Lang, länger, am längsten. Die Steigerung zum Superlativ betrifft den Begriff des Informationssicherheitsmanagementsystems (ISMS, auch: Information Security Management System) nicht nur in puncto Wortlänge. Auch die Einführung eines ISMS kann organisationsintern langwierig sein, sprich lang und länger werden. Die Gründe sind vielfältig und reichen von knappen Budgets bis zu einer mangelnden Bereitschaft der Mitarbeiter und Führungsebene, sich auf das Neue einzulassen. Und dieses neue ISMS setzt einen Kulturwandel in der eigenen Organisation voraus. Beherzigen Organisationen und ihre Mitarbeiter dies, können die Einführung und der Betrieb eines ISMS zum Erfolg werden. Verweigern sich Organisationen, geht der Schuss häufig nach hinten los. Sprich: Das ISMS-Projekt ist dann meist zum Scheitern verurteilt. Doch was braucht es auf dem nicht immer geradlinigen Weg hin zu einem professionellen ISMS? Die RiskNET-Redaktion fragt nach bei Stephanie Lepski, Geschäftsführerin der RUCON Service GmbH, einem Tochterunternehmen der RÜHLCONSULTING Gruppe.
Es vergeht kaum ein Tag ohne Pleiten und Pannen in der IT-Sicherheit von Unternehmen. Sind wir nicht längst in einer Phase des reinen Reagierens auf Vorfälle in Unternehmen?
Stephanie Lepski: Darauf möchte ich mit einem Zitat von Kevin Mandian, CEO von FireEye’s Madiant antworten: "There are two types of companies: Those that have been breached, and those that don’t know yet that they’ve been breached." Es gibt mit Sicherheit eine große Anzahl an Unternehmen, die sich für nicht betroffen halten oder sich für zu unbedeutend halten, um zum Ziel von Attacken zu werden. Ja, vermutlich sind wir noch sehr stark reaktiv unterwegs.
Daran schließt sich die Frage an. Was müssen Unternehmen organisationsintern tun, um zum aktiven Tun beim Thema Informationssicherheit zu gelangen?
Stephanie Lepski: Dazu müssen Unternehmen in der Lage sein, die Bedrohungslage für Ihr Unternehmen laufend im Blick zu behalten und zu bewerten, wann Abwarten und wann Handeln angesagt ist. Insbesondere sollten Unternehmen erkennen, wenn in Ihren Netzwerken Anomalien auftauchen, Datenverkehre, die so vorher nicht beobachtet wurden. Das setzt aber ein sehr gutes Know-how "des Normalzustandes" im Unternehmen voraus.
Woran liegt es, dass Unternehmen nichts aus den teuren und reputationsschädigenden Fehlern lernen?
Stephanie Lepski: In diesem Zusammenhang sehe ich vor allem drei Aspekte. Erstens herrscht vielfach die Meinung, dass Informationssicherheitspannen nur bei anderen passieren können. Ein Trugschluss, wie die täglichen Vorfälle zeigen. Zum zweiten mangelt es in Unternehmen häufig an Methoden und Ansätzen, wie beispielsweise Analyseansätze, um aus Fehlern zu lernen. In diesem Zuge wird vielfach nur auf die Fehler einzelner Mitarbeiter abgezielt und weniger der Gesamtprozess gesehen. Und drittens zeigt sich in der täglichen Praxis immer wieder, dass es an Risikobewusstsein fehlt. Maßnahmen zur Informationssicherheit kosten Unternehmen erst einmal Geld.
Der Return-on-Security-Invest wird häufig von Unternehmen nicht gesehen, nicht bewertet oder kann nicht bewertet werden. Das läuft dann unter dem Aspekt und der großen Fragestellung: Was haben wir durch Maßnahmen an Schäden vermieden?
Wie lässt sich aus Ihrer Erfahrung heraus dieses Risikobewusstsein bei Mitarbeitern schärfen? Auch und gerade vor dem Hintergrund, dass viele Führungskräfte nicht mit gutem Beispiel vorausgehen.
Stephanie Lepski: Nun, es ist schwierig hier eine pauschale Antwort zu geben, da sich Unternehmen und handelnde Personen natürlich sehr stark unterscheiden. Vielleicht wäre es schon einmal elementar, dass Entscheider in Ihrem Verantwortungsbereich die klare Verantwortung für Informationssicherheit übernehmen. Informationssicherheit ist kein Thema, das alleine in der IT anzusiedeln ist, sondern die Verantwortung eines jeden Entscheiders im Unternehmen braucht. Wenn man diese aktiv und von Anfang an mit einbezieht, wäre das schon mal ein wichtiger Schritt.
Sicht die größten Versäumnisse in Unternehmen, den Kollegen, die Kollegin, fest in den kompletten ISMS-Prozess einzubinden?
Stephanie Lepski: Zum einen wird bei einem Informationssicherheitsversagen schnell Richtung Mitarbeiter geschielt. Zum anderen müssen Mitarbeitende regelmäßig sensibilisiert werden, was den Umgang mit Maßnahmen der Informationssicherheit angeht. Eine wichtige Botschaft für alle Mitarbeiter muss beispielsweise lauten, keine Anhänge in Mails zu öffnen, die man nicht erwartet. Gleiches gilt für das Anklicken von Links in Mails.
Leider werden Sensibilisierungsmaßnahmen hierzu im Arbeitsalltag vielfach als behindernd eingeschätzt, die den Arbeitsprozess verlangsamen. Doch diese Sicht ist zu kurz gedacht, wie die vielen Vorfälle in Unternehmen zeigen.
Prozesse sind ein oft lästiges Dauerthema in Organisationen. Manche tun zu viel, manche zu wenig. Welche Empfehlungen können Sie beim Thema Informationssicherheit weitergeben, um den Weg nicht von Beginn an mit zu viel Prozess zuzuschütten?
Stephanie Lepski: Informationssicherheit muss direkt in die Geschäftsprozesse eingebunden werden. Das hat den Vorteil, dass man sieht welche Informationen an diesen Stellen fließen und deshalb geschützt werden müssen. Hierzu verfolgen wir einen Ansatz, der mit sogenannten Business-Impact-Analysen die Einschätzung der Prozesseigentümer in das Informationssicherheitsrisikomanagement hereinholt. In unseren Gesprächen weisen wir zudem immer darauf hin: Ein ISMS ist ein Risikomanagementsystem für Geschäftsrisiken, kein IT-Risikomanagementsystem, auch wenn das gerne anders gesehen wird und damit zu kurz greift.
Normen, Standards und Methoden sind wichtig. Die praktische Umsetzung der Informationssicherheit im Unternehmensalltag ist meist etwas anderes. Was empfehlen Sie Organisationen, die sich mit dem Thema Informationssicherheit und der Einführung eines ISMS beschäftigen, um die handelnden Personen nicht zu überfordern und ein wirkungsvolles ISMS zu integrieren?
Stephanie Lepski: Wichtig ist eine zielgruppenbezogene ISMS-Dokumentation. Das heißt, es braucht klare Antworten auf die Fragen: Was muss wer wissen? Welche Handlungsanweisung braucht welche Personengruppe im Alltag? Hinzu kommt die rollenbasierte Schulung zum ISMS. Damit wird sichergestellt, dass ein Anwender nicht mit Anforderungen aus dem IT-Betrieb überfordert wird. Auf der anderen Seite sollte ein IT-Administrator aber ausreichend tiefe Handlungsanweisungen für seinen Alltag erhalten. Darin lässt sich erkennen, dass die Einführung eines ISMS eine vielschichtige und zugleich sensible Angelegenheit ist, die nicht mal nebenbei durchzuführen ist.
Eine ausgeprägte Unternehmenskultur ist eine der tragenden Säulen für den gesamten Informationssicherheitsprozess. Doch wie sollen Organisationen dies erreichen, wenn selbst einfachste Mitarbeiterprogramme zur Sensibilisierung oder im Schulungsbereich nicht umgesetzt werden?
Stephanie Lepski: Hier fängt die Katze ihren eigenen Schwanz. Um Kultur nachhaltig zu verändern, braucht es kontinuierliche Maßnahmen auf unterschiedlichen Ebene und über unterschiedliche Kanäle, um das Bewusstsein zu verändern. Das können auch recht einfache Maßnahmen sein. Denken wir beispielsweise an Posterkampagnen. Auch das regelmäßige Ansprechen von Themen in Teammeetings ist wichtig und fördert den Zusammenhalt und das Verstehen untereinander.
Andererseits mangelt es vielfach an der Messbarkeit und Überprüfbarkeit des Mitarbeiterwissens beim Thema Informationssicherheit. Wie lässt sich dieser Missstand überwinden?
Stephanie Lepski: Diese Hürde kann unter anderem dadurch überwunden werden, dass die Bewertung der Robustheit der Prozesse gegenüber Schwachstellen und Bedrohungen in den Gesamtprozess einfließt. Hierzu eignen sich beispielsweise interne Audits.
Blicken wir nach vorne. Welche Entwicklungen braucht das ISMS, damit Unternehmen den wachsenden Anforderungen an die Informationssicherheit auch zukünftig gerecht werden?
Stephanie Lepski: An erster Stelle braucht es vor allem dynamische und laufende Anpassungen im ISMS. Ein entscheidender Punkt für Unternehmen ist die Fähigkeit, die eigene Risikolandkarte immer wieder auf den Prüfstand zu stellen und Aktualisierungen durchzuführen. Hierzu zählt auch das Management von technischen Schwachstellen in Organisationen. Es reicht eben nicht aus, einen ISMS-Prozess nur auf den Weg zu bringen. Nicht heute und noch weniger morgen. Denn die zunehmende Digitalisierung und Vernetzung mit ihren vielfältigen Chancen beinhaltet auch Risiken. Und diese gilt es zielführend zu begleiten. Ein gut eingeführtes und überwachtes ISMS kann an diesen Stellen den gesamten Informationssicherheitsprozess merklich verbessern.
Stephanie Lepski ist Geschäftsführerin der RUCON Service GmbH, einem Teil der Rühlconsulting Gruppe.