bei denen Datendiebstahl im Vordergrund steht, die niemand bemerkt. Das hängt damit zusammen, dass die entsprechenden Prozesse zur Erkennung und Verarbeitung von Sicherheitsereignissen in vielen Unternehmen entweder überhaupt nicht existieren oder noch sehr rudimentär entwickelt sind.
Aus nachvollziehbaren Gründen sind die Analysen der verschiedenen Institutionen nicht geeignet, wenn es darum geht, von den vorliegenden Aussagen konkrete Informationen abzuleiten, die auf das eigene Unternehmen eins zu eins abgebildet werden können. Das ist aber auch nicht immer erforderlich. Zumeist reichen die dort zusammengetragenen Informationen aus, um eine Entwicklung abzulesen und daraus eigene Schlüsse abzuleiten, was die Priorisierung von Themen angeht.
Studien zeigen: Waren in den 90er Jahren Angriffe mit Makro- und Bootsektor-Viren ein Thema weniger eingeweihter Experten, so hat sich das geändert, als Schadsoftware ein Problem wurde, das auch den Heimanwender betreffen konnte. Mit dem Auftreten des sogenannten CEO-Fraud-Angriffes, bei dem vorgegaukelt wurde, dass ein Vertreter der Unternehmensleitung die Überweisung von Geldern anordnet, ging es auf einmal um große Summen. In den Fokus des organisierten Verbrechens geriet das Thema spätestens dann, als mit Ransomware-Angriffen Millionenbeträge zu erbeuten waren. Alle diese Angriffe sind auch heute noch aktuell und werden laufend ausgebaut.
Was sich zeigt, ist, dass es nicht genügt, auf diesen Strauß an Angriffsarten mit Einzelmaßnahmen zu antworten. Das Bewusstsein für die aktuell größte Gefahr wird immer noch aus Studien, aus Berichten in Film, Funk und Fernsehen und der Werbung der Sicherheitsindustrie abgeleitet. Was man dabei schnell vergisst, ist: Studien werden über längere Zeiträume verfasst, und selbst wenn sich ein Trend herausbildet, wäre die Reaktionszeit zu hoch, um jedes Mal gezielt auf Verschiebungen der eingesetzten Angriffsmittel zu reagieren. Was aber in jedem Fall abgelesen werden kann, sind die Hauptangriffswege und damit die Hauptgefahren. Dementsprechend können auch die Prozesse der IT-Security ausgerichtet werden. Ableiten kann man daraus für jeden Verantwortlichen für IT-Security, dass nur ein umfassendes IT-Security-Management, das alle Bedrohungen und alle damit verbundenen Angriffsvektoren einkalkuliert, ein transparentes und verlässliches Sicherheitsniveau gewährleisten kann.
1.5.3 Die eigene Wahrnehmung
Wie sicher fühlt man sich im Unternehmen? Wie schätzt man die Bedrohungslage realistisch ein? Ist jemand hinter dem Know-how des Unternehmens her und versucht, an dieses heranzukommen? Diese Fragen stellen sich zahllose Unternehmen und haben dabei eines gemeinsam: Objektive Antworten auf diese Fragen kann es nur in Einzelfällen geben, und deshalb beantworten Unternehmen diese Fragen aufgrund einer subjektiven Wahrnehmung. Damit wird auch gleich eine Antwort auf das Phänomen gegeben, warum jeder medial ausgeschlachtete, große Fall von Schadsoftware oder Datendiebstahl bei weithin bekannten Unternehmen branchenübergreifenden Aktionismus auslöst. Kurze Zeit später, die Medien sind bereits weitergezogen, verlaufen viele dieser Aktionen im Sande, werden aus Kostengründen eingestellt oder nur unter Sparflamme weiterverfolgt.
Um ein annähernd genaues Bild von der Realität zu bekommen, ist es also erforderlich, möglichst viele Fakten zu kennen und zu bewerten. Die Analysen des Verfassungsschutzes, Statistiken von unabhängigen Gesellschaften kombiniert mit den Berichten des Security Operations Center (SOC) Teams oder generell der IT-Security bieten dafür eine Grundlage.
An diesem Punkt setzen Awareness-Maßnahmen an. In einem Top-down-Vorgehen werden die einzelnen Entscheidungsebenen laufend und möglichst mit faktenbasiertem Material über die Gefährdungslage informiert. Damit wird eine Grundlage geschaffen, vom reflexartigen Reagieren hin zum proaktiven Handeln zu gelangen. Den dann erreichten Zustand und die definierte weitere Vorgehensweise sowie die zugrunde liegenden Ziele kann man dann als IT-Security-Strategie umschreiben.
1.6 Begrifflichkeiten
Der Begriff »IT-Sicherheitsmanagement« (IT Security Management) beinhaltet bereits in seinem Namen eine Einschränkung: Es geht ganz offensichtlich um eine Aufgabe innerhalb der IT, besser ausgedrückt, um eine Aufgabe innerhalb der Abteilung, die sich mit der Informationstechnologie beschäftigt. Wenn man nun aber den Prozess der Wertschöpfung eines Unternehmens betrachtet, fällt schnell auf, dass sich, um ein Produkt herzustellen, viele zu schützende Unternehmenswerte überhaupt nicht im Einflussgebiet der IT bewegen. Dazu kann der Prototyp gehören, dessen Form von Hand hergestellt wird, oder die Kalkulation, die von einem Controller auf ein Flipchart aufgeschrieben und im Besprechungszimmer vergessen wird. Wenn man die Schutzmaßnahmen betrachtet, die erforderlich sind, um Informationen oder auch den Prototyp von eben zu schützen, wird dies noch deutlicher. Die ISO 27002 führt diesbezüglich eine ganze Reihe an Maßnahmen auf, wie den Gebäudeschutz inklusive des Zauns um den Entwicklungsstandort. So gesehen deckt die IT-Security einen großen Teil der in den einschlägigen Standards beschriebenen Themenfelder ab, aber eben nicht alle. Folgt man dieser Logik, dann kann die IT-Security als Untermenge der Informationssicherheit gesehen werden. Die Informationssicherheit wiederum kann um sicherheitsrelevante Themen wie den Reiseschutz oder den Werkschutz ergänzt werden. Was welchem Oberbegriff zugeschlagen wird, ist individuell in jedem Unternehmen zu regeln. Wichtig ist nur, dass die Trennung klar kommuniziert ist, um Reibungspunkte zu vermeiden. Aus diesem Grund werden diese Aufgaben in großen Unternehmen meistens gebündelt und einem Gesamtverantwortlichen unterstellt.
Im Rahmen dieses Buches sprechen wir durchgehend von der IT-Security, dem Manager IT-Security und dem IT-Security-Management, weil es sich vorwiegend auf die Aufgaben innerhalb der Informationstechnologie bezieht. Wenn angrenzende oder nicht klar abgegrenzte Themengebiete angesprochen werden, z.B. wenn der Schutz von Rechenzentren zur Sprache kommt, die man gut und gerne dem physischen Schutz und damit z.B. dem Facility-Manager zuordnen kann, dann wird auf diesen Sachverhalt hingewiesen.
Hinweis
Der Begriff IT-Security wird zunehmend durch den Ausdruck »Cybersecurity« ersetzt. Dabei ist zu beachten, dass der Zuständigkeitsbereich der IT-Security den Bereich der Cybersecurity beinhaltet. Die Cybersecurity beschäftigt sich spezifisch mit Bedrohungen aus dem Internet, die von menschlichen Akteuren gezielt oder ungezielt ausgehen. Die IT-Security kümmert sich darüber hinaus auch um viele weitere Themen wie den Prototypenschutz, die sicher Datenvernichtung oder den Zutrittsschutz.
In der Diskussion rund um den Themenbereich »IT-Security« taucht eine Reihe von weiteren Begriffen auf, die zum Teil synonym verwendet werden. Dazu gehört zum einen der Begriff »Datenschutz« und zum anderen die Begriffe »Informationsschutz«, »Informationssicherheit«, »Datensicherheit«, »Cybersecurity« (siehe Hinweis oben) oder »IT-Sicherheit«. Der Datenschutz, auf Englisch »data privacy«, bezieht sich dabei auf personenbezogene Informationen, deren Speicherung und Verarbeitung in der EU-Datenschutz-Grundverordnung und den länderspezifischen Gesetzen geregelt werden.
Abbildung 1.1: Schnittmenge Information-Security und IT-Security
Hinweis
Im vorliegenden Buch wird der Begriff »IT-Security« als Oberbegriff des Informationsschutzes in Abgrenzung zum Datenschutz verwendet. Im Fokus liegt dabei vorwiegend der Schutz von Daten, Applikationen und IT-Systemen. Alternativ wird von »Informationsschutz« oder auch »Informationssicherheit« die Rede sein. Alle diese Begriffe werden als Synonyme betrachtet.
Das IT-Security-Management hat den Schutz von Know-how im weitesten Sinne zum Ziel. Daraus ist abzuleiten, dass die Sicht rein auf elektronische Daten zu kurz greift, auch wenn dies die Bezeichnung »IT-Security« so suggeriert. Prozesse, Richtlinien und schlicht das Verhalten im Umgang mit Informationen muss so ausgelegt sein, dass der Träger der Information dabei möglichst variabel sein kann. Greift eine Richtlinie in den Prozess des Ausdruckens von Kalkulationstabellen ein, so sind technische Maßnahmen sinnvoll, die es erlauben, sicherzustellen, dass der Ausdruck erst dann geschieht, wenn der berechtigte Mitarbeiter vor dem Drucker steht. Daneben muss es aber auch Richtlinien geben, die festlegen, wie mit den ausgedruckten Tabellen umgegangen werden muss. Zu diesen Vorschriften gehört eine Clean-Desk-Richtlinie genauso wie eine definierte Kennzeichnungspflicht und Regeln bezüglich der Weitergabe dieser Dokumente.
1.8 Umfang des IT-Security-Managements
Das IT-Security-Management ist eine umfangreiche Disziplin, die alle Ebenen und Teilbereiche der IT-Security beinhaltet. Es umfasst zahlreiche technische und organisatorische Aspekte, die bei vielen Gelegenheiten ineinander übergreifen. In Abbildung 1.2 werden viele dieser Aspekte genannt. Eine vollständige Übersicht aller Arbeitsgebiete wird sich allerdings erst im Laufe der Ausgestaltung der Arbeit eines jeden einzelnen Managers IT-Security herauskristallisieren.
Abbildung 1.2: Aufgabenspektrum des Managers IT-Security
Die Pfeiler des IT-Security-Managements sind die Kernkomponenten IT-Compliance, IT-Risikomanagement und IT-Governance. Sie unterteilen die IT-Security in die drei maßgeblichen Sektoren. Im folgenden Abschnitt wird darauf detaillierter eingegangen. Das Spektrum an Aufgaben, denen sich ein Manager IT-Security stellen muss, ist sehr umfangreich, hat viele Schnittstellen und ist zudem in ständiger Veränderung begriffen. Jede Änderung von Technologien erzeugt automatisch neue Aspekte, die daraufhin in verschiedenen Teilbereichen ihren Niederschlag finden. Auf strategischer Ebene beantworten die Pfeiler der IT-Security die Fragen: »Warum machen wir IT-Security?«, »Wer ist mit IT-Security-Themen befasst?« und »Wie setzen wir IT-Security um?« Wenn diese Fragen beantwortet sind, wird sich das weitere Tagesgeschäft in den Teilbereichen abspielen, die im äußeren Kreis in Abbildung 1.2 gezeigt werden.
Jeder Teilbereich hat Schnittstellen zu anderen Teilbereichen und es ist wichtig, die Zusammenhänge zu kennen. So macht die Erstellung von Richtlinien ohne die Überprüfung im Rahmen von Audits keinen Sinn, die Erstellung von Notfallplänen ohne vorhergehendes Risikomanagement ist uneffektiv, ein Monitoring ohne Mechanismen, auf Ereignisse zu reagieren, ist zwecklos oder die Implementierung von Maßnahmen ohne Feststellung, auf welche Bedrohungen sie eine Antwort finden sollen, ist ziellos. Das stellt die Verantwortlichen vor die Herausforderung, dass es nicht genügt, nur einen Teilbereich zu beherrschen, sondern dass auch die Wechselwirkungen bekannt sein müssen, um im Zweifelsfall die richtige Vorgehensweise wählen zu können.
1.8.1 Pfeiler der IT-Security
Der Aufgabenbereich der IT-Security ist groß, unübersichtlich und wird häufig von verschiedenen Managementstufen aus auch unterschiedlich gesehen. Ein Geschäftsführer will sicher schlafen können, ohne Angst haben zu müssen, dass wichtiges Know-how des Unternehmens bei der Konkurrenz landet. Der Datenschutzbeauftragte benötigt den Manager IT-Security, um technisch-organisatorischen Maßnahmen adäquat umzusetzen. Erst dadurch kann er seinen im Bundesdatenschutzgesetz-Neu formulierten Aufgaben gerecht werden. Für den IT-Leiter ist der Manager IT-Security die Person, die zum einen juristischen und technischen Ärger fernhält, auf der anderen Seite aber auch alle sicherheitsrelevanten Maßnahmen anstößt und lenkt. Für den Budgetverantwortlichen stehen die Kosten im Vordergrund, die auch dann auflaufen, wenn nichts Greifbares geschieht, die Aufgabe also wirksam verrichtet wird. Diese zahlreichen Anforderungen stehen einer häufig schwammigen Arbeitsplatzbeschreibung entgegen, und dabei den Überblick zu behalten, ist oft nicht leicht. Aus diesem Grund gibt es das IT-Security-Management, das die tragenden Säulen der IT-Security benennt und mit Leben füllt.
Abbildung 1.3: Spannungsfeld der IT-Security
Drei grundsätzliche Teilbereiche setzt das IT-Security-Management auf strategischer Ebene den eben aufgeführten Schwierigkeiten entgegen:
das IT-Risikomanagement,
die IT-Compliance
und die IT-Governance.
Alle drei Sektoren werden vom Manager IT-Security bearbeitet, sofern sich die Prozesse und Inhalte mit dem Schutz von Informationen beschäftigen. Die Reihenfolge wurde bewusst so gewählt, und es ist gewollt, dass die drei Begriffe als gleichberechtigte Komponenten eines Vorgehensmodells verstanden werden.
Der Manager IT-Security wird sich immer mit diesen drei Sektoren beschäftigen müssen, sofern es keine Organisationseinheiten gibt, die das eine oder andere Feld bereits bearbeiten und auch die Belange der IT-Security mit betrachten. Die jeweilige Gewichtung wird individuell entschieden werden müssen und hängt von vielen Faktoren ab. Zum einen kommt es vor, dass der Manager IT-Security ein bereits existierendes Vorgehensmodell nur modifizieren muss, und zum anderen werden Aufgaben, die z.B. die Verteilung von Aufgaben und Kompetenzen betreffen, außerhalb der IT-Security getroffen und spielen damit direkt in das Feld der IT-Governance hinein. Existiert ein funktionierendes IT-Risikomanagement, angesiedelt z.B. innerhalb des IT-Controllings, dann wird es sinnvoll sein, die dort gelebten Vorgehensmodelle anzupassen oder zu übernehmen. Das Gleiche gilt für das Themengebiet IT-Compliance: Werden die Vorgaben und Regelungen aus Vorschriften oder Gesetzen, die für IT gelten, bereits von einer Rechtsabteilung untersucht, dann wird dies nicht mehr gesondert im Rahmen des Arbeitsplatzes IT-Security erforderlich sein. Die Erfahrung zeigt allerdings, dass dies in den wenigsten Fällen zutrifft.
In die richtige Reihenfolge gebracht beantworten die drei strategischen Sektoren die wichtigsten Fragen der IT-Security. Natürlich wäre es zu kurz gedacht, wenn man die IT-Security darauf beschränken würde. Das liegt schon daran, dass ein Manager IT-Security abhängig davon, in welchem Unternehmensbereich er organisatorisch tätig ist, häufig auch Bereiche bearbeitet, die aus diesem Schema herausragen. Dazu gehören Felder wie das IT-Controlling oder gar die Aufgabe, den Datenschutzbeauftragten zu unterstützen, die immer häufiger mit in das Aufgabenfeld des Managers IT-Security eingebracht werden und weitergehende Qualifizierungen erfordern.
IT-Compliance
Die IT-Compliance beantwortet die Frage: »Was muss getan werden?«
Im Rahmen der IT-Compliance wird definiert, was und warum eine Aufgabenstellung in der IT-Security angepackt werden muss. Dies wird durch eine Vielzahl von Gesetzen, internen Regelungen und die Hauptaufgabe des Schutzes des internen Know-hows flankiert.
Im Kapitel »IT-Compliance« werden einige, von außen herangetragene Anforderungen exemplarisch aufgeführt, aber sie bilden dennoch nur einen Teil der existierenden Richtlinien ab. Das Spannungsfeld, in dem sich ein Unternehmen befindet, ist äußerst vielschichtig und durch eine große Anzahl an verzahnten Abhängigkeiten geprägt. Jeder Vertrag mit einem Kunden, jede Änderung der Allgemeinen Geschäftsbedingungen und regelmäßige Gesetzesänderungen führen zu einem Geflecht, in dem es für den Manager IT-Security immer schwieriger wird, die jeweils für die Datensicherheit relevanten Vorgaben zu extrahieren.
Wichtig
Im Grunde lässt sich von den einzelnen Anforderungen ein Arbeitsplatzprofil für den Manager IT-Security ableiten. Was nur wieder auf die Grundaussage hinausläuft: Aus dem Bereich der IT-Compliance lässt sich ableiten, was zu tun ist. Da aber vor allem die gesetzlichen Vorgaben schwammig und damit interpretationsfähig sind, ist dieser Anhaltspunkt weniger hilfreich, als zunächst vermutet werden könnte. Aus diesem Grund schaut ein Manager IT-Security neben dem reinen Gesetzestext vor allem auch auf die entsprechenden Gerichtsurteile.
»Compliance« ist eine relativ neue Bezeichnung für ein sehr altes Thema. Schon zu Beginn der Zeiten, als die Großrechner die Rechenzentren in den Unternehmen bevölkerten, war das Thema »Umsetzung von Gesetzen« wie z.B. der Steuergesetzgebung ein Thema. Jahr für Jahr wurden die entsprechenden Lochkarten angepasst und die neuesten Steuerberechnungen elektronisch umgesetzt. Die Personalabteilung war schon in den 1980er Jahren (und in manchen Unternehmen schon Jahre davor) häufiger Gast in den IT-Abteilungen, um die jährlichen Veränderungen Compliance-gerecht umzusetzen. Vor den Computern, zu Zeiten der nichtdigitalen Buchhaltung, war es ebenso. Compliance und im IT-Umfeld die IT-Compliance sind ein Thema, das es gibt, seit die ersten Gesetze und Vorschriften auf Prozesse Einfluss nahmen, die durch die Datenverarbeitung unterstützt wurden.
Der Tenor der IT-Compliance-Themen der letzten Jahre hat sich verändert. Sie zielen immer mehr direkt auf den Schutz digitaler Daten ab. Im Zuge dieser Modernisierung werden Gesetze ersetzt oder überarbeitet. Diejenigen, die Vorschriften und Gesetze erstellen und in Kraft setzen, arbeiten parallel dazu auch an Methoden, die Umsetzung in den Unternehmen wie auch bei Privatpersonen zu überprüfen. Regelungen ohne Audit führen zu einem Laisser-faire-Verhalten, das sich der Staat nicht leisten will und kann. Die neue Flut an Regelungen und die immer tiefer gehende Überprüfung führten in den letzten Jahren zu einem gesteigerten Bewusstsein aufseiten der Unternehmen für die Wichtigkeit dieses Themas und halfen mit, die Renaissance des Begriffes »Compliance« zu forcieren.
Das kann einer der Gründe sein, warum viele Kommentatoren diesen Sektor als Oberbegriff für das gesamte Thema IT-Security sehen. Gleichgültig, wie man auch zu dieser Aussage steht, eine entscheidende Triebfeder ist sie allemal.
IT-Governance
Die IT-Governance beantwortet die Frage: »Wer macht was?«
Die IT-Governance legt fest, wer sich um den Informationsschutz kümmern muss und welche Kompetenzen er dafür erhält. Die Delegation dieser Aufgabe bis hin zur organisatorischen Umsetzung im Unternehmen gehört zu diesem Teilgebiet. Das Wort Governance bedeutet »Regierung« oder »Steuerung«. Daraus wird ersichtlich, dass sie alle steuernden und kontrollierenden Instrumente im Umfeld der IT beinhaltet.
Ein Manager IT-Security, vor allem in einem großen Unternehmen, wird immer von der Hilfestellung lokaler IT-Einheiten abhängig sein. Liegt die Kernkompetenz des Managers IT-Security im formalen Bereich, so wird er Unterstützung bei technischen Fragen benötigen. Liegt die Lage andersherum und der Manager IT-Security kommt originär aus dem technischen Umfeld, so wird er unter Umständen Hilfe bei Juristen oder im Controlling anfragen müssen, um seine Aufgaben, die eher dort angesiedelt sind, abarbeiten zu können. Ein gutes Netzwerk zu allen zutragenden organisatorischen Einheiten ist wichtig. Genauso wichtig ist, dass der Manager IT-Security bei allen diesen Fragen als zuständige Person definiert wird.
Wie auch immer das Netz an innerbetrieblichen Abhängigkeiten gestaltet sein mag, eine genaue Festlegung von Kompetenzen und Verantwortlichkeiten ist ein wichtiger Schlüssel zum Erfolg.
IT-Risikomanagement
Das IT-Risikomanagement beantwortet die Frage: »Wie wird es umgesetzt?«
Das IT-Risikomanagement gibt die Antwort darauf, wie es zu tun ist. Der gesamte Risikomanagementprozess dient dazu, Schwachstellen, Bedrohungen und daraus abgeleitet Risiken zu identifizieren, zu quantifizieren und entsprechende, abgewogene Maßnahmen als Antwort darauf zu finden. Zudem beantwortet das IT-Risikomanagement die Frage, ob eine Vorgehensweise finanziell angemessen ist, in welchem Bereich eher investiert werden sollte und ob ein Risiko im Zusammenhang mit einem Prozess, Projekt oder einer Aufgabe aus Sicht der Risikoabwägung tragbar ist oder nicht.
Steht ein Manager IT-Security vor der Frage, ob die Netzwerkverbindung zu einem Produktionsnetz gekappt werden soll, weil aus dem Produktionsnetzwerk heraus ein Trojaner versucht, Zugriff auf den Rest des Netzwerkes zu erhalten, dann kann diese Entscheidung nur auf einer formalen Risikoeinschätzung beruhen. Hierbei muss das Risiko für das Unternehmensnetzwerk gegen die Kosten eines Produktionsausfalls abgewogen werden. Die IT-Compliance wird die gesetzliche und auf internen Vorgaben beruhende Grundlage bilden und die IT-Governance die Frage nach den vorhandenen Kompetenzen beantworten.
1.8.2 Aufgaben des IT-Security-Managements
Das IT-Security-Management beantwortet unter anderen die Fragen »Sind die eingesetzten Maßnahmen und Prozesse effektiv?« und »Wie ist die aktuelle Sicherheitslage?« zu einem beliebigen Zeitpunkt. Um dies bewerkstelligen zu können, ist der IT-Security-Kreislauf innerhalb des Information-Security-Management-Systems (ISMS) zu etablieren und zu betreiben. Dazu steuert der Manager IT-Security die Abarbeitung der verschiedenen Aufgaben der IT-Security wie das IT-Risikomanagement, technische Maßnahmen, die Überwachung von Systemen und Applikationen oder das Business Continuity Management und das IT-Notfallmanagement. Einen Überblick über die Tätigkeitsfelder gibt Abbildung 1.4.
Abbildung 1.4: Aufgaben des IT-Security-Managements
Die IT-Compliance stellt dabei den Rahmen dar, innerhalb dessen sich das IT-Security-Management generell bewegt. Das IT-Risikomanagement stellt die Methodik zur Verfügung, mit deren Hilfe eine Bewertung von Aufgaben und die Definition entsprechender Maßnahmen möglich werden. Alle aufgeführten Bereiche der IT-Security unterliegen wiederum dem Regelkreislauf des IT-Security-Managements, sprich: Alle müssen regelmäßig auf ihre Wirksamkeit überprüft, angepasst und überwacht werden. Dazu kommt, dass laufend neue Bereiche zu identifizieren sind, die in ein IT-Security-Management integriert werden müssen.
Der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Daten, IT-Systemen und damit von Services und Geschäftsprozessen verlangt einen hohen Grad an geregelten Vorgaben innerhalb der IT genauso wie in den Fachabteilungen. Bevor Maßnahmen zum Schutz der Unternehmenswerte umgesetzt werden können, bedarf es entsprechender Richtlinien. Bevor ein Mitarbeiter mit diesen umgehen kann, sind Schulungen und Anweisungen erforderlich. Um wissen zu können, welche IT-Systeme vorrangig zu schützen sind und für welche IT-Systeme entsprechende Finanzmittel zur Verfügung gestellt werden müssen, sind umfangreiche Erhebungen im Rahmen eines IT-Risikomanagements erforderlich. Alle diese Punkte basieren wiederum auf möglichst detaillierten Aufzeichnungen über den aktuellen Stand der IT, dargestellt unter vielen anderen Dokumenten in Netzwerkplänen, im Assetmanagement, in der Anlagenbuchhaltung, auf Wartungsplänen oder in Prozessübersichten. Davon ausgehend, dass im Rahmen eines umfassenden Business-Continuity-Plans auch Maßnahmen zur Aufrechterhaltung des IT-Betriebs ergriffen werden müssen, fließen alle diese Informationen letztendlich wieder in Notfallpläne und Wiederherstellungsmaßnahmen.
Da niemand einer Dokumentation Glauben schenkt, die ein gewisses Alter (in vielen Fällen fängt dies bei wenigen Monaten an) überschritten hat, kann auch ein IT-Leiter nur dann beruhigt schlafen, wenn er weiß, dass alle eben genannten Pläne, Dokumente, Datenbanken, Risikoübersichten, Terminpläne oder Wartungspläne innerhalb eines kontinuierlichen Verbesserungsprozesses laufend untersucht, angepasst und verbessert werden. Allein um die letzten Punkte überprüfen zu können, ist ein weiterer Baustein, das Audit, erforderlich.
Die Aufgabenfelder eines IT-Security-Verantwortlichen sind vielfältig und eng vernetzt mit den Aufgaben der IT und vieler anderer Fachabteilungen. Diese Aufgaben tendieren dazu, immer weniger technisch geprägt zu sein. Der heutige Manager IT-Security werkelt nicht mehr abgeschottet am Terminal und löst Sicherheitsfragen auf niedrigen Ebenen des TCP/IP-OSI-Modells, sondern er kommuniziert, moderiert und entwirft Szenarien, die wiederum in Regelungen münden. Das IT-Security-Management umfasst alle Bereiche, und zwischen ihnen zu jonglieren, ohne dabei den Blick in die direkt betroffenen Unternehmensbereiche zu verlieren, ist dessen Hauptaufgabe.
In dem Maße, wie der Abstand zur Technik wächst, muss die Zusammenarbeit mit den technischen Spezialisten in der IT zunehmen. Technische Bewertungen und Lösungen müssen delegiert werden, ohne dass der Gesamtüberblick bis ins Detail völlig verloren geht.
Die Steuerungsfunktionen des IT-Security-Managements, wie sie in Abbildung 1.5 abgebildet sind, dienen dazu, auf Ereignisse richtig zu reagieren, die Erkenntnisse zu bewerten und daraus zu lernen. Außerdem müssen mitbeteiligte Organisationseinheiten informiert, geschult und letztendlich auch angewiesen werden, im Sinne der Ziele der IT-Security zu agieren.
Abbildung 1.5: Steuerungsfunktion
1.9 IT-Security zwischen Nutzen und Kosten
Der Manager IT-Security ist in allererster Linie ein Moderator, der zwischen den Stühlen Kosten, Kundenanforderungen, gesetzlichen Vorgaben und den Sicherheitsbelangen sitzt. Zum inneren Spannungsfeld von IT-Governance, IT-Compliance und IT-Risikomanagement kommen äußere Ansprüche hinzu, die sich zumeist nicht vollständig auflösen lassen. Zunächst einmal ist der Grund darin zu suchen, dass die IT-Security keinen einfach nachzuweisenden Return of Invest (ROI) leistet. Häufig kommt hinzu, dass die IT-Security eher als verhindernde denn als unterstützende Organisationseinheit gesehen wird. Das ist auch der Grund, warum ein Arbeiten in diesem Umfeld ohne Rückhalt aus der Unternehmensleitung ineffizient und schwierig ist.
Findet ein Angriff auf Unternehmensdaten statt, von innen oder von außen, und wird dieser professionell und zielgerichtet ausgeführt, dann wird nur ein Bruchteil der Unternehmen diesen überhaupt bemerken. Je größer ein Unternehmensnetzwerk ist, je mehr Personen Zugriff auf geheime Daten haben und je sorgloser mit ihnen umgegangen wird, desto leichter wird es einem Angreifer gemacht. Dazu kommt der schleichende Verlust von Daten als ein weiteres Phänomen. Dies geschieht über unverschlüsselte E-Mails, unverschlüsselte Dateiübertragung oder Papiermüll, der auch sensible Daten enthält. Alle Kommunikationswege lückenlos zu überwachen, stellt eine schier unmögliche Aufgabe dar. Selbst wenn dies technisch gelöst wird, scheitern Unternehmen reihenweise daran, die erfassten Überwachungsdaten zu analysieren und daraus die korrekten Schlüsse zu ziehen. Alle diese Gründe erfordern die engmaschige Implementierung von Prozessen und technischen Maßnahmen. Da aber eine objektive Abwägung zwischen den damit auflaufenden Kosten und dem zu erzielenden Nutzen nicht durchgeführt werden kann, wird häufig an den falschen Stellen oder zu wenig investiert.
Die Business-Impact-Analyse (BIA) hat die Aufgabe, eine Kostenschätzung für den Fall zu erstellen, dass wichtige Kernprozesse im Unternehmen ausfallen. Die daraus abgeleiteten Ergebnisse stellen die wichtigsten Kenngrößen für den Nutzen dar, den die Sicherstellung von Verfügbarkeit, Vertraulichkeit und Integrität für das Unternehmen wirklich bringt. Es findet dabei eine Betrachtung für den Fall statt, dass etwas ausfallen könnte, und fällt damit in den Bereich der Versicherung gegen mögliche Notfälle. Wie jede Versicherung können diese Daten für eine Risikoabwägung herangezogen werden, aus der die Finanzmittel rechnerisch hervorgehen, die sinnvollerweise in die Notfallvorsorge investiert werden sollten.
Im Gegensatz zu einer Versicherung gegen Notfälle ist es erforderlich, den tatsächlichen Nutzen einzelner Maßnahmen zu überprüfen. Für diesen Zweck sind Kennzahlen wünschenswert, um eine Situation quantitativ vor und nach der Umsetzung einer Maßnahme bewerten zu können. Nachdem Einigkeit besteht, dass eine Messung des Nutzens von IT-Security vorgenommen werden soll, müssen zunächst der Rahmen der Messung und die Art der Messmethode festgelegt werden. Um messen zu können, müssen Prozesse gefunden werden, die messbar sind. Entscheidet man sich z.B. für den Prozess »Mailversand nach extern«, dann würde der nächste Schritt so aussehen, dass alle Quellen für Daten wie Logfiles zusammengetragen und daraufhin untersucht werden, ob sie tauglich sind. Ein Beispiel wäre in diesem Fall die Anzahl von Viren, die die Mailkette passieren und bis zum Zielrechner gelangen. Standardwerte aus dem täglichen Betrieb des Mailsystems werden später als Kontrolldaten dienen. Vergleichswerte von anderen Unternehmen können dazu dienen, das eigene Unternehmen einzuschätzen. Nach der Umsetzung von Maßnahmen wird die Kontrollmessung zeigen, ob die Anzahl an Viren niedriger geworden ist. Aus der Gegenüberstellung der Kosten für die implementierte Maßnahme und der Ersparnis aus einer niedrigeren Zahl an Viren, die den Rechner des Empfängers infizieren könnten, ergibt sich der Nutzen.
Das Beispiel zeigt, dass auf der einen Seite eine lückenlose Darstellung des Nutzens von IT-Security schwierig und kostenintensiv ist, auf der anderen Seite die Messung des Erfolgs eingeführter Maßnahmen aber eine wichtige Aufgabe darstellt, insbesondere was die Darstellung eines verringerten oder auch erhöhten Risikos angeht.
Kapitel 2: Organisation der IT-Security
2.1 Kapitelausblick
In einem Unternehmen verteilt sich die vielfältige Aufgabe des Schutzes von Unternehmenswerten auf eine ganze Anzahl von Rollen. Diese Rollen stehen in einem Verhältnis zueinander, das der Manager IT-Security kennen und mitgestalten sollte. Innerhalb dieses Kapitels werden die wesentlichen Rollen aufgezeigt und mögliche Arbeitsinhalte beschrieben.
Die Top-5-Fragen zum aktuellen Kapitel:
Wurde die Rolle des Managers IT-Security offiziell implementiert?
Ist die Rolle des Managers IT-Security innerhalb der Organisationsstruktur veröffentlicht worden?
Sind die für die Arbeit eines Managers IT-Security erforderlichen Kompetenzen eingeräumt und definiert worden?
Wurde der Aufgabenbereich des Managers IT-Security gegenüber den anderen Stellen, die sich um Sicherheitsbelange kümmern, ausreichend abgegrenzt?
Sind die Kommunikationswege zwischen den verschiedenen Sicherheitsbereichen, von denen der Manager IT-Security eine repräsentiert, definiert?
2.2 Einführung
Die IT-Security-Organisation ist nicht nur erforderlich, um die tägliche Arbeit und die Verantwortlichkeiten für das Arbeitsgebiet zu strukturieren. Sie ist zudem ein Ausdruck der Unternehmensleitung, inwieweit der Gesamtthematik »Informationssicherheit« Aufmerksamkeit geschenkt wird. Deshalb kann aus der Art und Weise, wie die Organisationseinheit IT-Security aufgebaut ist, abgelesen werden, mit welcher Priorität der Informationsschutz betrieben wird. Ist der Manager IT-Security einer IT-Abteilung zugeordnet, so wird seine Weisungsbefugnis nicht so weitreichend sein, wenn er direkt dem Vorstand untergeordnet ist. Ist er global aufgestellt, also für alle Unternehmensteile bzw. auch im Ausland zuständig oder gibt es für jede Ländergesellschaft einen eigenen? Hängt er am Datenschutzbeauftragten oder arbeitet er eng mit diesem zusammen? Die Beantwortung dieser Fragen lässt direkte Rückschlüsse zu und das sollte angemessen berücksichtigt werden.
Die Struktur der IT-Security ist damit auch ein Aushängeschild nach außen. Damit kann Kunden aufgezeigt werden, wie ernst der Schutz ihrer Daten genommen wird. Das wiederum kann dazu führen, dass innerhalb des Unternehmens eine Struktur geschaffen wird, die nur repräsentativen Charakter hat und im Grunde nicht wirklich gelebt wird. Diese Ausprägung kommt häufiger vor, als man zunächst vermuten würde, und birgt die Gefahr, dass sich die Verantwortlichen im Unternehmen beruhigt auf die Schultern klopfen, ohne wirklich Sicherheit geschaffen zu haben. Aus diesem Grund ist nicht nur der Aufbau einer Organisationseinheit das Ziel, sondern auch die Ausstattung mit Ressourcen wie Mitarbeitern, Zeit und Budget, und die zugewiesenen Kompetenzen müssen stimmen.
2.3 Rollen innerhalb des IT-Security-Managements
Je vielschichtiger und vielfältiger die Aufgabenbereiche der IT-Security werden, desto mehr spezialisierte Berufsfelder bilden sich innerhalb dieser Thematik heraus. Kam der Manager IT-Security früher zumeist direkt aus dem administrativen Bereich der IT und beschäftigte er sich deshalb auch maßgeblich mit den technischen Aspekten, so kamen mit den Feldern IT-Compliance und IT-Risikomanagement bald neue Aufgaben hinzu, die Kenntnisse in ganz anderen Disziplinen erforderlich machten. Das bedeutet nicht, dass sich die verschiedenen Rollen nicht in einer Person konzentrieren können. Zumindest aber muss dieser Person bewusst sein, dass es diese Rollen gibt und dass es erforderlich ist, auch diese gegenüber den Kollegen, Vorgesetzten und externen Prüfern zu vertreten. So wird der Manager IT-Security von einem Wirtschaftsprüfungsunternehmen anders wahrgenommen als von einem Kollegen aus der IT, der ein Problem mit einem Sicherheitspatch hat: eine Person in zwei gänzlich unterschiedlichen Rollen.
2.3.1 Manager IT-Security
»Manager IT-Security«, »Chief Information Security Officer (CISO)« oder »Leiter Informationsschutz« wird die Rolle genannt, die für das IT-Security-Management verantwortlich zeichnet. Das bedeutet nicht, dass der Manager IT-Security in letzter Instanz für den Schutz der Informationen verantwortlich ist. Diese Verantwortung liegt weiterhin bei der Unternehmensleitung. Das liegt in der Natur der Rolle eines Geschäftsführers begründet. Zudem ist der Schutz der Informationen Teil der unternehmerischen Verantwortung und kann nicht ohne Weiteres delegiert werden. Die Unterscheidung zwischen dem Betreiben eines IT-Security-Managements, also dem Ausfüllen eines Jobs, und der generellen Verantwortung für die Sicherheit des Unternehmens-Know-hows ist wichtig und sollte immer im Hinterkopf behalten werden. Sie ist auch ein Grund dafür, warum die grundlegenden Entscheidungen wie die Verabschiedung einer Sicherheitsrichtlinie immer Aufgabe der Unternehmensleitung ist.
Im Idealfall ist der Manager IT-Security für die unternehmensweite Organisation der IT-Security zuständig und erhält seinen Auftrag aus der IT, der Unternehmensleitung direkt, vom Datenschutzbeauftragten oder in selteneren Fällen aus einer weiteren Fachabteilung wie z.B. der Rechtsabteilung oder dem Controlling. Der ideale Umfang des Zuständigkeitsbereichs hängt von vielen Faktoren ab. Ein technischer Faktor ist die Struktur des Unternehmensnetzwerks. Ist dieses flach und verbindet es alle Unternehmensteile gleichermaßen, dann macht es wenig Sinn, den Scope auf Teilbereiche einzuschränken. Besteht das Unternehmen jedoch aus vielen Einzelgesellschaften mit jeweils eigener IT-Infrastruktur und Firewalls, die jeden Einzelbereich abschotten, dann kann es auch sinnvoll sein, diese Aufgabe zu teilen, solange das einzuhaltende Mindest-Sicherheitsniveau flächendeckend vergleichbar hoch ist.
Ein weiterer Faktor ist wiederum die Außenwirkung. Die Implementierung der Funktion IT-Security erfolgt häufig aus der Erforderlichkeit heraus, externe Anforderungen bezüglich der Sicherstellung des Betriebs zu gewährleisten und auch nachweisbar zu gestalten. Dafür ist die Konzentration dieses Aufgabengebiets in einem Bereich förderlich, um die dazugehörigen Steuerungsfunktionen wahrnehmen zu können.
Unternehmen, die die Funktion Security als zusätzliche Aufgabe den Fachverantwortlichen der verschiedenen IT-Bereiche zuordnen, stehen bald vor dem Problem, dass eine Abstimmung schwierig und ein standardisiertes Vorgehen fast unmöglich wird. In einem Unternehmen mit zehn Standorten würde das bedeuten, dass der jeweilige lokale Support sich um die Client-Sicherheit kümmert, der lokale Netzwerkverantwortliche um die Sicherheit seiner Netzwerkkomponenten und die lokal angesiedelten Administratoren um den Rest. Ohne zentrale Steuerung wird die Streuung des Sicherheitsniveaus zwischen den Lokationen stark von den jeweiligen Fachkenntnissen der Mitarbeiter abhängen. Ohne zentrale Überprüfung und Steuerung stellt dies ein großes Sicherheitsproblem dar.
Hinweis
Ohne eine unternehmensweit agierende Organisationseinheit IT-Security mit einem verantwortlichen Manager IT-Security wird das Sicherheitsniveau von Standort zu Standort stark schwanken. Das Gesamtniveau wird auf das Niveau des schwächsten Standorts sinken, und die Umsetzung standardisierter Verfahren wird stark behindert.
