6 Wege, das Management zu überzeugen

Warum IT-Sicherheit scheitert

20.06.2012 von Marco Filtzinger

Ohne aktive Unterstützung Managements und Mitarbeit der Fachbereiche scheitert die Einführung von Informationssicherheits-Managementsystemen. Marco Filtzinger von Steria Mummert erläutert in seiner Kolumne, warum ein Chefmandat zwingend erforderlich ist.

Marco Filtzinger ist Berater bei Steria Mummert Consulting.
Foto: Steria Mummert Consulting

Die Informationssicherheit ist in Unternehmen mit den Mitteln der klassischen IT-Sicherheit allein nicht mehr zu gewährleisten. Diese Einsicht ist bei den CIOs und Sicherheitsbeauftragten angekommen. Aktuelle Spyware-Attacken wie "Flame" zeigen, dass Spähsoftware der neusten Kategorie verstärkt von der IT- in die reale Welt übergreift.

Malware dieser Sorte zapft beispielsweise die im Rechner eingebauten Mikrofone und Webcams an und verschafft dem Angreifer damit Zugang zu Informationen, die über die Computer-Sphäre hinausgehen. IT-Risiken werden zum Unternehmensrisiko. Es braucht ein Gesamtpaket an technischen, organisatorischen und personellen Maßnahmen, um den ungewollten Abfluss geschäftskritischer Informationen zu verhindern.

"Bisher lief doch auch alles glatt"

Auf Geschäftsleitungsebene wird Informationssicherheit vielfach immer noch mit IT-Sicherheit gleichgesetzt, deren Planung und Umsetzung alleinige Angelegenheit der IT-Experten ist. Der Zusammenhang zwischen IT-Sicherheit und dem Geschäftserfolg wird allenfalls im Sinne von Verfügbarkeit von IT-Anwendungen und der Einhaltung von Datenschutzbestimmungen gesehen. Die Aspekte Vertraulichkeit und Integrität von Informationen sowie Information als Unternehmenswert, werden in der Praxis dagegen häufig nicht betrachtet.

Beim Versuch, einen Business Case zur Einführung eines ISMS aufzustellen, indem man die Kosten in Relation zu möglichen materiellen Einbußen und Imageschäden setzt, lautet die Antwort immer wieder: "Bisher lief doch auch alles glatt" und "Wir hatten in den letzten Jahren überhaupt keine relevanten Sicherheitsvorfälle." Was noch nicht verstanden wird: In den allerwenigsten Fällen von Datenspionage erscheint der Hinweis "Sie wurden gehackt!". Diesen Umstand erfahren die Unternehmen oft erst über die Medien.

Experten gehen davon aus, dass sich der Trojaner "Flame" bereits seit zwei bis acht Jahren im Einsatz befindet, ohne dass er entdeckt worden wäre. Genaue Angaben über die tatsächliche Ausbreitung des Virus werden wohl nie gemacht werden können. Denn die Malware verfügt über ein "Kill-Modul", das bei Aktivierung durch den Angreifer eine vollständige Entfernung des Virus und aller Spuren auslöst.

Neben den Viren, deren Ziel die Störung des IT-Betriebs und der abhängigen Geschäftsprozesse ist (Stuxnet), besteht eine gesteigerte Bedrohungslage durch Spionageprogramme, deren Zweck die unbemerkte Entwendung von Informationen ist. Um die Verletzung von Vertraulichkeit und Integrität von Daten und Informationen zuverlässig zu erkennen, braucht es deshalb geeignete Kontrollen auf allen Unternehmensebenen, nicht nur im Bereich der IT.

Ohne die Geschäftsführung ist ISMS nicht umsetzbar

Durch das fehlende Bewusstsein auf Top-Managementebene fehlt jedoch das erforderliche Mandat der Geschäftsleitung für die erfolgreiche Einführung eines Informationssicherheits-Managementsystems (ISMS). Projekterfahrungen zeigen: Meist geht die Initiative zur Einführung eines ISMS von der IT-Abteilung aus. Diese beauftragen aus ihrem eigenen Budget interne Teams und externe Berater.

Die Ist-Analyse des bestehenden Sicherheitsmanagements, sowie die Planung und das Design eines bedarfsgerechten ISMS lassen sich in der Regel noch problemlos ohne Beteiligung der Geschäftsleitung umsetzen. Spätestens wenn es an die Umsetzung des ISMS geht, kann sich das fehlende Mandat durch die Unternehmensleitung dann aber verheerend auswirken.

Hier kommt es nicht selten vor, dass ISMS-Einführungen mitten im Projekt ins Stocken geraten oder gänzlich scheitern. Die Umsetzung bedingt immer auch organisatorische Änderungen - z.B. Änderungen der Ablauforganisation oder von Berichtswegen - und die aktive Mitarbeit der Fachabteilungen. Für diese Änderungen sind die Zustimmung und die Unterstützung durch die Leitungsebene unumgänglich.

Spätestens jetzt wird auch die aktive Mitarbeit von Fachabteilungen benötigt, die außerhalb des Einflussbereichs des CIOs liegen. Es bedarf des Commitments und der Autorisierung durch den Geschäftsführer, diese Bereiche in das Projekt mit einzubeziehen und die organisatorischen Änderungen umzusetzen. Entsprechende Entscheidungsvorlagen scheitern allerdings noch zu häufig, bevor sie überhaupt den Weg in das Executive Board finden.

Projekte auf eigene Faust sind teure Luftschlösser

Der Grund hierfür ist eine fehlende Integration des Themas IT-Sicherheit in die strategische Unternehmensplanung, sowie die fehlende Sensibilisierung der Geschäftsleitung für das Thema Informationssicherheit. Nicht selten werden Projekte vor der eigentlichen Umsetzung des ISMS gestoppt, weil die Unternehmensleitung aktuell andere Ziele verfolgt und andere Themen priorisiert. Die Folgen sind erheblich: Allein für das Design und die Planung des ISMS verpuffen schnell mehrere hundert Personentage Projektaufwand, ohne eine spürbare und nachhaltige Verbesserung des Sicherheitsniveaus erzielt zu haben.

Die Unterbrechung des Projekts an dieser Stelle bedeutet in der Regel das komplette Aus des Vorhabens. Der Umsetzungsplan hat nur eine begrenzte Halbwertszeit, da dieser auf der Organisation zum Projektzeitpunkt basiert. Verändert sich diese, wird das ursprüngliche Design hinfällig und es bleibt nur der schwache Trost, es wenigstens versucht zu haben.

Die Leitungsebene muss vor Projektstart abgeholt werden

Damit ISMS-Einführungen es bis zur Realisierung schaffen, geht es also darum, die Geschäftsführung schon vor Projektbeginn von der Tragweite und dem Nutzen für das gesamte Unternehmen zu überzeugen und ihn frühzeitig als Verbündeten zu gewinnen. Der Geschäftsleitung sollte noch stärker bewusst gemacht werden, dass das Management der Informationssicherheit über technische Gesichtspunkte zur Minimierung interner und externer Gefahren hinausgeht.

Es geht um die Verknüpfung von IT-Sicherheit mit den Businessprozessen. Ein effektives ISMS stellt die Verbindung zwischen technischen, personellen, organisatorischen, rechtlichen und infrastrukturellen Aspekten zum Schutz des Unternehmens gegenüber externen und internen Bedrohungen her. Es ermöglicht dem Geschäftsführer seinen ohnehin vorhandenen Kontroll- und Aufsichtspflichten besser nachzukommen und persönliche Haftungsrisiken zu minimieren.

6 Ratschläge, um die Leitungsebene zu überzeugen

1. Vorstände frühzeitig einbeziehen

Die gesamte Leitungsebene sollte schon in einer frühen Planungsphase einbezogen sein. IT- und Fachabteilungen stellen dafür gemeinsam den Nutzen eines ISMS für die Geschäftsziele des Unternehmens dar - und zwar in einer für Nicht-IT-Experten verständlichen Weise. Dafür eignen sich beispielsweise "Was wäre wenn"-Szenarien. Theoretische Bedrohungen und technische Sicherheitsmaßnahmen in den Vordergrund zu stellen, überzeugt Geschäftsführer dagegen in der Regel nicht.

2. Wahl eines überschaubaren Anwendungsbereichs

Die Umsetzung eines ISMS für das Gesamtunternehmen in einem einzelnen großen Schritt ist oft ein zu ehrgeiziges Ziel. Viele kleine Schritte und ein langfristiger, kontinuierlicher Verbesserungsprozess ohne Mammut-Investitionen zu Beginn sind Erfolg versprechender. So kann es beispielsweise besser sein, das erforderliche Sicherheitsniveau zunächst nur in ausgewählten Bereichen umzusetzen. Von diesen Keimzellen ausgehend, lässt sich dann die Sicherheit in der Gesamtorganisation kontinuierlich verbessern.

Erste Wahl sind Abteilungen und Geschäftsprozesse mit großem Gefährdungspotenzial. Dabei können große Teile der einmal erarbeiteten Ergebnisse, wie zum Beispiel Sicherheitsberichte/-prozesse oder Sicherheitsrichtlinien, später wiederverwendet werden indem sie auch in anderen Unternehmensbereichen angewendet werden, bzw. indem der Geltungsbereich von Sicherheitskonzepten und -richtlinien ausgeweitet wird.

3. Dokumentieren, kommunizieren, sensibilisieren

Management Boards sollten dazu genutzt werden, die Leitungsebene regelmäßig über IT-bezogene Risiken und deren potenzielle Auswirkungen auf das Gesamtunternehmen in Kenntnis zu setzten, auch wenn noch kein systematisches IT-Risikomanagementsystem etabliert ist oder das IT-Risikomanagement bisher eine untergeordnete Rolle im Unternehmen spielt.

4. Enge Zusammenarbeit mit den Fachabteilungen - Schaffen eines Sicherheitsbewusstseins

Der CIO oder CISO sollte die Fachabteilungen in den Sicherheitsprozess einbinden, da sie die eigentlichen Nutznießer von Informationssicherheit sind. Die Fachabteilungen sollten zur treibenden Kraft bei der Festlegung von Sicherheitszielen sein und dürfen aus dieser Verantwortung auch nicht entlassen werden. Die IT-Experten entwerfen die technische Lösung, um diesen Anforderungen zu entsprechen und setzen diese im Auftrag der Fachabteilungen oder der Leitungsebene um. Im Arbeitsalltag findet man oft die umgekehrte Wahrnehmung, nämlich, dass die Fachabteilung sich durch ständig neue Sicherheitsanforderungen von der IT-Abteilung drangsaliert fühlt.

Einsparpotenziale und Sicherheit

5. Einsparpotenziale durch Standardisierung und durch bedarfsgerechte Sicherheit aufzeigen

Die häufige Praxis nach dem Gießkannenprinzip, die IT-Infrastruktur und -Komponenten einfach maximal abzusichern ist mit sehr hohen Kosten für den Betrieb und die Aufrechterhaltung der Sicherheit verbunden. Hier können Einsparungen erzielt werden, indem bedarfsgerecht, ausgehend von dem Geschäftsprozess und einem potenziellen Schaden, differenzierte Sicherheitsmaßnahmen ausgewählt werden und der maximale Schutz nur an den Stellen eingeführt wird, wo die Kosten für diesen in einem gesunden Verhältnis zu einem potentiellen Verlust steht.

Die Umstellung des Sicherheitsmanagements auf ein standardisiertes ISMS bedeutet nicht zwangsläufig zusätzliche Kosten durch die Einführung neuer Sicherheitsmaßnahmen. Das Sicherheitsmanagement wird lediglich anders und in den meisten Fällen effektiver und effizienter gestaltet.

6. Den Wandel von IT-Sicherheit zur Informationssicherheit deutlich machen

Klassische IT-Sicherheit: Wenn die IT-Systeme und -Infrastruktur des Unternehmens sicher sind, sind auch die Informationen sicher. Die Folge: Aufwändige Investitionen nach dem Gießkannenprinzip und eine fehlende unternehmerische Sicht bei der Umsetzung von Sicherheitsmaßnahmen.

Informationssicherheit: Wenn Unternehmen ihre Geschäftsrisiken aufgrund des Einsatzes von IT und den dort verarbeitenden Informationen kennen, können sie zielgerichtet in die Sicherheitsmaßnahmen investieren, die den größten Nutzen für den Unternehmenserfolg erbringen.

Um das Informationssicherheits-Management nachhaltig und breit auf Geschäftsführungsebene zu verankern, sollte der Auftrag an die Unternehmen auf lange Sicht lauten, das operative IT-Risikomanagement mit dem allgemeinen Unternehmensrisikomanagement zu verschmelzen. IT-Risiken werden damit zu einem integralen Bestandteil der Unternehmensrisiken. Diese Entwicklung ist notwendig, da die Sicherheit der IT und der durch die Technik in digitaler Form transportierten, verarbeiteten und gespeicherten Informationen in einem immer größeren Ausmaß den Unternehmenserfolg mitentscheiden.

5 zentrale Gründe fürs Scheitern einer ISMS-Einführung

Selbst in klassischen Produktionsbetrieben gewinnt die Informationssicherheit einen immer höheren Stellenwert, da immer mehr Produktionsanlagen mit klassischen IT-Systeme und dem Internet direkt oder indirekt verbunden sind.

5 zentrale Gründe für das Scheitern einer ISMS-Einführung
1. Mangelnde Einbeziehung der Fachabteilung bei der Etablierung eines ISMS Informationssicherheit kann nur in enger Zusammenarbeit zwischen der IT-Abteilung und den Fachabteilungen sichergestellt werden, da der Wert von Informationen und die Wichtigkeit IT-gestützter Geschäftsprozesse aus einer reinen IT-Sicht nicht eingeschätzt werden kann. Die Fachabteilungen müssen sich bei der Einführung eines ISMS aktiv beteiligen. 2. Zu ehrgeizige Ziele bei der Einführung Zu großer Anwendungsbereich, zu viele Änderungen auf einen Schlag -> Hoher Investitionsaufwand -> Begrenzung des Anwendungsbereichs bei der Einführung (Keimzelle) 3. Mangelndes Risikobewusstsein und Intransparenz Häufig existiert nur eine "gefühlte Sicherheit“. Kennzahlen und Sicherheitsberichte, sowie ein konsequentes Risikomanagement inklusive der Verknüpfung von IT-Risiken mit Business Impact Analysen fehlen dagegen. 4. IT-Risiken sind nicht oder in nicht ausreichendem Maß in das Risikomanagementsystem des Unternehmens eingebunden Der Geschäftsleitung fehlt oft das Verständnis oder die Transparenz für Geschäftsrisiken, die durch den Einsatz von IT bestehen, weil das IT-Risikomanagement kein fester Bestandteil des Unternehmensrisikomanagements ist oder die IT-Risiken für Nicht-IT-Experten nicht nachvollziehbar kommuniziert werden 5. Die oberste Managementebene sieht keine Notwendigkeit für eine ISMS-Einführung Die Planung, Umsetzung und Aufrechterhaltung der IT-Sicherheit wird als Aufgabe und Verantwortlichkeit der IT-Abteilung angesehen. Die Einführung eines ISMS (Umstellung von IT- auf Informationssicherheit) wird in den meisten Fällen von der IT-Abteilung (CIO) initiiert. Die Notwendigkeit eines umfassenden systematischen Ansatzes zur Sicherstellung der Informationssicherheit wird vom Geschäftsführer nicht gesehen, bzw. der Nutzen für diese Investition ist nicht nachvollziehbar.

5 zentrale Gründe für das Scheitern einer ISMS-Einführung

1. Mangelnde Einbeziehung der Fachabteilung bei der Etablierung eines ISMS

Informationssicherheit kann nur in enger Zusammenarbeit zwischen der IT-Abteilung und den Fachabteilungen sichergestellt werden, da der Wert von Informationen und die Wichtigkeit IT-gestützter Geschäftsprozesse aus einer reinen IT-Sicht nicht eingeschätzt werden kann. Die Fachabteilungen müssen sich bei der Einführung eines ISMS aktiv beteiligen.

2. Zu ehrgeizige Ziele bei der Einführung

Zu großer Anwendungsbereich, zu viele Änderungen auf einen Schlag -> Hoher Investitionsaufwand -> Begrenzung des Anwendungsbereichs bei der Einführung (Keimzelle)

3. Mangelndes Risikobewusstsein und Intransparenz

Häufig existiert nur eine "gefühlte Sicherheit“. Kennzahlen und Sicherheitsberichte, sowie ein konsequentes Risikomanagement inklusive der Verknüpfung von IT-Risiken mit Business Impact Analysen fehlen dagegen.

4. IT-Risiken sind nicht oder in nicht ausreichendem Maß in das Risikomanagementsystem des Unternehmens eingebunden

Der Geschäftsleitung fehlt oft das Verständnis oder die Transparenz für Geschäftsrisiken, die durch den Einsatz von IT bestehen, weil das IT-Risikomanagement kein fester Bestandteil des Unternehmensrisikomanagements ist oder die IT-Risiken für Nicht-IT-Experten nicht nachvollziehbar kommuniziert werden

5. Die oberste Managementebene sieht keine Notwendigkeit für eine ISMS-Einführung

Die Planung, Umsetzung und Aufrechterhaltung der IT-Sicherheit wird als Aufgabe und Verantwortlichkeit der IT-Abteilung angesehen. Die Einführung eines ISMS (Umstellung von IT- auf Informationssicherheit) wird in den meisten Fällen von der IT-Abteilung (CIO) initiiert. Die Notwendigkeit eines umfassenden systematischen Ansatzes zur Sicherstellung der Informationssicherheit wird vom Geschäftsführer nicht gesehen, bzw. der Nutzen für diese Investition ist nicht nachvollziehbar.

5 Gründe, warum ein ISMS heute wichtig ist

Die Verantwortung für den Geschäftserfolg und die Unternehmenswerte, zu denen auch die Informationswerte gehören, liegt bei der Unternehmensleitung. Sie und die Fachbereiche spielen die zentrale Rolle bei der Festlegung der Sicherheitsziele und -strategie. Die Leitungsebene muss dem CIO die Mittel und seine Unterstützung zur Umsetzung der von ihr gesetzten Sicherheitsziele zusichern.

5 Gründe, warum ein funktionierendes ISMS heute wichtiger ist als vor fünf Jahren:
1. Gestiegene Abhängigkeit des Geschäftserfolg von sicherem IT-Betrieb 2. Wertverfall von IT-Anlagen (Hardware) bei gesteigerter Bedrohungslage für Informationen, beispielsweise durch Sabotage und Wirtschaftsspionage 3. Zunehmende Auslagerung von Services und Informationen über Unternehmen- und Ländergrenzen hinweg, beispielsweise Cloud Computing, Outsourcing, Nearshoring, Offshoring, Outtasking 4. Gesteigerte Anforderungen zum nachvollziehbaren Nachweis eines adäquaten Sicherheitsmanagements durch Gesetze, Vorschriften (Compliance) und Kundenanforderungen. Dazu zählt ebenfalls ein Nachweis von Sicherheitszertifikaten als Ausschreibungskriterium. 5. Gesteigerte Bedrohungslage. Das zeigen medienwirksame Beispiele wie Wikileaks, Steuersünder CDs, spektakuläre Datendiebstähle, Anonymous, Flame, Duqu, Stuxnet, Vatileaks.

5 Gründe, warum ein funktionierendes ISMS heute wichtiger ist als vor fünf Jahren:

1. Gestiegene Abhängigkeit des Geschäftserfolg von sicherem IT-Betrieb

2. Wertverfall von IT-Anlagen (Hardware) bei gesteigerter Bedrohungslage für Informationen, beispielsweise durch Sabotage und Wirtschaftsspionage

3. Zunehmende Auslagerung von Services und Informationen über Unternehmen- und Ländergrenzen hinweg, beispielsweise Cloud Computing, Outsourcing, Nearshoring, Offshoring, Outtasking

4. Gesteigerte Anforderungen zum nachvollziehbaren Nachweis eines adäquaten Sicherheitsmanagements durch Gesetze, Vorschriften (Compliance) und Kundenanforderungen. Dazu zählt ebenfalls ein Nachweis von Sicherheitszertifikaten als Ausschreibungskriterium.

5. Gesteigerte Bedrohungslage. Das zeigen medienwirksame Beispiele wie Wikileaks, Steuersünder CDs, spektakuläre Datendiebstähle, Anonymous, Flame, Duqu, Stuxnet, Vatileaks.

Marco Filtzinger ist Berater bei Steria Mummert Consulting.