Ganz sicher haben Sie folgendes schon oft gehört: Informationssicherheit ist Chefsache!
Und wie sieht es bei Ihnen im Haus tatsächlich aus? Ist eine handfeste Strategie für die Informationssicherheit eingeführt und umgesetzt? Stehen die notwendigen finanziellen und personellen Ressourcen bereit? Oder ist das Thema Informationssicherheit dann doch beim IT-Leiter gelandet.
Wenn Sie jetzt ein etwas ungutes Gefühl in der Magengegend verspüren, so kann ich Ihnen versichern: Sie sind nicht allein.
Das ist aber nur ein schwacher Trost. Denn es ändert nichts an der Tatsache, dass Ihre Informationssicherheit auf einer Entwicklungsstufe steht, die Potenzial für Verbesserungen hat.
Und genau darum geht es in diesem Artikel. Erkennen Sie die Möglichkeiten, Ihre Informationssicherheit zu verbessern. Tag für Tag und Stück für Stück. Es muss nicht immer gleich der ganz große Wurf sein.
Inhaltsverzeichnis
- DER CHEF HAT DEN HUT AUF
- WER HAT NOCH EINEN HUT AUF?
- INFORMATIONS-SICHERHEITS-MANAGEMENT-SYSTEM (ISMS) ETABLIEREN
- AWARENESS SCHAFFEN
- AUSTAUSCH UNTER GLEICHEN
- BONUS-TIPP
- FAZIT
1. Der Chef hat den Hut auf
Ja, natürlich. Informationssicherheit ist Chefsache, genau wie Geschäftsentwicklung auch Chefsache ist. Doch was tun, wenn die Geschäftsführung noch keinen Bedarf für dieses Thema erkannt hat? Einfach die Hände in den Schoß legen und hoffen, dass nichts passiert? Ganz sicher nicht. Und das haben Sie in Ihrer Organisation bisher bestimmt auch nicht getan.
Vielmehr versuchen Sie mit Ihren Mitteln das Nötigste an IT-Sicherheit zu gewährleisten. Das ist mit den begrenzten Budgets und knappen Personalressourcen nicht immer einfach. Wenn Sie in dieser Situation sind, müssen Sie in die Offensive gehen und quasi Missionarsarbeit in Sachen Informationssicherheit leisten.
Am einfachsten tun Sie sich damit, wenn Sie als Basis eine IT-Risikoanalyse durchführen. Damit haben Sie die Fakten auf dem Tisch. Welche IT-Risiken sind vorhanden, wie groß sind diese einzuschätzen und welche Maßnahmen sind vorhanden, um die Risiken zu behandeln. Setzen Sie dabei den Fokus auf die größten Risiken, also die mit den gravierendsten Auswirkungen.
Um eine IT-Risikoanalyse durchzuführen, müssen Sie nicht mehrere Semester Wahrscheinlichkeitstheorie studiert haben, sondern können ganz pragmatisch auf bestehende Standards wie z.B. die ISO 27005 zurückgreifen. Eine entsprechende Tool-Unterstützung finden Sie hier: https://adiccon.de/adirisk/
Wenn in Ihrer Organisation bereits die Erkenntnis vorhanden ist, dass Informationssicherheit wichtig ist – und zwar unabhängig von der Größe der Organisation – dann haben Sie für einen sicheren, stabilen IT-Betrieb bereits die besten Voraussetzungen.
2. Wer hat noch einen Hut auf?
Nachdem klar ist, dass die Geschäftsführung die grundsätzliche Verantwortung für die Informationssicherheit hat, geht es jetzt um die Umsetzung derselben.
Dazu gibt es die Rolle des Informationssicherheitsbeauftragten (ISB). Kleinere Organisationen tun sich damit erfahrungsgemäß schwer. Denn oft ist für eine zusätzliche Stelle kein Budget vorhanden. Außerdem kommt häufig die Aussage, dass ja bereits jemand da ist, der sich um IT und damit auch um IT-Sicherheit kümmern kann.
Aber Obacht! Informationssicherheit ist mehr als IT-Sicherheit. (Lesen Sie auch hier über den Unterschied zwischen IT-Security Beauftragten und ISB: https://adiccon.de/was-ist-der-unterschied-informations-sicherheitsbeauftragter-vs-it-sicherheitsbeauftragter/).
Neben den rein technischen Aspekten geht es bei der Informationssicherheit auch um organisatorische, und damit um die sogenannten Technischen und Organisatorischen Maßnahmen (TOMs).
Werden nun die Rollen, IT-Security-Beauftragter und ISB, und am besten noch die des IT-Leiters in einer Person zusammengeführt, so ergeben sich zwangsläufig Interessenskonflikte. Auch der Ansatz, die Aufgaben mit dem bereits vorhandenen Datenschutzbeauftragten zu verbinden, birgt Konfliktpotenzial (https://adiccon.de/harmonisierung-von-datenschutz-und-informationssicherheit/).
Wenn es bei Ihnen zunächst nicht möglich erscheint, die Rollen personell sauber zu trennen, so sind Sie sich bitte bewusst, dass es zu den erwähnten Interessenskonflikten kommen kann und erfahrungsgemäß auch kommen wird.
Eine Möglichkeit, diese Problematik aufzulösen besteht darin, einen externen ISB einzusetzen. Dieser kann in Abhängigkeit der anstehenden Aufgaben als Voll- oder Teilzeitkraft sehr flexibel für die Organisation tätig werden. (Lesen Sie hier mehr darüber: https://adiccon.de/externer-informationssicherheitsbeauftragter/)
Haben Sie in Ihrer Organisation einen ISB etabliert und dazu noch als Stabsstelle eingerichtet, sind die organisatorischen Voraussetzungen für die nächsten Schritte erfüllt.
3. Informations-Sicherheits-Management-System (ISMS) etablieren
Bitte machen Sie an dieser Stelle nicht den folgenden Fehler: Sie warten mit dem Aufbau eines ISMS, bis Sie die Schritte 1 und 2 erledigt haben.
Auch wenn die dort beschriebenen Aufgaben einen Wasserfall-ähnlichen Charakter aufweisen, so hindert Sie nichts und niemand daran mit dem Aufbau eines ISMS zu beginnen. Natürlich ist es einfacher, wenn Rollen und Ressourcen zur Verfügung stehen. Doch bedenken Sie, dass Sie sich in einem Verbesserungsprozess befinden. Und da ist es einfach wichtig zu starten, auch wenn vielleicht noch nicht alle Voraussetzungen zu 100% erfüllt sind.
Das ISMS aufzubauen ist keine Raketenwissenschaft. Obwohl das in Medien und Internet immer wieder komplex dargestellt und suggeriert wird. Beginnen Sie in kleinen Schritten. Z.B. mit einer Bestandsaufnahme. Erfahren Sie hier mehr darüber: https://adiccon.de/isms-auch-fuer-nicht-kritis-krankenhaeuser/. Definieren Sie Richtlinien und erstellen Sie die ersten Notfallpläne für die Systeme, die für Ihre Organisation besonders wichtig sind.
Ein ISMS ist kein Sprint, keine Momentaufnahme, die Sie einmal anfertigen. Vielmehr ist es ein Marathon und es lebt von der ständigen Verbesserung. Das heiß auch, dass Sie sich regelmäßig damit beschäftigen und notwendige Anpassungen vornehmen. Schritt für Schritt.
Welche Vorteile Sie durch ein ISMS haben können, erfahren Sie in diesem Artikel: https://adiccon.de/26-vorteile-durch-die-einfuehrung-eines-isms-risikominimierung-kostensenkung-transparenz-der-geschaeftsprozesse/
4. Awareness schaffen
Über den Sinn und Nutzen von Security-Awareness gehen die Meinungen stark auseinander. Von Ressourcen-, Zeit- und Geldverschwendung auf der einen Seite bis hin zur unbedingt notwendigen Security-Maßnahme auf der anderen.
Was glauben Sie, haben sich unserer Vorfahren nach einer erfolgreichen Jagd abends am Lagerfeuer erzählt? Sprachen sie nur darüber, wie hervorragend das Fleisch schmeckt und von welchem Tier es kommt? Wahrscheinlich nicht. Vermutlich haben sie insbesondere über die gefährlichen und bedrohlichen Situationen bei der Jagd gesprochen und wie sie mit diesen Verhältnissen umgegangen sind, ohne sich zu verletzen oder schlimmstenfalls getötet zu werden. Damit haben sich die Jäger nicht nur selbst die besten Strategien nochmals erklärt, sondern auch die Stammesmitglieder wurden darüber unterrichtet und sensibilisiert.
Hätten diese Sensibilisierungsmaßnahmen nicht stattgefunden, wären wir vermutlich heute nicht hier.
Aus meiner Sicht ist deshalb Security-Awareness die größte NICHT-technische Maßnahme, die Sie in Ihrer Organisation für ein höheres Sicherheitsniveau umsetzen können. Allerdings kommt es darauf an, wie die Inhalte vermittelt werden. Ich selbst habe schon Veranstaltungen beigewohnt, die absolut in die Kategorie „WOMBAT“ (Waste Of Money Brain And Time) fallen.
Wenn die Awareness-Veranstaltungen nur dazu missbraucht werden, in der Checkliste wieder einen Haken für „Erledigte Maßnahme“ setzen zu können, dann sollten Sie die Security-Awareness auf den Prüfstand stellen.
Ich lade Sie ein, dass wir gemeinsam über Ihre Awareness-Maßnahmen sprechen und gemeinsam herausfinden, welche Strategie sich für Ihre Belange am besten eignet.
5. Austausch unter Gleichen
Die Cyberkriminalität entwickelt sich ständig weiter. Fast täglich gibt es Meldungen über neu entdeckte Sicherheitslücken und erfolgreiche Angriffe. Als Verantwortlicher für Informationssicherheit muss ich mich deshalb kontinuierlich mit neuen Strategien zur Abwehr auseinandersetzen.
Eine gute Möglichkeit bietet dafür der Austausch mit Informationssicherheits-Verantwortlichen aus anderen Organisationen, wo offen über erfolgreiche, aber auch weniger erfolgreiche Maßnahmen gesprochen wird.
Dabei sollte immer die Chance gesehen werden, von anderen zu lernen und sich gemeinsam in Sachen Cybersicherheit weiterzuentwickeln. Sich mit anderen Organisationen zu vernetzen, Ideen auszutauschen und ggf. Kooperationen einzugehen, bilden diese offenen Denkweisen die Grundlage für eine nachhaltige Informationssicherheit.
Der ISB-Stammtisch der Adiccon bietet dafür die entsprechende Plattform. Informieren Sie sich gerne über folgenden Link https://adiccon.de/isb-stammtisch-anmeldung/ oder melden Sie sich direkt bei Herrn Maul-Burton (dieter.maul-burton@adiccon.de) oder unter 06151-500 777- 60, wenn Sie mehr über den ISB-Stammtisch erfahren möchten.
6. Bonus-Tipp
Selbst die besten Sicherheitsmaßnahmen, die lückenloseste Erfassung und Bewertung Ihrer IT-Risiken können Sie nicht 100%-ig vor einem erfolgreichen Angriff schützen. Aber Sie können sich gut darauf vorbereiten. Nutzen Sie die Methoden des Business Continuity Managements (BCM) und dokumentieren Sie Ihre Notfallmaßnahmen. Die Ideen und Konzepte, die sich lediglich in den Köpfen der verantwortlichen Mitarbeiter befinden, helfen Ihnen im Notfall nur bedingt weiter.
7. Fazit
Viele denken bei Informationssicherheit sofort an technische Maßnahmen, die hohe Investitionskosten und zusätzliches Personal für den Betrieb bedeuten. Aber Informationssicherheit ist viel mehr als reine Technik. Gewissermaßen bedeutet es, einen Prozess und ein Verständnis für Informationssicherheit in der eigenen Organisation zu etablieren und ständig weiterzuentwickeln. Dafür bildet das ISMS den Rahmen.
Beginnen Sie am besten noch heute damit.
Hinterlasse einen Kommentar