Excellence in IT Management and Digitalisation

Security: Faktoren einer erfolgreichen ISEC-Strategie (Teil 1)

In den vergangenen Monaten hat es – trotz oder gerade wegen der COVID-19-Pandemie – erfolgreiche Cyber-Crime-Angriffe auf deutsche Unternehmen gegeben. Es stehen zunehmend auch Mittelständler im Visier.

Oftmals müssen Informationen über diese Angriffe durch die betroffenen Unternehmen veröffentlicht werden, was neben dem originären Schaden (Produktionsstillstand, kein Vertrieb, keine Auslieferungen, …) zu einer massiven Rufschädigung und Verunsicherung der Kunden führt.

Daher sollte es ein aktueller Imperativ sein, die Security-Strategie nochmals kritisch zu überprüfen und der Geschäftsleitung die Bedeutung einer funktionierenden Informationssicherheit explizit zu vermitteln.

Die Implikationen und Parameter für eine umfassende Informationssicherheitsstrategie (kurz: ISEC-Strategie) sind:

  • Die zunehmend schnelleren Innovationszyklen und die ständig wachsende ITDurchdringung führen dazu, dass sich Malware und dabei speziell auch Ransomware und andere Bedrohungen immer rasanter und auf bis dato unbekannten Wegen ausbreiten können, was die negativen Auswirkungen steigen lässt. Die Frage ist nicht mehr, ob, sondern wann ein Sicherheitsvorfall entsteht – ein direkter Angriff auf die Informationssicherheit.
  • Organisierte Kriminalität, staatliche Geheimdienste und Wettbewerber »verdrängen« die klassischen Hacker und Web-Aktivisten. Ziele werden spezifisch nach dem »Bedarf« der Täter ausgewählt, beispielsweise hinsichtlich potenzieller Lösegelder oder zu erbeutender Technologien. Man kann sogar von einer speziellen „Branche“ sprechen, in der viele kleine „Unternehmen“ (mit zumeist 5-15 „Mitarbeitern“) tätig sind.
  • Die Angriffe werden zunehmend ausgefeilter und aufwendiger: Advanced Persistent Threats, Spear Phishing, Business-Process-Compromise-Angriffe und Social-Engineering-Attacken – die Menge an unternehmensspezifischen Bedrohungen und Angriffen stieg in Deutschland in den letzten zwölf Monaten um fast das Doppelte.
  • Nur ein koordiniertes Vorgehen vieler Beteiligter, sowohl staatlicher als auch privater Akteure, kann die sich aus dieser Bedrohungslage ergebenden Risiken zumindest teilweise verringern. Der Gesetzgeber hat dies ebenfalls erkannt und regelt die ISECAspekte immer umfangreicher, etwa im Rahmen der KRITIS-Gesetzgebung.
Vor diesem Hintergrund ist die in der Vergangenheit häufig zu beobachtende » Vernachlässigung « der Informationssicherheit durch die Geschäftsführung ebenso fatal wie eine reine Fokussierung ausschließlich auf die Aspekte der IT-Sicherheit als Teilmenge der Informationssicherheit. Für die ISEC-Praktiker reichen allgemein gehaltene Grundsätze wie »So viel Sicherheit wie nötig, aber so wenig wie möglich « längst nicht mehr aus, um ihr Handeln an der Absicht der Geschäftsführung ausrichten zu können. Dazu gehört auch ein unternehmensweites Umdenken von der Prävention hin zur Resilienz – und das unter Berücksichtigung aller Aspekte des Unternehmens. So wie die Bedrohungen immer zielgerichteter werden, muss sich die ISEC-Strategie spezifisch an den Bedürfnissen des Unternehmens ausrichten.

(Resilienz: Generell legt Cyber-Resilienz den Fokus vor allem auf Sicherheitsaspekte und die Situation direkt nach einem Cyberangriff)

Zwecke einer ISEC-Strategie. Eine Informationssicherheitsstrategie verfolgt im Wesentlichen folgende Zwecke:

  • Vorgabe von »Leitplanken« in Bezug auf die Etablierung, Anpassung und Kontrolle der Informationssicherheit im Unternehmen
  • Abbildung der Risikofreudigkeit und -aversion des Unternehmens im Sinne einer Risikostrategie
  • Ein- und Abgrenzung als Scoping und zur Priorisierung der Informationssicherheit (»Selbstverständnis«)
  • Darstellung des Bewusstseins der Unternehmensführung für Informationssicherheit im Sinne eines »Commitments« zur Einführung und Durchsetzung der Inhalte der ISEC-Strategie
In der Folge stellt die ISEC-Strategie den Orientierungsmaßstab für die Verantwortlichen der Informationssicherheit dar. Diese können so den an sie gestellten Auftrag besser im Sinne der Geschäftsführung erfüllen, da in der Folge die Absicht der Leitung klar zur Geltung kommt.

Bestandteile einer ISEC-Strategie. Die Informationssicherheitsstrategie besteht aus vier Elementen, welche aufeinander aufbauen.

  • Ausgehend von einer Lagefeststellung und -analyse (1)
  • werden die Anforderungen an die Informationssicherheit (2) identifiziert,
  • anschließend sollten die konkreten, unternehmensspezifischen Grundsätze und Ziele für die Informationssicherheit (3) aufgestellt werden.
  • Um diese Ziele umsetzen zu können, sollten abschließend auch die organisatorischen und ressourcenbezogenen Rahmenbedingungen sowie Vorgaben zur Durchführung und Kontrolle (4) abgebildet werden.
Die jeweiligen Bestandteile werden im Folgenden detailliert.

1. Analyse des Unternehmensumfeldes

Element stellt eine Analyse der Implikationen aus unternehmensinternen Geschäftsanforderungen, den Anforderungen aus Beziehungen zu anderen Unternehmen (Zulieferer und Abnehmer), den Branchenspezifika und den Vorgaben und Erwartungen des Unternehmensumfeldes, etwa von Anteilseignern und dem Gesetzgeber, dar. Die Kernfrage dieses Bereichs lautet: »Welche relevanten Rahmenfaktoren bestehen für das Informationssicherheitsmanagement im Unternehmen?« Hierzu können Prüffragen eine schnelle und hinreichende Erfassung unterstützen:

  • Unternehmensinterne Geschäftsanforderungen: Aus der Unternehmensstrategie und den zugehörigen Teilstrategien und anderen Aussagen der Leitung (z. B. Geschäftsbericht) sollten die entsprechenden Implikationen für die ISEC-Strategie identifiziert werden. Plant das Unternehmen die Erschließung von neuen Märkten (Reisetätigkeiten von besonders gefährdetem Personal) oder den Aufbau einer Produktionslinie im Ausland (erhöhte Gefahr von Industriespionage)? Sollen zukünftig neue Technologien (IoT-Devices) eingesetzt werden? Welche Besonderheiten (Dislozierung der Werke) ergeben sich aus der Unternehmensstruktur?
  • Anforderungen aus Beziehungen zu anderen Unternehmen: Welche (vertraglichen) Herausforderungen entstehen aus der Verbindung mit anderen Unternehmen? Bestehen bestimmte Verpflichtungen aus Vereinbarungen und Verträgen? Müssen ITDienstleister auch aus ISEC-Sicht gesteuert werden?
  • Branchenspezifika: Existieren besondere Vorgaben in Bezug auf die Unternehmensbranche, etwa durch Anforderungen der Branchenverbände (vgl. Information Security Assessment des VDA)?
  • Vorgaben und Erwartungen des Unternehmensumfeldes: Unterliegt das Unternehmen bestimmten regulatorischen Anforderungen wie dem BSIG, dem Geheimschutz, dem KWG oder dem EnWG? Welche Implikationen ergeben sich durch aktuelle Anpassungen der Gesetzgebung, beispielsweise aus der DSGVO? Gibt es besondere Herausforderungen aus dem Kreis der Anteilseigner?

2. Anforderungen an die Informationssicherheit

Ausgehend von der Lagebeschreibung werden die sich ergebenden Implikationen gegen die grundlegende Bedrohungslage des Unternehmens gestellt. Hierzu ist eine Betrachtung der generellen und der unternehmensspezifischen Bedrohungen auf strategischer Ebene notwendig. Diese Anforderungen drücken grundsätzlich die jeweiligen Schwerpunkte aus Geschäftsleitungssicht in Bezug auf die jeweiligen Risiken aus. Diese ergeben sich unter anderem aus dem Grad der Digitalisierung der Geschäftsprozesse, der Vielfalt an Informationen im Unternehmen (Produktions- und Entwicklungsdaten, personenbezogene Daten) und dem Umfang von technischen und organisatorischen Schnittstellen zu unternehmensexternen Stellen.

Der Abgleich zwischen den Implikationen und der Bedrohungslage führt zu Anforderungen an die Informationssicherheit in drei Dimensionen:

  • Interne Anforderungen: Welche Schwerpunkte muss die Informationssicherheit verfolgen? Stellen bestimmte Assets, Informationen oder Geschäftsprozesse die »Kronjuwelen« des Unternehmens dar, welche vorrangig zu schützen sind, etwa Entwicklungsdaten? Will sich das Unternehmen als »sicheres« Unternehmen auch öffentlich am Markt platzieren? Dies alles sind wesentliche Fragestellungen bei der Erarbeitung einer ISEC-Strategie.
  • Anforderungen an Lieferanten, Dienstleister und Abnehmer: Wie wird die Informationssicherheit in die Beziehungen zu den direkten und indirekten Beteiligten der Wertschöpfungskette des Unternehmens einbezogen? Sind entsprechende Vereinbarungen langfristig anzupassen? Welche müssen dabei priorisiert werden?
  • Anforderungen an Dritte: Welche ISEC-spezifischen Anforderungen sollten bei der Zusammenarbeit mit Dritten (regulatorische Stellen, Öffentlichkeit) berücksichtigt werden, wie etwa ein regelmäßiger Austausch im Rahmen einer Branchen- Arbeitsgruppe?

Denny Rösicke

Marcus Schwertz