Willkommen auf meiner Homepage

Die Wahrscheinlichkeit, dass Sie völlig zufällig auf meiner Seite gelandet sind, ist nicht hoch. Wahrscheinlich interessieren Sie sich für die Themen IT-Sicherheit, Datenschutz oder IT-Compliance. Dann sind sie hier richtig!

Ich biete meinen Kunden systematische und messbare Informationssicherheit, um die Chancen und Vorteile der Digitalisierung für das eigene Unternehmen zu erschließen.

Die schlechte Nachricht: Informationssicherheit ist kein (finaler) Zustand, sondern ein Prozess.

Die gute Nachricht: Mit dem entsprechenden Know-how lassen sich Prozesse sehr gut automatisieren. Diese Aussage gilt auch für die Prozesse in der Informationssicherheit.

Meine beruflichen Wurzeln habe ich in der Softwareentwicklung und in der Systemintegration. Seit vielen Jahren bin ich auf die Bereiche CyberSecurity (früher nannte man das noch IT-Sicherheit), Datenschutz, IT-Compliance und DevSecOps spezialisiert.

Nicht erst durch die Digitale Transformation (leider kenne keinen passenderen Begriff) sind die IT-gestützten Dienste allgegenwärtig und in einer komplexen Welt sind einfache Antworten sehr selten geworden. Schnell wird deutlich, dass Sicherheitsprodukte allein nur selten die Lösung sein können. Durch Virtualisierung und Cloud-Dienste liegt der Fokus immer häufiger auf Daten und Prozessen.

In einem Unternehmen werden an vielen unterschiedlichen Stellen Entscheidungen getroffen, die den Umgang mit Daten beeinflussen. Betrachtet man die Prozesse wird schnell deutlich: Die IT-Abteilung betreibt die Datenbank, aber die Daten gehören in der Regel den Fachabteilungen. In Bezug auf die Informationssicherheit wäre es sehr hilfreich, wenn beide (bzw. alle) Seiten die gleichen Ziele verfolgen.

Was ist Sicherheit?

Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird. Mit dieser Definition ist Sicherheit sowohl auf ein einzelnes Individuum als auch auf andere Lebewesen, auf unbelebte reale Objekte oder Systeme wie auch auf abstrakte Gegenstände bezogen (Wikipedia).

Alles klar?

Ich versuche ein eigenes Beispiel: Sicherheit ist vergleichbar mit den Bremsen an einem Auto. Bremsen benötigt man nicht für ein stehendes Auto, sondern Bremsen ermöglichen die Kontrolle bei schneller Fahrt. Trotzdem würden Sie sinnvollerweise nicht auf Sicherheitsgurte oder Airbags verzichten.

Informationssicherheit adressiert das subjektive Maß an Sicherheit für Unternehmen in einer vernetzten Welt.

Wieviel Informationssicherheit braucht ihr Unternehmen?

Es gibt zum Glück nicht nur ständig wachsende Bedrohungen, sondern auch eine Menge sehr guter Quellen und Standards. Es existiert wirklich kein Mangel an Informationen, wenn sich das Management in einem Unternehmen entschieden hat, das Thema Informationssicherheit systematisch einzuführen. Aber welcher Standard ist der richtige?

Standards zur Informationssicherheit

Es mangelt nicht an Modellen, Informationen und Standards zum Thema CyberSecurity. Ich habe Ihnen an dieser Stelle ein paar der bekannteren Beispiele mit entsprechenden Links auf die Originalquellen zusammengestellt:

  • VdS CyberSecurity (©VdS), ein CyberSecurity Ansatz für kleinere und mittlere Unternehmen. Hier wird in Grundzügen auch das Thema Datenschutz einbezogen.
  • ISO/IEC 27001 (©ISO), international anerkannter Standard für Informationssicherheit. Den Kern bilden ca. 120 Controls (Anforderungen). Jedes Unternehmen definiert innerhalb eines von der ISO vorgegebenen Rahmens seinen individuellen Maßstab an die Informationssicherheit. Die spätere Auditierung und die Zertifizierung erfolgen gegen diesen Maßstab. Wesentlicher Teil ist der sogenannte PDCA-Zyklus. Dieser basiert auf der Grundannahme, dass kontinuierliche Verbesserungen, Weiterentwicklungen und Anpassungen an die geänderten Rahmenbedingungen eine existentielle Anforderung darstellen.
  • ISIS12, der Bayerischer IT-Sicherheitscluster e.V., der bayerische Weg, ein ISMS aufzusetzen. Von der Methode eine Light-Version des IT-Grundschtz MOdells des BSI. ISIS12 ist inzwischen auch außerhalb von Bayern angekommen.
  • BSI IT-Grundschutz (©BSI), wird vom BSI (Bundesamtes für Sicherheit in der Informationstechnik) herausgegeben. Geht auf viele Detailbereiche ein. Unterstützt auch die ISO27001 Zertifizierung.
  • CIS Benchmarks™, eine sehr umfassende Sammlung an sehr konkreten Konfigurationsmerkmalen für IT-Komponenten. Dazu zählen u.a. Betriebssysteme, Datenbanken und Web-Server. Viele der Modelle gehen nicht in die Details der Produkte und Hersteller ein, weil sich hier erfahrungsgemäß sehr viel ändert und der Pflegeaufwand erheblich ist. Die CIS Benchmarks™ stellen sich dieser Herausforderung. Diese Methoden passen sehr gut zu Anbietern umfangreicher Cloud-Dienstleistungen. Eine manuelle Umsezung ist aufgrund der vielen Detaileinstellung jedoch fast ausgeschlossen. DevOps und DevSecOps lassen grüßen.
  • CIS Controls™, eine Methode, um das Thema Informationssicherheit in Unternehmen einzuführen. Im Kern geht es um 20 Anforderungen, die sich in 3 Reifegrade unterteilen.
  • ISACA Germany Chapter e.V., beschreibt u.a. eine Best Practice für eine ISO27001 Zertifizierung.
  • NIST CyberSecurity Framework, ein Standard, der vor allem von international tätigen Unternehmen herangezogen wird. Ähnlich wie im ISO Standard, gibt es eine Unmenge von ergänzenden Dokumenten.

Die Liste zeigt nur einen Ausschnitt der heute etablierten Standards. Trotzdem gibt es keine 100%ige Sicherheit und die zur Verfügung stehenden Mittel sind immer begrenzt. Zusammengerechnet sind es zig-tausend Seite an Know-how, sowie an sehr aktuellen und relevanten Best Practice Vorschlägen. Und das Beste daran: Diese Standards und Methoden sind öffentlich, häufig kostenfrei und werden kontinuierlich weiterentwickelt.

Für die Umsetzung der in diesen Standards beschriebenen Anforderungen haben sie dann eine große Auswahl an Produkten und Dienstleistern. Viele Angebote haben etwas gemeinsam: Sie versprechen, dass nach der Einführung von Produkt XYZ endlich wieder alles gut wird.

Die Kunst ist es, die zu Ihrer Situation passenden Informationen zu selektieren, die nicht zwingend erforderlichen Teile weg zu lassen und alle betroffenen Mitarbeiter im Unternehmen mitzunehmen.

IT-Compliance Anforderungen

Zu den oben genannten Standards gibt es darüber hinaus eine Vielzahl von IT-Compliance Anforderungen, die die Priorisierung und die Messbarkeit von IT-Sicherheit maßgeblich beeinflussen. Zum Teil handelt es sich dabei um gesetzliche Vorgaben mit entsprechender Haftung für das Top Management in den Unternehmen.

Es handelt sich bei der Aufzählung nur um Beispiele, d.h. die Liste lässt sich deutlich erweitern.

Der Weg zum Ziel

Bei genauerer Betrachtung der oben genannten Methoden und Standards wird man feststellen, dass sich die Anforderungen zumindest in Teilen gleichen oder überschneiden.

Abbildung: Bausteine der Informationssicherheit

Als Beispiel für "Nicht-Elektronische Informationsverarbeitung" sei hier der allseits bekannt Aktenordner mit den Verträgen genannt. Ebenso werden Sie ihre Räumlichkeiten verschließen, um die in den Räumlichkeiten aufbewahrten Werte zu sichern.

Die Grafik macht deutlich, dass das Thema Informationssicherheit nicht allein eine Aufgabe für die IT sein kann.

Wie unterscheidet sich CyberSecurity von IT-Sicherheit?

Es gibt leider keine verbindliche Definition für CyberSecurity (vielleicht kennen Sie dieses Problem vom Begriff "Digitale Transformation"). Aus diesem Grund möchte ich eine Definition des Begriffs anbieten:

CyberSecurity adressiert alle Aspekte der Sicherheit in der Informations- und Kommunikationstechnik. Dabei existieren Informationen in einer vernetzten Welt nicht nur auf den eigenen Rechnern, sondern auch auf Handys, in der Cloud und in vielen Geschäftsprozesse mit Kunden und Partnern.

ISMS (Information Security Management System)

Ein ISMS (Information Security Management System) ist hersteller- und produktneutral und unterstützt die systematische Umsetzung aller Anforderungen aus IT-Sicherheit und IT-Compliance. Vereinfacht gesagt: Ein ISMS gibt den Mitarbeitern in Ihrem Unternehmen einen verständlichen Maßstab, der hilft, die Informationssicherheitsziele der Unternehmensleitung Schritt für Schritt umzusetzen.

Abbildung: Ein ISMS hilft zu entscheiden

Ein Information Security Management System ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern (Wikipedia).

Ein ISMS hilft den Verantwortlichen in einem Unternehmen einen verständlichen Maßstab zu finden und einzuhalten, der auf der einen Seite nicht unterschritten werden darf, weil ein erhöhtes Haftungsrisiko aufgrund grober Fahrlässigkeit besteht und der sinnvollerweise nicht überschritten wird, weil die Kosten der Absicherung höher sind, als ein möglicher wirtschaftlicher Schaden.

Die Etablierung eines Managementsystems zur Informationssicherheit hilft

  • ein Problembewusstsein im Umgang mit Informationen und Informationstechnik einzuführen
  • die sicherheitsrelevanten Prozesse und Ressourcen in der Organisation zu identifizieren
  • die Zusammenarbeit der Führungskräfte im Unternehmen in Sicherheitsfragen zu fördern
  • die Richtlinien und Zielen für die Sicherheit aufzustellen, auch im IoT- (Internet of Things) und im Cloud-Umfeld
  • die IT-Compliance Anforderungen an ein Unternehmen einzuhalten
  • bei der Auswahl und der Einführung von relevanten Produkten zu unterstützen
  • die gesetzlichen Anforderungen des Datenschutzes sicher zu stellen, insbesondere die technisch organisatorischen Maßnahmen
  • dem Unternehmen sich mit Risikobetrachtungen und abgeleiteten Maßnahmen an geänderte Rahmenbedingungen anzupassen
  • den Stand der Umsetzung von Sicherheitsreglungen anhand von Audits zu erkennen und zu entwickeln
  • sich auf Situationen so vorzubereiten, dass sich die Konsequenzen einer Nichtverfügbarkeit von IT-Diensten in engen Grenzen halten

Hilft es, wenn Sie rechts abfahren?

 

Ja, natürlich. Dabei ist es hilfreich, wenn

  • Sie ein GPS Signal haben und ihre genaue Position kennen
  • Sie eine Adresse eingegeben haben und klar ist, wo ihr genaues Ziel ist
  • das Navi auf einem aktuellen und sinnvollen Streckennetz basiert

Ohne diese Informationen wäre eine Standortbestimmung vielleicht eine gute Idee.

Auch die Investition in Informationssicherheit muss sich rechnen. Wenn der maximale Schaden geringer ist, als die getätigte Investition, ist dies aus wirtschaftlichem Blickwinkel fraglich.

Grundlage ist die Erkenntnis, dass der eine, alles entscheidende großen Schritt weniger wahrscheinlich zum Ziel führt, als viele kleine aufeinander aufbauende Schritte. Der Grund ist ein zutiefst menschlicher: Die Mitarbeiter und Kollegen müssen dem Weg folgen und jede Veränderung braucht Zeit, Geduld und Durchhaltevermögen.

Üblich sind folgende Schritte:

  1. Ein Bewusstsein vom Top-Management, dass etwas getan werden muss
  2. Die Erkenntnis, dass Informationssicherheit das Unternehmen und nicht nur das IT-Team betrifft
  3. Ein Bekenntnis vom Top-Management zur Informationssicherheit und eine Entscheidung, tatsächlich etwas zu tun
  4. Ein Start an dem Ausgangspunkt, an dem sie heute tatsächlich stehen
  5. Definition von Maßstäben, die den Inhabern von Rollen (z.B. Projektleitern, Betriebsleitern, Fachbereichsleitern oder Administratoren) einfach zu verstehende Anforderungen an die Hand geben, um das vereinbarte Sicherheitsniveau zu erreichen, zu erhalten und weiterzuentwickeln
  6. Viele kleine Schritte, die aufeinander aufbauen
  7. Die Akzeptanz, dass sich die Welt verändert (PDCA, Plan – Do – Check – Act)
  8. Kondition und eine Prise Frustrationstoleranz, da es möglicherweise nicht immer im ersten Versuch zum gewünschten Ergebnis kommen wird

Wieviel Informationssicherheit ist angemessen?

Auf diese Frage kann nur der Kunde beantworten. Wer sich diese Frage noch nicht beantwortet hat, sollte sinnvollerweise eher unten beginnen und in kleinen aber kontinuierlichen Schritten bewegen. Damit steigt die Wahrscheinlichkeit, dass Informationssicherheit in der gesamten Organisation gelebt wird und sich als kontinuierliche Anforderung etabliert.

Hier ist ein guter Startpunkt.