In der heutigen Zeit genügen ein Datenträger und ein bestechlicher Mitarbeiter, um immense Datenmengen unbemerkt aus dem Unternehmen zu schleusen. Hinzu kommen Hacker, Wirtschaftsspione und konkurrierende Unternehmen, die Datendiebstähle durchführen – alles kinderleicht. Die jüngste Schlagzeile in den Medien lautete: 18 Millionen gestohlene E-Mail-Adressen samt Passwörter. Ein neuer Höhepunkt im Cyberwar und dem Kampf um das wichtigste Gut in unserer globalen Wirtschaftswelt: Informationen. Der Datendiebstahl 3.0 lässt grüßen – und das mit gravierenden Folgen.
Nicht ohne Grund schlagen Experten Alarm. Einer aktuellen Studie der Wirtschaftsprüfungs- und Bera-tungsgesellschaft PricewaterhouseCoopers (PwC) zufolge sind deutsche Mittelständler nur unzureichend vorbereitet, wenn es um Hackerangriffe, Datendiebstahl und andere Formen der Cyber-Kriminalität geht. Die Experten von PwC resümieren: Sicherheitsvorkehrungen sind häufig lückenhaft oder überhaupt nicht implementiert – rund jedes fünfte von 405 befragten Unternehmen hat keine Prozesse zur Informationssicherheit definiert oder kann hierzu keine näheren Angaben machen. Hinzu kommt, dass sich viele Unternehmen schwer tun, geeignete Sicherheitsmaßnahmen für mehr Informationssicherheit aufzubauen. In eine ähnliche Richtung denkt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Deren Experten sehen unterschiedliche Umstände in Institutionen, warum es keine Akzeptanz für mehr Informationssicherheit gebe. Als Gründe führt das BSI neben der mangelnden Unternehmenskultur vor allem Vorgesetzte an, die vielfach nicht als gutes Beispiel bei Informationssicherheitsfragen vorangingen.
Organisationen aller Branchen müssen sich auf einen durchgängigen Schutz der eigenen Informationen als außerordentlich wichtige Werte einstellen. Mehr noch ist eine organisationsweite Sicherheitsstrategie Pflicht, gerade weil Informationssicherheit den Schutz von sensiblen und unternehmenskritischen Informationen zum Ziel hat.
Grobe Leitplanken bieten Standards
Grobe Leitplanken für die praktische Umsetzung erhalten Unternehmen mithilfe von Standardisierungen, wie dem Internationalen Standard ISO/IEC 27001 zur Umsetzung eines Informationssicherheitsmanagement-Systems (ISMS). Ein ISMS ist eine Aufstellung von Verfahren und Regeln, mit deren Hilfe die Informationssicherheit innerhalb eines Unternehmens dauerhaft verbessert werden soll. Der Definition des Branchenverbandes Bitkom folgend, erlaubt ein ISMS "ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren". Ende 2013 wurde die zweite Ausgabe des ISO-Standards veröffentlicht.
Neu ist der konkrete Auftrag an Entscheider, die im Rahmen der ISO-Ausgestaltung beschriebenen Aufgaben wahrzunehmen. Die Grundlage für die Ausgestaltung von ISO 27001 bietet der so genannte Annex SL, der für alle Managementsysteme bestimmend ist. Mit ihm wird das Ziel verfolgt, die diversen Managementsysteme einfacher in Organisationen einzubinden (Stichwort: Integrierte Managementsyste-me). Als Teil eines übergreifenden Managementsystems ist das aktive und vorausschauende Lenken der Informationssicherheit als Prozess zu verstehen.
Fallstricke vermeiden
Um Fallstricke beim Aufbau eines ISMS im Vorfeld zu umgehen, ist eine vorausschauende und gewissenhafte Berücksichtigung aller beteiligten Organisationsprozesse obligatorisch. Und das inklusive ausreichend flexibler Prozessplanungen, um zukünftige Anwendungen besser einbinden zu können. Zumal ein modernes ISMS den Bereich eines Information-Risk-Management beinhalten sollte. Im Idealfall lassen sich identifizierte Risiken aus einem ISMS in ein unternehmensweites Enterprise-Risk-Management (ERM) integrieren. Der Vorteil dieses Vorgehens ist, dass der einmalige Input von Informationen den Nutzen für die Gesamtorganisation steigert. Informationen können in verschiedenen Zusammenhängen weiterverarbeitet und als eine Art Wissenspool in allen Fachbereichen verwertet werden. Dieser komplexe Gesamtprozess der Einführung eines ISMS sowie der zentralen Steuerung bedingt einen Chief-Information-Security-Officer (CISO) als Verantwortlichen im gesamten Infor-mationssicherheitsprozess, der im Idealfall direkt an die Geschäftsführung berichtet, die schlussendlich für das Thema verantwortlich ist.
Für das Top-Management bedeutet das Einführen und der Regelbetrieb eines ISMS, dieses mit den strategischen Zielen des Unternehmens zu verschmelzen sowie die Wirksamkeit des Gesamtsystems si-cherzustellen. Voraussetzung dafür ist die Bereitschaft der Geschäftsleitung, ein integriertes Managementsystem in der Gesamtorganisation zu etablieren und aktiv zu steuern. Oder anders formuliert: Ein ISMS ist zunächst Chefsache.
Chancen erkennen
Unter dem Punkt "Planen" ist die Risiken- und Chancenerkennung im neuen ISO-Standard 27001 verankert. Im Klartext heißt das: Unternehmen müssen Risiken und vor allem Chancen in Organisationen besser abbilden – mithilfe eines in die Zukunft gerichteten Blicks. In Unternehmen jeder Größe ist in diesem Kontext eine vorausschauende Informationssicherheitsplanung Pflicht. Sie ist mittlerweile ein integraler Bestandteil von Unternehmensrisiken. Organisationen sollten ihre kritischen Informationen kennen, herausfiltern und schützen, um sich im harten globalen Wettbewerb zu behaupten.
Trotz aller technischen Vorgaben, Prozessverbesserungen und Sicherheitsmaßnahmen mithilfe eines ISMS, ist die Grundvoraussetzung eine entsprechende Unternehmenskultur. Im Grunde geht es um das Etablieren einer Sicherheitskultur im Unternehmen, die alle Mitarbeiter verinnerlichen und leben. Und solch eine Kultur des Sicherheitsgedankens muss wachsen. In diesem Kontext sollten Unternehmen besonderen Fokus auf die Mitarbeiter legen und diese als Teil der Unternehmenskultur verstehen. Nicht ohne Grund sehen Experten unzufriedene Mitarbeiter als eine wesentliche Triebfeder beim Informationsdiebstahl in den eigenen Reihen. Es gilt eine hohe Loyalität der Mitarbeiter zu erzeugen und ihnen den Zweck neuer Sicherheitsvorkehrungen frühzeitig mitzuteilen. Mehr noch sollten Organisationen die eigenen Mitarbeiter in den Findungsprozess einbinden. Es zählen Kollegen, denen man das ehrliche Gefühl gibt, dass sie ein vertrauensvoller und wichtiger Teil des Unternehmens sind. Ist dies der Fall, wird den Mitarbeitern ein Gefühl von Achtung reflektiert.
Und die Konsequenz? Sie sind für Neues offen und haben eine stärkere emotionale Bindung an das Unternehmen. Im Ergebnis verbessert sich die Unternehmens- und Risikokultur. Hilfreich sind an dieser Stelle Awareness-Programme, die Mitarbeiter stärker für die Gefahren im Umgang mit sensiblen Unternehmensinformationen als dem wichtigsten Gut in unserer globalen Wirtschaftswelt sensibilisieren.
Autor:
Daniel Holzinger, Chief Operating Officer, avedos business solutions gmbh
[Der Artikel wurde erstmals auf der Website funkschau.de veröffentlicht]