Ganzheitliche IT-Sicherheit: Zurück auf Los
Viele Unternehmen beginnen damit, Standards „wild“ umzusetzen oder verschiedene Sicherheitsprodukte zu kaufen. Cybersicherheit muss aber auf einem soliden Fundament stehen. Dazu sollten die Verantwortlichen die eigenen Organisationsstrukturen kennen und die drei Schlüsselfaktoren Menschen, Prozesse und Technologie sorgfältig ausbalancieren.
Im Rahmen der digitalen Transformation ist es notwendig, der IT-Sicherheit zunehmend mehr Bedeutung beizumessen. Die analoge Welt wächst immer mehr mit der digitalen
zusammen, somit sind die Konsequenzen von erfolgreichen Cyberangriffen spürbarer. Eine keinesfalls triviale Herausforderung, die sämtliche Unternehmen, aber auch die Gesellschaft vor noch nie da gewesene Probleme stellt.
Umso wichtiger ist es, eine angemessene Vorgehensweise für mehr IT-Sicherheit zu entwickeln und anzupassen. Diese sollte auf einem fundierten Verständnis der einander beeinflussenden Schlüsselfaktoren Mensch, Prozesse und Technik beruhen. Wenn Unternehmen diese drei Schlüsselfaktoren sorgfältig austarieren, können sie einen höheren Grad an IT-Sicherheit entwickeln. Mit einem Verständnis der Einflüsse können sie fundierte Entscheidungen treffen und somit die Effizienz und Effektivität bezüglich der IT-Sicherheit steigern. Die betrachteten Faktoren stehen in Beziehung zueinander und müssen sowohl einzeln als auch zusammen analysiert sowie verstanden werden.
Mensch, Prozesse und Technik bilden eine Dreiecksbeziehung und brauchen ein „Dreiklang-Framework“ zum Verständnis der eigenen Organisation. Nur wenn die eigene Arbeitsweise und Struktur im Unternehmen bekannt ist, lassen sich Schwachstellen in der IT-Sicherheit erkennen und beheben. Dabei ist wesentlich zu klären, wer auf welche Daten, Dienste und IT-Systeme Zugriff hat und welche Werte in diesem Kontext am wichtigsten und nutzbringendsten sind. So kann eine Priorisierung und damit eine Reduzierung der Rechte vorgenommen werden, um den optimalen Schutz für die wichtigen IT-Systeme zu gewährleisten.
Durch eine sehr gute Kenntnis der eigenen Organisationsstruktur können Unternehmen potenzielle Angriffsvektoren reduzieren und veraltete IT-Systeme aufdecken sowie neue Angriffsflächen identifizieren. Besonders Erstere stellen einen nicht unerheblichen Anteil an Schwachstellen in der eigenen IT-Sicherheit dar, Datenverluste oder finanzielle Schäden sind oft die Folge. Es ist beunruhigend, wie viele Organisationen die eigenen IT-Systeme und deren Schutzbedarf nicht kennen.
Der Mensch
Der Mensch ist ein wichtiges Element im Kontext der IT-Sicherheit, da er die Prozesse entwickelt und ausführt sowie die Technik bedient und nutzt. Deswegen ist das „menschliche Element“ ein Faktor im Dreiklang-Framework. Der Begriff bezeichnet alle internen und externen Mitarbeiter, die mit dem Geschäftsbetrieb und der Entscheidungsfindung im Unternehmen in Verbindung stehen.
Es ist jedoch wichtig zu beachten, dass der Mensch nicht nur ein Ausführender von Prozessen ist, sondern auch aktiv an Entscheidungsprozessen beteiligt sein sollte. Die Mitarbeiter können insgesamt durch ihre individuelle Sichtweise, ihre Expertise und ihre Erfahrungen wertvolle Beiträge zu Entscheidungen leisten. Es ist jedoch zu bedenken, dass die Arbeitseffizienz der Mitarbeiter durch diverse Elemente geprägt und beeinflusst wird. Dabei spielt die gelebte Firmenkultur eine bedeutende Rolle, da sie unmittelbar in Zusammenhang mit der Motivation und der Arbeitszufriedenheit der Mitarbeiter steht.
Mensch, Prozesse und Technik bilden eine Dreiecksbeziehung (Bild: if(is))
Auch die Fähigkeiten der Mitarbeiter und die der Führungsebene der Organisation haben dementsprechend einen Einfluss auf die IT-Sicherheit sowie insgesamt auf den Erfolg des Unternehmens. Die Leitungsebene hat die Verantwortung, eine IT-Sicherheitsvorgehensweise zu entwickeln sowie zu implementieren und letztendlich dadurch das Sicherheitsbewusstsein der Mitarbeiter zu fördern, unter anderem durch die Bereitstellung entsprechender Fortbildungen. Neben diesen Verantwortlichkeiten muss die Führungsebene aber auch genug Ressourcen zum Beispiel personell oder finanziell zur Verfügung stellen.
Es ist wichtig, dass Unternehmen die Bedeutung des menschlichen Faktors erkennen und somit gezielt IT-Sicherheitsmaßnahmen im Einklang mit den anderen Faktoren ergreifen können.
So lassen sich mithilfe von Schulungen und Weiterbildungen diverse relevante IT-Sicherheitsthemen wie der Umgang mit E-Mails, Passwörtern oder Social-Engineering behandeln. Auch können Unternehmen hier ihre Mitarbeiter über die eigenen IT-Sicherheitsrichtlinien aufklären, da es essenziell ist, dass sie diese verstehen und befolgen. Aber auch der Umgang mit den vorhandenen IT-Sicherheitsmaßnahmen ist ein wichtiger Aspekt, damit die Mitarbeiter dazu beitragen können, das Unternehmen und damit ihren eigenen Arbeitsplatz zu schützen. Um den Erfolg der Schulungen zu messen, können die Verantwortlichen Überprüfungen durchführen und das Feedback der Mitarbeiter sammeln.
Über die letzten Jahrzehnte waren Menschen ein signifikanter Bestandteil von Sicherheitsrisiken [1]. Die Führungsebene ist maßgeblich der Verantwortungsträger für die Implementierung einer angemessenen IT-Sicherheitsvorgehensweise, sie trägt erheblich zum Erfolg der Informationssicherheit bei [2].
Die Prozesse
Der zweite Faktor im Dreiklang-Framework sind die Prozesse, also eine Zusammenstellung von Aktivitäten, die darauf ausgerichtet sind, ein bestimmtes Ziel im Unternehmen zu erreichen. Sie stellen einen strukturierten Ansatz zum Erreichen der Ziele dar und sind ein essenzieller Bestandteil eines jeden Unternehmens, denn dadurch lassen sich Zeit sowie Ressourcen sparen und somit letzten Endes Kosten.
Mithilfe von Prozessen ist es möglich, wiederkehrende Abläufe zu standardisieren und zu automatisieren, was zum Beispiel menschliche Fehler reduziert. Besonders bei der Handhabung von sensiblen Daten sind menschliche Unzulänglichkeiten, so gut es geht, zu verringern. Eine bekannte Norm in der Informationssicherheit ist die ISO 27001. Sie definiert verschiedene Anforderungen an die Informationssicherheit einer Organisation, die mit Richtlinien und Prozessen gelöst werden. Das zeigt deutlich, wie wichtig feste Prozesse in der IT-Sicherheit sind.
Im Dreiklang-Framework wird die Kategorie der Prozesse in die drei Typen Geschäftsprozesse, Betriebsprozesse und Managementprozesse aufgeteilt:
- Die Geschäftsprozesse umfassen alle Abläufe, die direkt mit der Wertschöpfungskette des Unternehmens verbunden sind. Beispiele dafür sind die Produktion, das Marketing oder
der Vertrieb. - Die Betriebsprozesse regeln den alltäglichen Betrieb der Organisation und umfassen Personalmanagement, Buchhaltung oder das Betreiben der eigenen IT-Infrastruktur.
- Planung, Organisation und die Kontrolle anderer Prozesse werden durch Managementprozesse festgehalten.
Eine Untersuchung der Virginia Polytechnic Institute and State University zeigt, dass bei Implementierung der verschiedenen Prozesse je nach Fokus auf die einzelnen Prozessarten Unterschiede beim Auftreten von IT-Sicherheitsvorfällen hervorgerufen werden [3]. Untersucht wurden verschiedene Organisationen, die die sogenannten Controls aus der ISO 27001 [1] implementierten, die oft durch eigene Prozesse abgedeckt werden können. Firmen, die den Fokus auf Technik legten, aber die managementorientierten Controls vernachlässigten, berichteten demnach häufiger über IT-Sicherheitsvorfälle als solche, die sich auf alle Faktoren konzentrierten. Das kann ein Hinweis darauf sein, dass sich eine einseitige Vernachlässigung der Controls und damit auch der Prozesse eines einzelnen Prozesstyps negativ auf die IT-Sicherheit eines Unternehmens auswirkt.
Prozesse bilden den Rahmen zur Bewertung von verschiedenen Entscheidungskriterien und sind somit essenziell für die finale Entscheidung. Eine klar strukturierte Herangehensweise kann sicherstellen, dass Verantwortliche ihre Entscheidungen auf Basis von fundierten Erkenntnissen treffen. Eine Implementierung von Prozessen ist in jeder Organisation unverzichtbar. Aufgrund der Einführung von Prozessen ist es für Unternehmen möglich, weniger Ressourcen für sich wiederholende Abläufe aufzuwenden, und sie
haben so die Möglichkeit, sich auf ihre Kernkompetenzen zu konzentrieren.
Die Technik
Der letzte Faktor im Dreiklang-Framework ist die Technik. Hier eingeschlossen sind sämtliche Tools, Software und Hardware, die Betriebsabläufe unterstützen. Aufgrund der Technik können Unternehmen Prozesse schneller und effizienter durchführen. Im Dreiklang-Framework wird zwischen der Informations-, der Betriebs- und der Kollaborationstechnik unterschieden.
Um eine umfassende IT-Sicherheit zu gewährleisten, müssen technische IT-Sicherheitsmaßnahmen entwickelt und umgesetzt werden. Dazu können zum Beispiel Firewalls, Intrusion-, Detection- und -Prevention-Systeme, Verschlüsselung, Multi-Faktor-Authentifizierung und moderne Endgerätesicherheit gehören [4]. Wichtig bei der IT-Sicherheitstechnik ist, dass sie obligatorisch dem „Stand der Technik“ entspricht, um eine ausreichende Wirkung gegen die aktuellen Angriffe erzielen zu können.
Durch die Bereitstellung von Daten, Analysen und Einsichten wird die Technik als Ganzes zu einem integralen Bestandteil des Entscheidungsprozesses. Als Beispiele lassen sich hier Datenanalyse-Tools nennen, die große Datenmengen in kürzester Zeit verarbeiten können. Der Organisation stehen somit schnell Ergebnisse zur Verfügung. Mit solchen Tools lassen sich IT-Sicherheitsmaßnahmen optimieren oder Risiken analysieren. Denn mit dem Aufkommen des Internets der Dinge (IoT) werden immer mehr Geräte und Maschinen vernetzt, wodurch neue Risiken entstehen. Aus diesem Grund ist es für Unternehmen obligatorisch, diverse Geräte in Echtzeit zu überwachen und entsprechende Entscheidungen zu treffen. Mögliche Anwendungsfelder wären zum Beispiel das Planen von Wartungs- und Reparaturarbeiten auf Basis von aggregierten Gerätedaten. Das Nutzen von verschiedenen
Techniken allein reicht jedoch nicht aus – sie müssen in der Unternehmensstrategie verwurzelt sein und auch von den Mitarbeitern genutzt werden.
Beziehungen zwischen den Faktoren
Die Beziehung der drei besprochenen Faktoren zeigt, dass eine gute Technik die Effizienz der Prozesse erhöhen oder die Arbeit der Mitarbeiter erleichtern kann. Gleichzeitig kann das Nutzen von schlecht integrierter Technologie Prozesse verlangsamen und behindern, was wiederum die Aufgaben der Mitarbeiter erschwert und das Niveau der IT-Sicherheit negativ beeinflusst.
„Mensch“ und „Prozess“
Gerade in kleinen und mittelständischen Unternehmen konnte festgestellt werden, dass Prozesse dabei helfen, den Grad der IT-Sicherheit zu erhöhen – allein unter dem Aspekt, dass Menschen Fehler begehen oder absichtlich bösartig agieren. Als klassisches Beispiel lässt sich hier das Phishing nennen, bei dem Kriminelle Daten von Zielpersonen abgreifen oder stehlen – oft durch das Senden gefälschter E-Mails eingeleitet, die die Mitarbeiter gezielt motivieren, auf Links oder Anhänge zu klicken, die Schadsoftware auf die Endgeräte lädt.
Prozesse helfen grundsätzlich dabei, Risiken zu senken und Qualität sicherzustellen. Allerdings ist es notwendig, sie kontinuierlich und schnell an neue Bedrohungen anzupassen. Im Fallbeispiel Phishing bietet es sich an, Prozesse zum Melden von verdächtigen E-Mails festzulegen. Zusätzlich sollten Unternehmen Vorgehen entwickeln, die für den Fall eines Datendiebstahls durch Phishing eine Schadensbegrenzung sicherstellen. Nach Auftreten eines Angriffs ist es sinnvoll zu überprüfen, ob die betroffenen Prozesse noch angemessen sind und ebenfalls, warum es trotz der Vorgaben zu einem erfolgreichen Angriff kommen konnte.
Es ist es wichtig, eine gute Balance zwischen den Faktoren Mensch und Prozesse zu finden. Dazu empfiehlt es sich, besonders auf die Organisationskultur und ihre Ziele einzugehen.
„Mensch“ und „Technik“
In der Beziehung zwischen Menschen und der verwendeten Technik spielt der Mensch mindestens eine gleichwertige Rolle. Die Technik kann zwar effektive IT-Sicherheitslösungen bieten, ist aber häufig selbst Schwachpunkt, wenn sie nicht korrekt implementiert, konfiguriert, aktualisiert oder bedient wurde. Updates oder Konfigurationsanpassungen sollten regelmäßig eingespielt und die Technik überprüft werden. Des Weiteren ist es empfehlenswert, bereits bei der Auswahl von Tools und Software darauf zu achten, dass sie auf die Bedürfnisse der Organisation zugeschnitten sind und im Kontext Sinn ergeben. Da die Angriffe immer komplexer und automatisiert ablaufen, wird es in der Zukunft zunehmend wichtig, dass die Hersteller ihre Technologie deutlich weiterentwickeln und diese sich dann so einsetzen lässt, dass die Nutzer kaum noch Fehler machen können.
„Prozess“ und „Technik“
Die letzte zu betrachtende Beziehung ist die der Prozesse im Verhältnis zur Technik. Hier haben Prozesse meist einen größeren Anteil am Unternehmenserfolg, da sie den Rahmenplan zum Erreichen desselben vorgeben. Grundsätzlich gewährleisten sie, dass Firmen IT-Sicherheitsvorgaben einhalten. Andererseits können sich die Prozesse jedoch als ineffektiv erweisen, wenn die Verantwortlichen nicht die adäquate Technologie einsetzen.
Das Verständnis der eigenen Organisationsziele und -risiken ist grundlegend für die Beziehung zwischen Prozessen und Technik. Hier ist zu berücksichtigen, dass die Technik Prozesse unterstützen und automatisieren kann, andererseits kann fehlerhafte Technologie aber Prozesse behindern oder sogar Schwachstellen in der
eigenen IT-Sicherheit schaffen.
Das Fazit muss daher lauten: Die Technologie soll jederzeit den Bedürfnissen der Prozesse entsprechen, von daher ist eine regelmäßige Überprüfung und Anpassung nötig. Um eine
solche IT-Sicherheitsvorgehensweise immer auf dem aktuellen Stand zu halten, bietet es sich an, Security-Awareness und Trainings für alle Mitarbeitenden anzubieten, beispielsweise Live-Hacking-Shows oder Phishingsimulationen [5].
Zusammenfassung
Die Verantwortlichen in den Unternehmen müssen IT-Sicherheit als integralen Bestandteil ansehen. Prozesse, Technik und nicht zuletzt der Faktor Mensch sind in jeder Abteilung einer Organisation vorhanden und man sollte sie immer gemeinsam betrachten. Die IT-Sicherheit betrifft aber nicht nur die IT-Abteilung, sondern grundsätzlich alle Abteilungen in der Organisation. Deswegen sollten die Abteilungen immer zusammenarbeiten. Nur so lassen sich IT-Sicherheitsrisiken aus allen Perspektiven betrachten und erfassen.
Es empfiehlt sich, relevante IT-Sicherheitsmaßnahmen in die allgemeine Unternehmensstrategie aufzunehmen. Die ISO 27001 fordert eine ausreichende Umsetzung der verschiedenen Anforderungen (Controls) – die Firmen selbst können aber entscheiden, ob sie bestimmte Bereiche besonders hervorheben und intensiver behandeln. Hierbei sollten sie das Dreiklang-Framework beachten, damit sich ein nicht zu großes Ungleichgewicht zwischen den drei Faktoren entwickelt.
Das Thema IT-Sicherheit stellt jede Organisation fortlaufend vor Herausforderungen. Es erfordert eine umfassende Vorgehensweise, die die drei Faktoren Mensch, Prozess und Technik berücksichtigt und behandelt. Dieses Verfahren muss kontinuierlich überwacht, angepasst und verbessert werden, damit die Unternehmen jederzeit auf neue Bedrohungen angemessen reagieren können. Die drei Faktoren müssen zudem harmonisch zusammenspielen, um den langfristigen Erfolg sicherzustellen. Nur so können Organisationen auf einem stabilen Fundament aufbauen und sich den neuen und sich ständig verändernden Herausforderungen stellen.
Literatur
[1] G. P. Im, R. L. Baskerville: „A Longitudinal Study of Information System Threat Categories: The Enduring Problem of Human Error“. SIGMIS Database, 36(4), 68–79, 2005. https://doi.org/10.1145/1104004.1104010
[2] Z. Tu, Y. Yuan: „Critical Success Factors Analysis on Effective Information Security Management: A Literature Review“, in: Twentieth Americas Conference on Information Systems, 2014, pp. 1–13.
[3] W. H. Baker, L. Wallace: „Is Information Security Under Control?: Investigating Quality in Information Security Management“, in: IEEE Security & Privacy, vol. 5, no. 1, pp. 36–44, Jan.–Feb. 2007, doi: 10.1109/MSP.2007.11.
[4] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung“, Springer-Vieweg Verlag, Wiesbaden 2022
[5] AWARE7 GmbH: „Jetzt Live Hacking Show planen und für mehr Security Awareness sorgen“, Gelsenkirchen 2023, https://aware7.com/de/live-hacking/

Jan Hörnemann ist Doktorand im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie IT-Sicherheitsberater bei der
AWARE7 GmbH.

Tobias Neugebauer ist Master-Student an der Ruhr-Universität Bochum im Bereich IT-Sicherheit sowie IT-Sicherheitsberater bei der AWARE7 GmbH. Er hat an einem internen Forschungsprojekt des if(is) mitgewirkt.

Norbert Pohlmann ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im
Vorstand des Internetverbandes – eco.