Informationssicherheit - mehr als Datensicherheit

Informationssicherheit - mehr als Datensicherheit

In vielen Köpfen ist der Terminus ‚Informationssicherheit’ als Synonym für Datensicherheit verankert. Doch das ist nur zum Teil richtig. In der Risikohierarchie eines Unternehmens steht zuoberst das Gesamtunternehmen als allumfassender Begriff mit dem Ziel, das Unternehmen und seine Stakeholder vor jeglichem Schaden zu bewahren. In der nächsten Ebene finden wir branchenspezifische Themen, strukturspezifische Themen und allgemeine Themen, wie den Finanzbereich aber u. a. auch die Informationssicherheit. Erst eine Stufe darunter finden wir nebst anderen auch Datensicherheit als ein Element der Informationssicherheit.

Informationssicherheit bedeutet also viel mehr als „nur“ die Sicherung von unternehmensrelevanten Daten (was immer man darunter verstehen will). Informationssicherheit ist der umfassende Schutz von Informationen, egal ob diese in elektronischer oder nichtelektronischer Form vorhanden sind. Der permanente Schutz von Vertraulichkeit, Verfügbarkeit und Integrität ALLER unternehmensrelevanten Informationen ist das Ziel. Methode ist der permanente und revisionssichere Betrieb eines Informationssicherheits-Management-Systems (ISMS) im Rahmen eines PDCA (Plan-Do-Check-Act)-Zyklus. Das Rahmenwerk der ISO 17799-Norm und stellt die dafür erforderlichen elf Themenbereiche zur Verfügung, die (zertifizierbare) ISO-27001-Norm fordert dazu den institutionalisierten Rahmen.

Wer glaubt, Informationssicherheit ließe sich ganz einfach so „nebenbei“ erzeugen irrt genauso, wie der Unternehmensverantwortliche, der sich auf die pauschale Zusage seines IT-Leiters verlässt, der ihm jederzeit bestätigt, dass ohnehin „alles absolut sicher“ sei.

Mag sein, dass der IT-Leiter über ein durch Firewalls ausreichend geschütztes System verfügt, aktuellste Virenprüfungen durchgeführt werden und auch abgesichert ist, dass auf die Personaldaten nur die dafür Verantwortlichen auch tatsächlich Zugriff haben. Sogar eine Außer-Haus-Sicherung der täglichen Sicherungsbänder könnte organisiert sein. Indizien für eine umfassende Informationssicherheit sind das leider nicht.

Informationssicherheit beginnt im Kopf. Alle Know-how-Träger des Unternehmens nehmen tagtäglich ‚tonnenweise’ sicherheitsrelevante Daten mit nach Hause und zwar in ihrem Kopf. Besteht ausreichend Awareness, was den Umgang mit dieser Information bedeutet? Ein unbedachtes Telefonat in Anwesenheit Dritter, ein unabsichtlich geäußerter Hinweis auf Betriebsgeheimnisse, Kundendaten, Einkaufskonditionen usw. kann großen Schaden für das Unternehmen begründen. Ein Schaden, dessen Ursachen vielleicht nie entdeckt werden; ein Schaden, der als schlimmer Zufall in die Unternehmensgeschichte eingeht oder sie sogar beendet. Dagegen nützt keine noch so perfekt konfigurierte Firewall etwas.

Naturgemäß liegt ein großer Teil der Risiken im Zusammenhang mit Informationssicherheit im Bereich der IT. Doch auch hier ist die Betrachtungsweise viel globaler. Wie stark ist der Impact eines großen Ausfalls auf die Business-Continuity? Genügt es wirklich, die extern sicher verwahrten Daten im Falle eines Super-GAU zur Verfügung zu haben? Können die Bänder gelesen werden, wenn das Betriebsgebäude auf die Grundmauern niedergebrannt ist? Haben die Mitarbeiter Ausweicharbeitsplätze mit entsprechender Infrastruktur? Sind Ersatzgeräte in vernünftiger Zeit lieferbar? Wie lange läuft die Produktion weiter, wenn kein „Informationsnachschub“ aus den Vorsystemen erfolgt? Fragen, die Sie sich vielleicht noch nie gestellt haben, sind wichtiger Teil eines Beratungsprozesses zur Informationssicherheit. Verträge, Service-Level-Agreements (SLA), Wiederbeschaffungszeiten usw. erscheinen plötzlich in einem ganz anderen Licht.

Der erste Schritt ist deshalb eine ausführliche Risikoanalyse und das Wissen, dass Informationssicherheit ausschließlich durch risikominimierende Maßnahmen erreichbar ist. Eine Abschätzung ob eine Bedrohung (mit Eintrittswahrscheinlichkeit) und ein Schadensausmaß vorliegen, steht am Beginn, Maßnahmenvorschläge und eine Risikopriorisierung am Ende des ersten Schritts, dem weitere folgen müssen: von Security-Policies bis zur personenbezogener Sicherheit, von Kommunikation, Dokumentation bis zur Verwaltung der Infrastruktur gilt es noch etliche Themen zu behandeln. Vor allem müssen aber durch laufende Awarenessbildung und Personalentwicklung auch die MitarbeiterInnen voll eingebunden werden. Denn die allergrößte Gefahr für die Informationssicherheit geht nicht vom anonymen Hacker oder von unzureichend gewarteter Hardware aus, sondern vom schlecht geschulten, fehleranfälligen oder demotivierten Mitarbeiter.

Die Beratungspraxis zeigt, dass Informationssicherheitsmängel wie Eisberge sind. Nur ein Bruchteil ist überhaupt im Unternehmen bekannt. Ebenso wie man einst begann, das bis dahin scheinbar völlig unberechenbare Wetter prognostizierbar zu machen, können mit den geeigneten Methoden bislang unbekannte Risiken aufgedeckt und vielleicht minimiert, versichert oder noch besser beseitigt werden. Der Weg zur Informationssicherheit ist lange aber erkenntnisreich und man wird nie alle Risiken wirklich erkennen, geschweige denn beseitigen können. Die Belohnung ist ein ungleich höheres Maß an Unabhängigkeit von Einflüssen und eine wesentliche Steigerung der Business-Continuity.

Michael Gredler


Michael Gredler ist Geschäftsführer der CSD Unternehmensberatung GmbH. in Rum bei Innsbruck, seit 1989 Unternehmensberater spezialisiert auf Informationssicherheit und geprüfter Informationssicherheits-Manager nach ISO 17799 und zertifizierter Auditor für ISO-27001.