Was ein ISMS heute leistet – Basis für IT-Security-Prozesse

Unternehmen und Behörden sind jeden Tag mit immer schwerwiegenderen IT-Sicherheitsrisiken konfrontiert. Dieser Bedrohung können sie sich nur mit strukturierten Security-Prozessen erwehren. Ein Informationssicherheitsmanagementsystem (ISMS) bildet für sie eine solide Grundlage.

Leider spielen bei vielen Unternehmen und Behörden in puncto ITSicherheit die Kosten eine zu große Rolle. Investitionen finden daher nur unzureichend oder punktuell statt. Nichts oder zu wenig zu tun, ist allerdings gefährlich und es drohen nicht nur erhebliche finanzielle, sondern auch Image-Schäden. Organisationen, die fahrlässig handeln, setzen sich selbst erheblichen Konsequenzen wie Datenklau, Denial-of-Service-Attacken und Erpressungen via Ransomware aus. Welche weitreichenden Folgen eine Cyberattacke haben kann, zeigte im Juli letzten Jahres beispielhaft der Ransomware-Angriff auf die Landkreisverwaltung Anhalt-Bitterfeld. Die Angreifer verschlüsselten mehrere Terabyte Daten und drohten, diese zu veröffentlichen, sollte kein Lösegeld gezahlt werden. Über Wochen konnte die Behörde keine Gehälter und Sozialleistungen auszahlen, noch zwei Monate später waren Experten damit beschäftigt, die IT-Infrastruktur und Experten damit beschäftigt, die IT-Infrastruktur wieder aufzubauen. Neben Ransomware-Angriffen dürfen Unternehmen zudem die immer häufiger fälligen Bußgelder nicht außer Acht lassen, die bei Verletzungen der DS-GVO drohen. Steigende Cyberrisiken und deren gravierende Folgen sollten ausreichen, um Unternehmen und Behörden zum Umdenken und der Verfolgung einer umfassenden Sicherheitsstrategie zu bewegen. Ein guter Ansatz ist die Nutzung integrierter End-to-End-Sicherheitslösungen und -Services. Verantwortliche und Entscheider sollten zuvor allerdings verinnerlichen, dass eine hohe IT-Sicherheit nur mit einer strukturierten Vorgehensweise realisierbar ist, die alle Unternehmensprozesse berücksichtigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Cybersicherheit ist Chefsache“. Die Entwicklung eines Konzepts für die Etablierung eines notwendigen Informationsmanagementsystems muss das Management daher aktiv unterstützen. Das ist schon allein deswegen Voraussetzung, weil alle Modifikationen im Bereich der Sicherheit in der Regel auch Auswirkungen auf die betrieblichen Abläufe haben. Zudem kann nur die Leitungsebene über die Erhöhung des Budges für die Informationssicherheit entscheiden. Das richtige Committment in der Geschäftsführung ist somit ein maßgeblicher Faktor.

Unternehmen stehen nicht allein auf weiter Flur

Die gute Nachricht: Unternehmen müssen für ihre Sicherheitsinitiativen nicht auf der grünen Wiese beginnen, denn es stehen zahlreiche etablierte Normen zur Verfügung, an denen sie sich orientieren können. Der BSI-IT-Grundschutz [1] und die internationale Norm ISO 27001[2], die wichtige Grundpfeiler für die Implementierung und nachhaltigen Betrieb eines ISMS spezifiziert, sind gute Orientierungspunkte. Die Sicherheitsanforderungen und Handlungsempfehlungen aktualisiert das BSI im IT-Grundschutzkompendium inzwischen im Jahresrhythmus. Auch kleine und mittlere Unternehmen unterstützt das BSI, etwa mit dem Leitfaden zur Basis-Absicherung nach IT-Grundschutz: in drei Schritten zur Informationssicherheit.

Risk Insight als Startpunkt

Doch wie sollte ein Unternehmen bei der Festlegung einer Sicherheitsstrategie und der Implementierung eines ISMS konkret starten? In der Praxis hat sich hierbei ein sogenannter Basis-Sicherheits-Check (Quick-Check) als äußerst hilfreich erwiesen. Damit erhält jedes Unternehmen in kurzer Zeit einen guten Überblick zum Stand der eigenen Informationssicherheit. Zudem muss am Anfang einer ISMS-Initiative immer eine umfassende Risikobewertung (Risk Insight) stehen. Nur auf Basis einer Risikoanalyse und -bewertung können auch adäquate Sicherheitsmaßnahmen ergriffen werden. Dabei muss auch analysiert werden, ob ein Aufwand in einem vernünftigen Verhältnis zu einem möglichen Schaden steht. Für IT-Systeme, die maßgeblich für die Wertschöpfung des Unternehmens entscheidend sind, gilt allerdings: Maximale Schutzmaßnahmen sind Pflicht. Eine effiziente Sicherheitsstrategie erfordert immer eine ganzheitliche Betrachtung der Inormationssicherheit. Dabei sollten zumindest folgende Fragen beantwortet werden:

• Wie sieht mein Informationsverbund aus?
• Welche IT-Systeme sind überhaupt vorhanden?
• Welche Geschäftsbereiche nutzen welche Systeme?
• Das Ergebnis sollte eine klare Bestandsaufnahme der IT-Infrastruktur mit allen Schnittstellen und Abhängigkeiten und der Ermittlung aller zentralen Unternehmensprozesse sein.
• Wie gefährdet sind die Systeme wirklich?
• Sind die IT-Systeme nur Ziele von Skriptkiddies oder auch von Kriminellen oder sogar fremden Diensten?
• Was passiert mit dem Geschäft, wenn bestimmte IT-Systeme ausfallen? Hierbei geht es vor allem um die Bestimmung der unternehmenskritischen Systeme.
• An welcher Stelle verlassen Daten das Unternehmen?
• Wie sehen die Schnittstellen aus? Konkret müssen die Schnittstellen zu Externen ermittelt werden, etwa zu IT-Dienstleistern oder Lieferanten, aber auch zu Kunden.
• Wie wahrscheinlich ist ein Ausfall – sei es durch einen Angriff oder einen technischen Defekt? Mittels einer Risikoanalyse können die vorhandenen Gefahren beziehungsweise Bedrohungen ermittelt werden.
• Welche Kosten zieht ein Ausfall nach sich?
• Was kostet eine vollständige oder teilweise Wiederinbetriebnahme nach Ausfall? Ausgehend von den als unternehmenskritisch identifizierten Geschäftsprozessen sollte eine grobe Quantifizierung der Kosten erfolgen, die Ausfallzeiten nach sich ziehen. Dabei ist auch die Dauer von Ausfallzeiten zu betrachten – abhängig von den ergriffenen Notfallmanagement- und Disaster-Recovery-Maßnahmen.
• Was kostet die umfassende Sicherung aller relevanten Systeme? Vor jeder Investition in die IT-Sicherheit sollte ein Unternehmen immer eine detaillierte Kostenbetrachtung anstellen. Dabei muss jeweils auch der Aufwand und der Nutzen in Relation gesetzt werden.

Lösungen, Verantwortlichkeiten und Mitarbeiter

Sobald die Sicherheitsstrategie definiert ist, müssen die erforderlichen Sicherheitslösungen, -tools und -services ausgewählt und eingeführt werden. Wie bei der Einführung jeder Lösung lauten die Aufgaben Evaluierung und Kosten-Nutzen-Analyse. Zudem müssen auch Aspekte wie Design und Konfiguration, Implementierung, Integration in die Systemlandschaft, Betrieb und Wartung sowie Usability berücksichtigt werden. Vor allem hat ein Unternehmen auch eine Entscheidung über das Betriebsmodell zu treffen, also ob IT-Sicherheit ein On-Premises-, ein Hybrid-Cloud- oder ein Full-Outsourcing-Thema ist. Für Unternehmen kann es bei diesen komplexen Themen durchaus von Vorteil sein, Consulting-Services externer Dienstleister zu nutzen, die Expertise im Sicherheitsbereich vorweisen können. Darüber hinaus muss ein Unternehmen die Verantwortlichkeiten für die Definition, Durchsetzung und Überwachung von organisatorischen Maßnahmen bestimmen und Initiativen zur Motivation und Sensibilisierung der Mitarbeiter ergreifen. Nur so kann der Erfolg eines ISMS-Projekts sichergestellt werden. Es ist im Rahmen eines ISMS ein absolutes Muss, ein Schulungs- und Sensibilisierungskonzept zu erstellen und dieses auch zu verfolgen. Ein Punkt wird in diesem Kontext oft übersehen: Die Umsetzung einer Sicherheitsstrategie erfordert spezifische Qualifikationen. Es kann durchaus sein, dass aufgrund des im Unternehmen nicht vorhandenen Sicherheits-Know-Hows ein Outsourcing sinnvoll ist. Schließlich sollte ein Unternehmen immer abklären, ob es kostengünstiger ist, die eigenen Mitarbeiter zu qualifizieren oder externe Experten einzukaufen. Insgesamt erfordert die Etablierung von Security-Prozessen immer eine strukturierte Vorgehensweise. Ad-hoc-Aktivitäten und Insellösungen sind nicht Erfolg versprechend. Überdies muss die Sicherheitskultur im Unternehmen gelebt werden, und zwar vom Top-Management bis hin zum einzelnen Mitarbeiter. Nicht zuletzt darf nicht vergessen werden, dass Security auch ein Differenzierungsmerkmal sein kann. Viele Unternehmen – gerade auch Zulieferer im Bereich kritischer Infrastrukturen – müssen verstärkt Nachweise zur Informationssicherheit erbringen. IT-Security wird damit immer mehr auch zu einem Wettbewerbsfaktor.