Als Sicherheitsverantwortlicher wissen Sie, welche Risiken für Unternehmen ohne profundes Information Security Management entstehen. Sie konnten jedoch das Management Ihres Unternehmens noch nicht überzeugen, ausreichend Budget bereitzustellen und die entsprechenden Maßnahmen einzuleiten? Resignieren Sie nicht. Orientieren Sie sich an den Erfolgsfaktoren für die Einführung und Etablierung eines ISMS. Ihr Unternehmen ist in seiner Branche führend, vielleicht sogar Weltmarktführer und/oder dem Wettbewerb aufgrund von Prozess- und Produktionswissen weit voraus? Meistens ist dies das Ergebnis jahrelanger harter Arbeit vieler Menschen, das es zu schützen gilt. Denn es gibt viele Motive, Ihrem Unternehmen zu schaden. Dies zeigen u. a. die massiv ansteigenden Delikte im Bereich der Wirtschaftskriminalität und die zahllosen Cybercrime-Attacken der vergangenen Jahre. Haben Unternehmen dies im Blick, ist die konsequente und professionelle Etablierung eines Informationssicherheitsmanagementsystems (ISMS) für eine verantwortungsvolle Unternehmens-führung unumgänglich. Die Abhängigkeit des Geschäftserfolgs von sicherer Informationstechnologie, die zunehmende Auslagerung von Services und Informationen (Outsourcing, Cloud Computing etc.), Compliance Anforderungen und weiter steigende Bedrohungen lassen den Verzicht auf ein ISMS unter dem Gesichtspunkt der Verantwortlichkeit nicht zu. Als Sicherheitsverantwortlicher können Sie nur mit einem gut funktionierenden ISMS einen ganzheitlichen und nachhaltigen Beitrag zum Unternehmensrisikomanagement leis-ten. Alles andere ist Stückwerk und häufig nur gefährliche Feigenblattpolitik unter dem Motto „Wir tragen diesem Thema auch irgendwie Rechnung“.

Umfassendes Information Security Management

Die Grundpfeiler, die für ein umfassendes Information Security Management erfüllt sein müssen, sind die folgenden:

• Die Geschäftsführung Ihres Unternehmens ist sich der Bedeutung eines ISMS für den Unternehmenserfolg bewusst, und die Fachabteilungen arbeiten als Owner der Werte und Assets im Sicherheitsmanagement aktiv und motiviert mit.
• In Ihrem Unternehmen ist das Information Security Management kein Einzelprojekt, sondern ein permanenter Prozesskreislauf von Planung, Umsetzung, Über-prüfung und Verbesserung.
• Das Zusammenspiel zwischen Sicherheitsexperten und Fachabteilungen basiert auf klar definierten Prozessen, und das Management wird monatlich, viertel- und halbjährlich auf Basis profunder Daten zum Stand der Risiken und Bedrohungen informiert.
• In Ihrem ISMS ist eine ganzheitliche Betrachtung von Schwachstellen und Risiken im Zusammenspiel von Technik, Prozessen und Menschen umgesetzt und lückenlos dokumentiert.

Falls Sie in Ihrem Unternehmen noch weit von dieser Situation entfernt sind, sollten Sie nicht aufgeben, sondern die Blockaden überwinden und die Geschäftsführung mit einem verständlichen Business Case, der alle wichtigen Punkte auch für „Nicht-IT-Experten“ anschaulich darlegt, überzeugen. Machen Sie deutlich, dass Sie, selbst bei bestem Willen und hervorragender Qualifikation, ohne funktionierendes ISMS nicht den erforderlichen Beitrag zur Informationssicherheit und damit zum Unternehmenserfolg leisten können, der möglich wäre.

ISMS-Projekte zielgerichtet umsetzen

Aus der Erfahrung von vielen nationalen und internationalen ISMS-Projekten hat WMC die wesentlichen Erfolgsfaktoren für die erfolgreiche Einführung und Etablierung eines ISMS in einer Organisation bestimmt:

Klären Sie die Fakten: Der Unterschied zwischen IT-Sicherheit und ganzheitlicher Informationssicherheit ist Managern, die sich in ihrem Tagesgeschäft mit anderen Dingen beschäftigen, häufig noch nicht klar. Die Begriffe sind am Beispiel Auto betrachtet in etwa so identisch wie der Motor und das komplette Fahrzeug. Machen Sie deutlich, dass Informationssicherheit wesentlich mehr ist als die technische Absicherung der Verfügbarkeit von IT-Anwendungen und die Einhaltung von Datenschutzaspekten. Informationen ( Entwicklungen, Patente, Angebote, Verträge etc.) sind Unternehmenswerte, die in nahezu jeder Organisation intern oder extern auf Hard- und Software gespeichert werden und deren Vertraulichkeit, Verfüg-barkeit und Integrität sichergestellt sein müssen, um den Unternehmensbestand zu gewährleisten.

Zeigen Sie Einsparpotenziale auf: Die vollumfängliche Absicherung von IT-Infra-strukturen erfordert hohe Budgets. Durch ein ISMS gehören Informationssicherheitsmaßnahmen mit der „Gießkanne“ der Vergangenheit an. Durch die Transparenz der Risikoverteilung im Unternehmen kann bedarfsgerecht investiert werden. Das erzielt Kosteneinsparung bei gleichzeitiger Verbesserung der Sicherheitssituation.

Erläutern Sie Zusatznutzen: Neben der primären Verbesserung des Sicherheits-status unterstützt ein ganzheitliches ISMS durch die Historisierung und Dokumentation die Kontroll- und Aufsichtspflichten des Managements, reduziert die Haftung und verbessert das Image sowie das Vertrauen von Kunden und Auftraggebern.

Schaffen Sie Einsichten: Machen Sie klar, dass z. B. Datenspionage in nahezu keinem Fall so erkennbar ist, wie noch vor 20 Jahren ein aufgebrochener Safe. Es gibt oft-mals nahezu keine offensichtlich erkenn- baren Angriffsspuren, aber umso herbere Erkenntnisse, wenn z. B. ein ausländischer Wettbewerber die Neuentwicklung Ihres Hauses bereits kurze Zeit nach Ihnen viel günstiger anbieten kann oder plötzlich Ihre Angebote an Kunden von Wettbewerbern permanent unterboten werden.

Fordern Sie Commitment: Auf Ihre Analysen und Maßnahmenvorschläge zur Risikobegegnung hören Sie Antworten aus der Geschäftsleitung wie: „Warum sollen wir für Informationssicherheit Geld ausgeben?“, „Bei uns ist doch noch nie was passiert“, „Wer sollte uns schon was anhaben wollen?“ Nun, grundsätzlich kann jedes Management entscheiden, ob es ein Risiko tragen möchte. Aber idealerweise tut die Geschäftsführung dies aufgrund profunder Einschätzungen auf Basis von Fakten und nicht auf Basis von Vermutungen. Giovanni Agnelli (*1921), ital. Unternehmer (Fiat), bis 1996 Konzernchef, hat einmal gesagt: „[…] genau müssen wir schon sein, wenn wir uns über Risiken unterhalten. Denn die anderen, die es nicht so genau genommen haben, die finden wir alle auf dem Friedhof der Unternehmensgeschichte.“
Als Informationssicherheitsverantwortlicher tun Sie gut daran, sich in Fällen, in denen das Management meint, erkannte Risiken eingehen zu wollen, ein Risikoakzeptanz-papier unterzeichnen zu lassen. Wer Risiken tragen will, sollte kein Problem haben, schriftlich dazu zu stehen.

Fordern Sie Unterstützung: Machen Sie deutlich, dass Informationssicherheit das gesamte Unternehmen betrifft und die IT-Abteilung nur gemeinsam mit den Fachabteilungen bedarfsorientiert ein ISMS planen und umsetzen kann. Dieses Zusammenwirken funktioniert nur, wenn die Geschäftsführung von Anfang an hinter der ISMS-Einführung steht, da sonst das gesamte Vorhaben schon bei kleineren Umstrukturierungen während einer Umsetzungsphase ins Straucheln geraten kann und somit zum teuren Scheitern verurteilt ist.

Fordern Sie Zusammenarbeit und Mitwirkung: In einer frühen Phase benötigen Sie bereits die Unterstützung des Managements, um der gesamten Leitungsebene erläutern zu können, warum nur die Verbindung von IT-Assets, kombiniert mit dem Wissen der Fachabteilungen um die Kritikalität der Kerngeschäftsprozesse, es ermöglicht, den externen und internen Bedrohungen nachhaltig zu begegnen. Nur die Fachabteilungen kennen ihre Kern-prozesse so gut, dass in Zusammenarbeit mit ihnen die wirklich kritischen Informationen und Assets ermittelt werden können.
Die Differenzierung zwischen z. B. hochkritischen, kritischen und weniger kritischen Informationen und Assets ermöglicht ein individuell angemessenes und effizientes Risikomanagement und spart somit letzt-endlich Budget.

Arbeiten Sie mit Plan: Entwickeln Sie ein Einführungskonzept und planen Sie eine kontinuierliche Etablierung des ISMS. Beginnen Sie mit einzelnen hochkritischen Bereichen und erweitern Sie das ISMS sukzessive. Das fordert im ersten Schritt keine unüberschaubaren Investitionen, und die in einzelnen Bereichen bereits erarbeiteten Konzepte und Richtlinien können später auf weitere Abteilungen und Bereiche ausgerollt werden.

Seien Sie ein Teamplayer: Werben Sie um die Zusammenarbeit mit dem Unternehmensrisikomanagement und arbeiten Sie daran, dass die Ergebnisse des IT-Risikomanagements eine feste Komponente im Unternehmensrisikomanagement werden.

Nutzen Sie die verfügbaren Möglichkeiten: Nicht einmal die kleinste Organisation käme heute auf die Idee, z. B. die Finanzbuchhaltung per Excel umzusetzen. Alle Welt bedient sich der im Markt verfüg-baren Lösungen mit ihren automatisierten Berechnungen, Auswertungen und Dokumentationen. Die Planung und Etablierung eines funktionierenden ISMS in größeren Infrastrukturen ist eine komplexe Angelegenheit. Dennoch verzichten viele Informationssicherheitsverantwortliche heute noch auf die Unterstützung von Software. Prüfen Sie die Vorteile von Lösungsunter-stützung und die Hinzuziehung von externen Spezialisten. Das „Rad“ ISMS muss bei Planung und Einführung eines ISMS nicht neu erfunden werden. Leistungsstarke Lösungen verbinden die Themenbereiche Compliance, Risikomanagement, Security Incident Management, BCM/BIA einschließlich Dokumentation und Reporting übersichtlich, komfortabel und sind einfach zu bedienen. Die Usability schafft Anwenderzustimmung, besonders wenn moderne Wizards (Prozess-Assistenten) auch völlig ungeübte Nutzer durch komplette Prozesse führen. Dieser Komfort in Verbindung mit integrierten Prozessabläufen und Standards (ISO 27001 u. v. m.) bringt Akzeptanz in Fachabteilung und Management und spart Manpower und Kosten bei gleichzeitig signifikanter Verbesserung des Informationssicherheitsniveaus

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück