These 3: Niemand will Verantwortung übernehmen oder „Ritalin für das Management“.

“Wenn die Ägypter ISO-Standards gehabt hätten, wären die Pyramiden bis heute nicht gebaut.”

Welche Rolle soll und kann das Management übernehmen? Welche Rolle spielen Standards und wieso soll sie der verantwortungsbewusste Unternehmer mit Vorsicht betrachten?

Dritte These zum Thema “Sozio-kulturelle Faktoren der Informationssicherheit”


 

Unternehmertum und Informationssicherheit

Was haben die Ägypter mit einem so komplexen Thema wie Informationssicherheit zu tun? Etwa gleichviel wie der Erbauer der Jungfraubahn Adolf Guyer-Zeller oder das Management von Boeing, das beschloss, den Jumbo Jet zu bauen. Beide mussten sich zu etwas entscheiden, was nie vorher gemacht worden war.  Sie hatten den Mut zum Risiko und wussten, dass die verwegenen Projekte viele Unwägbarkeiten beinhalteten. In beiden Fällen waren einzelne Pioniere von ihrer Vision überzeugt und konnten sich gegen kritische Stimmen durchsetzen.

In beiden Projekten geht es um Risiken und um den Umgang mit ihnen. Es ging um neue Technologien, die noch nie eingesetzt worden waren und um Verfahren, die bei der Planung nur angedacht waren. Ähnlich verhält es sich auch mit IT Projekten. Die technologische Entwicklung drängt die Unternehmen zu einem Aktionismus, der nur noch teilweise beherrschbar ist.  Die Welt der Zentralrechner wurde vom PC abgelöst, der PC durch die Mobiles und die App-Mania verdrängt. Diese Entwicklung wird vermutlich auch in naher Zukunft in einem rasanten Tempo weitergehen.

Wir haben es in diesem Umfeld mit vielen verschiedenen und wechselnden Bedrohungen zu tun, die einen Einfluss auf die Sicherheit einer Organisation ausüben. Gemäss Lehre sind Risiken dort vorhanden, wo aktuelle Bedrohungen auf ungenügende Vorkehrungen oder Schwachstellen treffen. Mehr dazu in These 9 zum Thema Risk Management[1].

In diesem Artikel soll es um die Management-Betrachtung gehen: „Wie sollen die Entscheidungsträger[2] mit diesen Risiken umgehen?“

Oder etwas präziser:

  • Wie soll das Management das Thema Informationssicherheit  angehen?
  • Können Standardisierungsverfahren und vergleichbaren Methoden einen erfolgreichen Beitrag zur Sicherheit leisten?
  • Welche Methoden führen zum Erfolg, welche soll man ignorieren?
  • Was kann und darf man von den Entscheidungsträgern erwarten?
  • Welche Rolle soll der CISO spielen?

Was ist Management?

Management ist im Grunde genommen eine einfache Disziplin. Betrachtet man die grundlegenden Entscheidungsoptionen eines Managers, lassen sich diese in zwei Gruppen einteilen[3]:

1.Die Gewinne des Unternehmens zu steigern und

2.die Risiken für das Unternehmen zu kennen und zu optimieren[4].

Wenn das Management Entscheidungen treffen muss, drehen sich diese immer um diese Kernthemen. Es wird  entschieden, ein neues Geschäftsfeld zu eröffnen, weil man ein grosses Marktpotential erkannt hat. Gleichzeitig berücksichtigt man auch die damit verbundenen Risiken, z.B. die aggressive Preispolitik eines Wettbewerbers. Man bewegt sich demnach immer auf der Grenze zwischen dem optimierten Gewinn und dem kalkulierten Risiko, welches man so weit als möglich abschätzen und (un)bewusst in Kauf nehmen möchte. Oder anders formuliert «Unternehmensführung ist die Fähigkeit zum konstruktiven Umgang mit Zielkonflikten und zum Handeln in deren Angesicht» (Prof. R. H. Dubs).

Das ist leicht gesagt, doch weiss jeder Unternehmer aus eigener Erfahrung, dass weder die Gewinnseite garantiert, noch die Risikoseite umfassend berechenbar ist. Man muss demnach dafür sorgen, dass die beiden Faktoren so gut wie möglich eingeschätzt werden können.

Wir haben im Rahmen der Erarbeitung des IT Governance Leitfadens das nachfolgende Grundmodell entwickelt, aus welchem sich die Handlungsoptionen für das Management ableiten lassen[5]:

Am Beispiel der elektronischen Archivierung kann die Entwicklung dargestellt werden. Traditionelle Compliance Themen sind unten links angesiedelt. Dazu gehören die physischen Archive. Mit dem Entstehen der Elektronischen Datenverarbeitung wuchs das Bewusstsein, Daten elektronisch zu archivieren. Doch mit diesen Daten lassen sich auch andere Ziele erreichen, z.B. als Teil des Knowledge-Managements oder als wichtige Quelle für zukünftige Produktentwicklungen. Zur wirtschaftlichen Optimierung wird das Unternehmen versuchen, vom Quadranten unten links möglichst bald nach oben rechts zu gelangen.

Wie präsentiert sich das Thema Informationssicherheit aus Sicht des Managements?

Was haben wir mit Informationssicherheitsmassnahmen bis heute erreicht, wenn wir uns die letzten 20 Jahre betrachten? Rein betriebswirtschaftlich gesehen sind die Investitionen, welche in die Informationssicherheit getätigt wurden, ein Fiasko. Im Jahr 2012 wurden schätzungsweise 80 Milliarden $ in die Informationssicherheit investiert. Die absolute Zahl sagt wenig, sondern man muss die Steigerungsrate berücksichtigen. Man kann in etwa davon ausgehen, dass in den letzten 15 Jahren die Ausgaben pro Jahr um rund  10 % gesteigert wurden – doch mit welchem Resultat?

Liest man die Presse und verfolgt die aktuellen Meldungen zum Thema Informationssicherheit, bekommt man den Eindruck, dass die Lage immer schlimmer wird. Das hat auch damit zu tun, dass die Presse natürlich nur diejenigen Schlagzeilen bringt, die möglichst gut verkauft werden können. Der Fall Snowden und die Wikileaks Affäre verführen gerade zur Schlussfolgerung, man hätte die Sicherheit nicht im Griff. Unter diesem Dauerregen von negativen Nachrichten soll sich das Management nun orientieren können und Entscheidungen treffen? Stellt sich einer nicht zu recht die Frage, wie es mit der Sicherheit im eigenen Unternehmen steht und wie die Millionen hingeflossen sind, die schon unter dem Titel „IT-Sicherheit“ verbrannt wurden?

Gemäss einer aktuellen Studie einer grossen Beratungsgesellschaft[6] haben die Sicherheitsereignisse in den Unternehmen im letzten Jahr wieder zugenommen. Das ist nicht weiter erstaunlich, es lässt  sich aber nicht nur mit der Zunahme der Bedrohungen oder Attacken begründen. Es erklärt sich auch damit, dass die Unternehmen Schwachstellen besser erkennen.

Aus der Studie lassen sich die folgenden Schlüsse ziehen (nachdem man die Verkaufsargumente der Berater eliminiert hat):

  • Die Angreifer oder potentiellen Schädiger des Unternehmens sind nach wie vor primär interne Mitarbeiter und nicht externe Hacker, die in einem Keller irgendwo im Osten sitzen. Die Angriffsmittel und die Bedrohungen sind raffinierter geworden, die meisten Angriffe erfolgen aber nach wie vor mit primitiven Mitteln.
  • Dies gilt nicht für die neuen Technologien, die in den Unternehmen schnell Einzug gefunden haben. Die meisten Unternehmen gewichten die Nutzung von neuen Technologien höher als Einschränkungen des Einsatzes, welche auf Sicherheitsüberlegungen basieren.

Diese Schlussfolgerungen werde ich unkommentiert lassen. Was hingegen immer wieder auffällt und deshalb auch nicht zum ersten und auch nicht zum letzten Mal festgehalten wird, sind die folgenden beiden Punkte:

  1. Das Management ist sich den Auswirkungen und potentiellen Gefahr zu wenig bewusst.
  2. Das Management kümmert sich nach wie vor zu wenig um die Sicherheitsfragen.

Zur ersten Aussage hat die Studie interessante Auslegungen bereit. Da wird davon gesprochen, dass man die wirtschaftlichen Schäden generell unterschätze. Gleichzeitig wird aber zum ersten Mal (endlich!) zugegeben, dass eine quantifizierbare Schätzung so gut wie unmöglich sei. Wie um Himmels willen soll ein Management die möglichen wirtschaftlichen Konsequenzen fehlender Informationssicherheit bewerten? Man kann doch niemandem vorwerfen, er kümmere sich zu wenig um ein negativ behaftetes Thema, wenn er davon ausgehen kann, dass es sich dabei nicht um eine wesentliche Bedrohung für das Unternehmen handelt. Die Erfahrung zeigt, dass nur gehandelt wird, wenn entweder im eigenen oder in einem befreundeten Unternehmen konkret etwas passiert. Hinzu kommt die persönliche Erfahrung, die jedes Mitglied der Führungsgilde prägt. Wurde ich gestern bestohlen, schätze ich die Wahrscheinlichkeit für einen zukünftigen Diebstahl wesentlich höher ein. Es fehlt an der emotionalen Distanz welche es für eine Sachentscheidung braucht.

Natürlich besteht die Schwierigkeit, Bedrohungen darzustellen, die nicht zu einem Schaden geführt haben. Hand aufs Herz, wer hat schon jemals seine Firma schliessen müssen, weil auf seinem Firewall zu viele Ports offen waren? Firmen gehen in der Regel nicht in Konkurs, weil sie ungenügende Sicherheitsmassnahmen getroffen haben. Dies gilt selbstverständlich nicht für Unternehmen, deren Kernkompetenz das Erbringen von informationstechnischen Leistungen ist. So ist der E-Commerce-Anbieter natürlich gezwungen, seine Sicherheitsmassnahmen auf dem höchsten Stand zu halten. Doch damit treffen wir vielleicht auf höchstens 10 % der aktiven Unternehmen aus dem Technologiebereich, auch diese Schätzung dürfte eher hoch gegriffen sein. Damit sind wir aber bereits auf eine wichtige Erkenntnis gestossen: Die Tätigkeit des Unternehmens definiert die Mittel, welch ein IT und die verbundene Sicherheit fliessen.

Die wahren Bedrohungen für die meisten Unternehmen sind neue Wettbewerber und geänderte Marktbedingungen sowie mangelnde Innovation. Hinzu kommen verschärfte Konkurrenzsituationen, z.B. durch den Internethandel. Aus Sicht des Managements ist folglich die Bedrohung durch Hacker oder andere Gründe selten ein ernsthaftes Thema. Damit erklärt sich auch die Aussage Nummer 2. Wieso soll man sich um diese Sicherheitsfragen kümmern, wenn man keine direkten Nachteile zu gewärtigen hat?

Nun, entweder wird man von seinen Revisoren dauernd bearbeitet oder der Aussendruck ist so hoch, das man zumindest den Anschein erwecken möchte, man bemühe sich ernsthaft darum. Folglich muss man etwas unternehmen, aber was?

Handlungsoptionen des Managements

Grundmuster

Der Entscheidungsträger muss meist unter Zeitdruck entscheiden. Er versucht zu erfassen, in welchem Kontext eine Sicherheitsfrage auftaucht. Er will das Thema möglichst schnell abarbeiten und erledigen. Nun kann man sich im guten Treuen fragen, ob sich das Management wirklich mit Sicherheitsfragen auseinandersetzen will. Wenn wir ehrlich sind, muss man diese Frage mit „Nein“ beantworten. Dies ist ein grundlegend menschlicher Zug und hat definitiv nichts mit besonders abgebrühten Führungskräften zu tun. Wir alle bemühen uns, negative Aspekte des Lebens ausblenden und die Dinge zu tun, die mit möglichst wenig Problemen behaftet sind. Hocherfreut sind wir, wenn uns jemand einen Zettel vor die Nase hält der besagt, dieses Produkt könne man unbedenklich verzehren, es wäre auf Herz und Nieren geprüft worden und es würde nur natürliche Rohstoffe beinhalten (damit sparen wir uns zudem das Lesen des Kleingedruckten).

Beim heutigen Regulierungsdruck und den Unmengen von Vorschriften, die der normale Unternehmer oder Manager zu bewältigen hat, kann es durchaus sein, dass er keinerlei Lust hat, sich mit den mühsamen Details der Informationssicherheit auseinander zu setzen. Das muss er auch nicht, weil es nichts bringt (dazu mehr weiter unten im Empfehlungsteil). Kein Management hat Lust, sich bis um Mitternacht mit eventuell geknackten Verschlüsselungsverfahren zu befassen!

Doch wie soll ein Management auf die Herausforderungen der Informationssicherheit eingehen? Soll es sich die einfache Pille verschreiben lassen oder doch eher versuchen, sich aktiv einzumischen? Komplexe und nicht überschaubare Herausforderungen werden in der Regel mit drei diametral unterschiedlichen Reaktionen beantwortet:

  • Reaktion 1 ist die umfassende und möglichst akribische Erfassung der Zusammenhänge und der damit verbundenen Einflussfaktoren (mehr dazu in These 9).
  • Reaktion 2 ist die Negierung der Sachlage und der damit einhergehend die Vereinfachung bis zu einem Punkt, an welchem sinnvolle Aussage nicht mehr machbar sind.
  • Reaktion 3 ist die Delegation des Themas an einen Verantwortlichen und einer Bestätigung der eigenen Sicherheit  (Zertifizierung).

 

Wie sind diese Reaktionsmuster zu bewerten? Wir wollen uns in diesem Artikel primär mit Reaktion 3 befassen, gehen aber kurz auf die anderen Optionen ein.

Reaktion 1: You can only manage what you can measure

Folgt man diesem fundamentalen, aber auch mechanistischen Grundsatz des Managements, welcher aussagt: Man kann nur steuern und managen, was man auch messen kann, wird das in einem Themenbereich wie der Informationssicherheit eine grosse Herausforderung.

In einer Welt der hohen Komplexität reagiert der Wissenschaftler mit der Erfassung einer Unmenge von Daten. Er stellt sich vor, dass er die richtige Antwort geben kann, indem er minutiös erfasst, welche Bedrohungen das Unternehmen betreffen und noch wichtiger, welche Risiken sich allenfalls auswirken werden. Dass dieser Ansatz zum Scheitern verurteilt ist, darauf wird in These 9 eingegangen.

Reaktion 2: Negierung der Sachlage

Diese Reaktion wird heute auch bei den abgebrühtesten Managern kaum mehr vorkommen. Die persönlichen Erfahrungen und die Medienpräsenz dürfte ihres dazu beigetragen haben, dass kein Management das Thema einfach ignorieren kann. Sollte dies tatsächlich der Fall sein haben wir es eher mit einer juristischen Frage zu tun, nämlich der Verantwortlichkeit des Managements und dessen Haftung im Schadensfall.

Reaktion 3: Delegation und Zertifizierung

Wie gezeigt fokussiert sich das Management normalerweise nicht auf die Conformance Seite, sondern versucht den Fokus richtigerweise auf die gewinnorientierten Themen zu richten.

Dies führt dazu, dass es diese unangenehme Aufgabe richtigerweise delegiert. Was kann delegiert werden? Sicherlich die Fachkompetenz, zu einem grossen Teil aber auch die Verantwortlichkeit für diese Themen! Wenn ich einen Polizisten als Chauffeur einstelle, gehe ich davon aus, dass er das Strassenverkehrsrecht kennt und sich daran hält. Leider haben viele Sicherheitsbeauftragte noch immer das Gefühl, sie könnten sich aus der Verantwortung schleichen. Dem ist definitiv nicht mehr so! In einem deutschen Gerichtsurteil wurde festgehalten, dass auch der Compliance Officer[7] dafür haftet, wenn er es versäumt hat, schädigende Handlungen zu unterbinden. Dies mag aus Sicht des Betriebsrats eine gefährlich Entwicklung sein, deckt sich aber natürlich völlig mit dem Management-Verständnis, welches wir oben geschildert haben. Der  Richter wird ebenso gefolgert haben: Wir haben es hier mit zu komplexen Sachverhalten zu tun, da ist das Management nicht in der Lage, ohne entsprechende Fachunterstützung zu arbeiten und die Risiken einzuschätzen. Folglich darf man davon ausgehen, dass die Fachkraft in der Lage ist, die Risiken zu beurteilen und zu informieren, wenn es dem Unternehmen an den Kragen gehen könnte. Selbstverständlich bedarf es dazu auch noch der Kompetenzübertragung und eines Eskalationssystems, die Tendenz ist aber eindeutig.

Was wird der Sicherheitsbeauftragte tun, wen er nun realisiert, dass er zur Verantwortung gezogen werden kann? Richtig, er greift zur harten Droge.

Was ist Ritalin?

Machen wir es kurz und bemühen Wikipedia:

Methylphenidat (kurz: MPH; Handelsname u. a. Ritalin) ist ein Arzneistoff mit stimulierender Wirkung. Er gehört zu den Derivaten von Amphetamin. Methylphenidat findet bei der medikamentösen Therapie der Aufmerksamkeitsdefizit-/Hyperaktivitätsstörung (ADHS) sowie der Narkolepsie Anwendung.

Wer aufmerksam gelesen hat wird feststellen, dass Ritalin „stimulierende Wirkung“ hat. Aber eigentlich hat man in Erinnerung, es handle sich dabei um ein Beruhigungsmittel? Offenbar ist die Indikation auch bei Kankheitsbildern wie ADHS gegeben. Eine interessante Anwendung, widerspiegelt man doch damit die alltägliche Management-Situation perfekt. Die stetige Überforderung und das permanente „online sein müssen“ verführt geradezu zum Griff nach einem Mittel, welches die Situation beruhigt.

Wie die Pharmaindustrie ihre Medikamente in verschiedenen Anwendungsfeldern positioniert, versucht die Standardisierungsindustrie dasselbe zu tun. Während die Pharmaindustrie die Ärzte als primären Vertriebskanal anwirbt, macht die Normierungsindustrie dasselbe mit den Beratern.  Man verkauft dem Patienten (Manager), dass das vorgeschlagene Präparat (die Norm) dazu führen wird, dass dem Patienten (Manager) das ruhige Schlafen wieder ermöglicht wird.

Hier hören die Gemeinsamkeiten der beiden „Produkte“ auf. Während der Arzt vom Patienten nicht erwartet, dass er die Zusammensetzung und die chemische Formel von Ritalin herunterbeten kann, erwartet der übereifrige Berater allen Ernstes, dass der Manager Meier (seines Zeichens für den Vertrieb von Gummistiefeln zuständig)  den Inhalt des Standards versteht und ihn seinen Mitarbeitern vermittelt. Und hier liegt der fundamentale Denkfehler der ISO-Promotoren:

Nur Hypochonder oder Paranoiker lesen die Inhaltsdeklaration oder die Packungsbeilage!

Wieso ist diese Haltung entstanden? Wohl darum, weil mit der Einführung von ISO 9000 viel Geschirr zerschlagen wurde:

„If your company is not involved in something called „ISO 9000“ (…. or any other number..  remark of the authors)  you probably have no idea what it is. If your company is involved in something called „ISO 9000“ you definitely have no idea what it is. „  (Scott Adams, the Dilbert Principle, New York 1996).

Was ist ein Standard?

Was ist eigentlich ein Standard und was sollte er beinhalten? Sicher nicht folgendes:

“Die Abholzigkeit wird in Zentimetern mit einer Dezimalstelle pro Meter ausgedrückt.”

Dieser immer wieder zitierte Satz stammt aus einer EU Norm, die in der Zwischenzeit glücklicherweise eliminiert wurde. Man kann kaum davon ausgehen, dass es die einzige Norm war, die so unverständliche Sätze enthielt. Wenigstens sind in dieser Textstelle noch messbare Grössen enthalten, eine Eigenschaft, welche die Management-Standards nicht haben. Der Laie stellt sich vor, dass ein Standard ein klares Regelwerk enthält, wie ein Produkt oder ein System auszusehen hat bzw. wie es hergestellt werden muss. Dies stimmt für physische und messbare Produkte, wie zum Beispiel eine Steckdose. Dimensionen, physikalische Werte, Materialeigenschaften und weitere messbare Grössen können eindeutig bestimmt und dokumentiert werden. Der technische Standard soll  die Interoperabilität erhöhen und damit die Kosten für alle Beteiligten möglichst niedrig zu halten. Gleichzeitig werden damit auch Nebeneffekte erzielt, so dürften damit auch die Risiken normalerweise geringer gehalten werden.

Dies sind alles Eigenschaften, die sich in einem Management-Standard nicht definieren lassen. Trotzdem versuchen die Hüter der Standards, genau dies zu tun, wenn es um solch komplexe Sachverhalte wie die Informationssicherheit geht.

Zitat aus ISO27001: “Any exclusion of controls found to be necessary to satisfy the risk acceptance criteria needs to be justified and evidence needs to be provided that the associated risks have been accepted by accountable persons. Where any controls are excluded, claims of conformity to this International Standard are not acceptable unless such exclusions do not affect the organization’s ability, and/or responsibility, to provide information security that meets the security requirements determined by risk assessment and applicable legal or regulatory requirements.”

Ist doch kinderleicht zu verstehen – oder etwa nicht?

 

Die enttäuschte Hoffnung in Management Standards

Mit der Einführung von Managementstandards wie ISO 9001ff. hat man die klaren Grundsätze der Normierung verlassen und bewegt sich damit auf dünnem Eis. Keine Messgrösse sagte uns, wann ein Produkt wirklich die Sicherheitseigenschaften hat, welches vom Management vorgegeben ist. Wie soll das Management etwas vorgeben, was selbst die meisten Experten nur teilweise verstehen? Was ist das Resultat?

  1. Solche Sicherheitsvorgaben werden mangels Kenntnissen kaum gemacht und
  2. die Vergleichbarkeit zwischen Produkten oder Systemen ist nicht gegeben.

Nur weil ein bestimmtes Thema gerade in ist, bedeutet das noch lange nicht, dass es für das eigene Unternehmen auf die Agenda muss. Dieser Grundsatz wäre sogar in ISO 27001 enthalten. Dummerweise ist diese Aussage in jenem Zitat enthalten, welches wir zwei Absätze weiter vorne erwähnt haben…

Versuchen Sie nie einen Auditoren zu überzeugen, dass bestimmte Norminhalte auf ihr Unternehmen nicht anwendbar wären. Er wird weder das Verständnis noch die intellektuelle Kapazität haben, dies zu verstehen. Denn dazu müsste er in der Lage sein, sich in ihre unternehmerische Gedankenwelt zu begeben. Dies ist aber leider weder den Autoren der Standards noch dem später Ausführenden zuzutrauen. Zur Entlastung der Auditoren sei erwähnt, dass diese in der Regel nicht genügend Zeit erhalten, um das Geschäft des Kunden zu verstehen. Als Unternehmer werden folglich mit ihren Bedenken im Stich gelassen und selbst wenn sie mit den bestmöglichen Überlegungen und Initiative an die Sache herangehen, wird sie der Frust nach spätestens einer Stunde Diskussion mit den Fachexperten einholen.

Das Resultat solcher Übungen ist naheliegend. Das Management will nur den Stempel, der besagt, man erfülle die Anforderungen an die Sicherheit. Welche Inhalte bewertet wurden und wie der Stand im Unternehmen tatsächlich ist, wird sich der Manager nicht mehr zu Gemüte führen. Dies schon darum, weil er sich bereits genügend geärgert hat und Fachspezialisten so gut wie nie in der Lage sind, eine realistische Bewertung der Bedrohungslage zu kommunizieren. Folglich wird er sich auf die Haltung zurückziehen: „Ich habe meinen Stempel und was später passiert ist Sache meiner Nachfolger“.

Damit wird natürlich sämtlichen gut gemeinten Bestrebungen der Boden entzogen. Selbst für Personen, welche die hier erwähnten Probleme kennen und praktikable Lösungen suchen, wird es schwer sein, in einem solchen Umfeld konstruktive Lösungen zu entwickeln.

Standards und Innovation

Wie hätten die Vertreter der heutigen Standardisierungsgilde die Jungfraubahn und den Jumbo beurteilt? In beiden Fällen hätten sie nur davor warnen können, so etwas Wahnsinniges zu unternehmen. Zu hohe Risiken, keinerlei Erfahrungen, aber am Schlimmsten keine „Best Practice“!! Zitat des unbekannt bleiben wollenden Wirtschaftsprüfers N.N.: „Aus Sicht der Compliance kann von diesen Initiativen nur abgeraten werden (mit Nachdruck)“.

Standards verhindern die Innovation und tragen kaum zu einer besseren Sicherheit bei.

Wie kann man Sicherheit auf die Management-Ebene bringen?

Mit den letzten beiden Beispielen haben wir das Spannungsfeld ausgeleuchtet. Wir haben es mit einer Thematik zu tun, die von der obersten Geschäftsleitung nicht gerne adressiert wird. Wir verfügen heute über einen Berufsstand (CISO, CISM, IT Auditoren) der das intellektuelle Potential hat, die Themen zumindest fachlich zu adressieren. Leider fehlt seinen Vertretern in der Regel das Sensorium für die Entscheidungsfindung im Management und sie haben Mühe mit der Positionierung in der Organisation. Aus diesem Grund greifen sie zur Beruhigungsmethode und schaffen Federbett-Erlebniswelten, welche sowohl alle Risiken abfedern wie auch das Management einlullen sollen. Leider droht das schnelle Erwachen, sollte in einer zertifizierten Organisation eine massive Sicherheitslücke auftreten (so z.B. geschehen bei der zertifizierten Swisscom[8]).

Gleichzeitig haben wir auch festgehalten, dass die Bedeutung der Informationssicherheit von Unternehmen zu Unternehmen variiert. Diese Tatsache wird normalerweise sowohl von den Studienschreibern wie auch den Entwickler der Standards fahrlässig ignoriert. Würde man den Überlegungen der IT oder Corporate Governance folgen, wäre klar, dass es eine Vielzahl von Unternehmen gibt, die der Informationsverarbeitung völlig unterschiedliche Bedeutung beimessen[9]. Selbst Sicherheitsmassnahmen verschiedener Domänen müssen in derselben Organisation u.U. völlig unterschiedlich implementiert werden.

Wie kann man nur erreichen, dass dem wichtigen Thema Informationssicherheit das richtige Gewicht beigemessen wird? Was man zuerst benötigt ist ein Verständnis dafür, welche Stellung die Informationsverarbeitung im Unternehmen einnimmt. Zuerst muss dem Management bekannt sein, welche Bedeutung der Produktionsfaktor Information im Unternehmen hat. Ohne dieses grundlegende Verständnis wird jede Diskussion um Informationssicherheit scheitern. Je höher der Bedarf an Information und je zuverlässiger die Datenverarbeitung funktionieren muss, desto wichtiger ist es, die Sicherheitsprobleme beim Namen zu nennen.

Konsequenterweise geht es darum, Sicherheitsthemen im betrieblichen Kontext aufzuzeigen und möglichst einfach zu kommunizieren. Mit Rollenspielen und Simulationen müssen die Rollen der Beteiligten gefestigt und geübt werden. Der Sicherheitsbeauftragte muss wissen, welche Entscheide er fällen kann und wo er eskalieren muss. Auch hier gilt: üben, üben üben… der Vergleich mit der Feuerwehr ist durchaus angebracht.

Die wichtige Rolle des Reputations-Managements geht meist auch vergessen. Leider sind die meisten Sicherheitsbeauftragten noch immer vom fixen Gedanken besessen, man könne alle Risiken präventiv eliminieren. Das Gebäude wird abbrennen! Wir müssen den Schaden begrenzen und auch dafür sorgen, dass unsere Reputation nicht leidet. Die richtige Reaktion und der passende Sprachgebrauch müssen gezielt vorbereitet werden.

Man kann nicht mit Studien argumentieren, die in einem völlig abstrakten Raum operieren mit denen sich der Manager nicht identifizieren kann. Nur das persönlich gelebte Beispiel hat die Aussagekraft, die wir hier benötigen. Nur das konkrete und selbst erlebte Beispiel zwingt uns dazu, zu überlegen, was im Falle eines Falles geschehen muss. Wir müssen den Entscheidungsträgern aufzeigen, welche persönlichen Konsequenzen es für sie hat, wenn Sie elementare Sicherheitsbedürfnisse und Themen nicht richtig behandeln. Dazu brauchen wir greifbare und nachvollziehbare Erlebnisse. Dazu gehören simulierte Angriffe und Einbrüche durch beauftragte Experten. Nebst solch spektakulären Aktionen sollen auch Routinefragen und Sicherheits-Trivialitäten thematisiert werden. Wir müssen den Leuten zeigen was passiert, wenn sie ihr Passwort nicht ändern oder ihre Mails nicht verschlüsseln. Das können wir nicht abstrakt tun sondern müssen es jeden unmittelbar fühlen lassen.

In der vorne erwähnten Studie steht auch (wie in jeder Sicherheitsstudie seit 1994), dass das grösste Manko in der Umsetzung darin besteht, dass selbst die elementarsten Sicherheitsmassnahmen nicht ergriffen werden.

Oder mit anderen Worten:

“Informationssicherheit bedeutet auf die persönliche Sicherheit übertragen, dass der Mitarbeiter am Abend die Bürotüre schliesst wenn er das Gebäude verlässt.”

 

Das mag jetzt für den Experten unheimlich trivial klingen, trifft aber in der realen Welt den Nagel genau auf den Kopf. Es zeigt uns auch, dass es bei weitem nicht genügt, technische Massnahmen zu implementieren um die Sicherheitslücken zu schliessen. Auch dies ist eine Kommunikationsaufgabe, die der CISO gegenüber dem Management wahrnehmen muss.

Aus diesem und aus anderen Gründen enthält diese Artikelserie Überlegungen, wie weit man mit nichttechnischen Methoden einen direkten Einfluss auf die Sicherheit einer Organisation nehmen kann.

 

Twitter # Tag: #socioculturalsecurity

 

 


[1] Dort wird gezeigt, dass dieser Ansatz in der IT leider NICHT funktioniert, trotzdem wird er nach wie vor in Standards wie ISO 27001 propagiert.

[2] In diesem Artikel wird damit immer die VR/AR/GL/Vorstandsebene adressiert.

[3] Weitere Ausführungen dazu bei Bienert Peter/Wildhaber Bruno; IT-Governance, S.11ff.  und Wildhaber (Hrsg.), Erb/Giger/Müller-Lhotska/Rumpf/Senn; Information Management Strategie, Zürich 2010.

[4] Man beachte, dass es nicht darum geht, die Risiken möglichst tief zu halten, sondern sie zu optimieren; mehr dazu in These 9 oder bei Bienert/Wildhaber, S.

[5] Weitere Ausführungen in Wildhaber (Hrsg.), Erb/Giger/Müller-Lhotska/Rumpf/Senn; S. 11ff.

[6] PWC, US State of Cybercrime Survey 2013

[7] BGH, Urteil vom 17.07.2009 – 5 StR 394/08; zur Garantenstellung des Compliance Officers; http://www.hrr-strafrecht.de/hrr/5/08/5-394-08-1.php

[8] http://www.itmagazine.ch/Artikel/54042/Datendiebstahl_bei_Swisscom.html

[9] Umfassende Behandlung dieses Themas in Biener/Wildhaber, u.a. S. 67ff. inkl. der Darstellung unterschiedlicher Risikoprofile

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.