{"id":144,"date":"2015-03-26T15:31:35","date_gmt":"2015-03-26T14:31:35","guid":{"rendered":"https:\/\/wildhaber.com\/?p=144"},"modified":"2015-04-28T11:11:04","modified_gmt":"2015-04-28T10:11:04","slug":"these-3-niemand-will-verantwortung-uebernehmen-oder-ritalin-fuer-das-management","status":"publish","type":"post","link":"https:\/\/wildhaber.com\/index.php\/these-3-niemand-will-verantwortung-uebernehmen-oder-ritalin-fuer-das-management\/","title":{"rendered":"These 3: Niemand will Verantwortung \u00fcbernehmen oder \u201eRitalin f\u00fcr das Management\u201c."},"content":{"rendered":"<div class=\"art-article\">\n<div>\n<p><strong>&#8222;Wenn die \u00c4gypter ISO-Standards gehabt h\u00e4tten, w\u00e4ren die Pyramiden bis heute nicht gebaut.&#8220;<\/strong><\/p>\n<p>Welche Rolle soll und kann das Management \u00fcbernehmen? Welche Rolle spielen Standards und wieso soll sie\u00a0der verantwortungsbewusste Unternehmer mit Vorsicht betrachten?<\/p>\n<p>Dritte These zum Thema &#8222;Sozio-kulturelle Faktoren der Informationssicherheit&#8220;<\/p>\n<hr \/>\n<\/div>\n<p><strong><em>\u00a0<\/em><\/strong><\/p>\n<div>\n<h1>Unternehmertum und Informationssicherheit<\/h1>\n<\/div>\n<p>Was haben die \u00c4gypter mit einem so komplexen Thema wie Informationssicherheit zu tun? Etwa gleichviel wie der Erbauer der Jungfraubahn Adolf Guyer-Zeller oder das Management von Boeing, das beschloss, den Jumbo Jet zu bauen. Beide mussten sich zu etwas entscheiden, was nie vorher gemacht worden war.\u00a0 Sie hatten den Mut zum Risiko und wussten, dass die verwegenen Projekte viele Unw\u00e4gbarkeiten beinhalteten. In beiden F\u00e4llen waren einzelne Pioniere von ihrer Vision \u00fcberzeugt und konnten sich gegen kritische Stimmen durchsetzen.<\/p>\n<p>In beiden Projekten geht es um Risiken und um den Umgang mit ihnen. Es ging um neue Technologien, die noch nie eingesetzt worden waren und um Verfahren, die bei der Planung nur angedacht waren. \u00c4hnlich verh\u00e4lt es sich auch mit IT Projekten. Die technologische Entwicklung dr\u00e4ngt die Unternehmen zu einem Aktionismus, der nur noch teilweise beherrschbar ist. \u00a0Die Welt der Zentralrechner wurde vom PC abgel\u00f6st, der PC durch die Mobiles und die App-Mania verdr\u00e4ngt. Diese Entwicklung wird vermutlich auch in naher Zukunft in einem rasanten Tempo weitergehen.<\/p>\n<p>Wir haben es in diesem Umfeld mit vielen verschiedenen und wechselnden Bedrohungen zu tun, die einen Einfluss auf die Sicherheit einer Organisation aus\u00fcben. Gem\u00e4ss Lehre sind Risiken dort vorhanden, wo aktuelle Bedrohungen auf ungen\u00fcgende Vorkehrungen oder Schwachstellen treffen. Mehr dazu in These 9 zum Thema Risk Management<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn1\">[1]<\/a>.<\/p>\n<p>In diesem Artikel soll es um die Management-Betrachtung gehen: \u201eWie sollen die Entscheidungstr\u00e4ger<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn2\">[2]<\/a> mit diesen Risiken umgehen?\u201c<\/p>\n<p>Oder etwas pr\u00e4ziser:<\/p>\n<ul>\n<li>Wie soll das Management das Thema Informationssicherheit\u00a0 angehen?<\/li>\n<li>K\u00f6nnen Standardisierungsverfahren und vergleichbaren Methoden einen erfolgreichen Beitrag zur Sicherheit leisten?<\/li>\n<li>Welche Methoden f\u00fchren zum Erfolg, welche soll man ignorieren?<\/li>\n<li>Was kann und darf man von den Entscheidungstr\u00e4gern erwarten?<\/li>\n<li>Welche Rolle soll der CISO spielen?<\/li>\n<\/ul>\n<h1>Was ist Management?<\/h1>\n<p>Management ist im Grunde genommen eine einfache Disziplin. Betrachtet man die grundlegenden Entscheidungsoptionen eines Managers, lassen sich diese in zwei Gruppen einteilen<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn3\">[3]<\/a>:<\/p>\n<p>1.Die <em>Gewinne des Unternehmens zu steigern<\/em> und<\/p>\n<p>2.die <em>Risiken f\u00fcr das Unternehmen zu kennen und zu optimieren<\/em><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn4\"><em><strong>[4]<\/strong><\/em><\/a>.<\/p>\n<p>Wenn das Management Entscheidungen treffen muss, drehen sich diese immer um diese Kernthemen. Es wird \u00a0entschieden, ein neues Gesch\u00e4ftsfeld zu er\u00f6ffnen, weil man ein grosses Marktpotential erkannt hat. Gleichzeitig ber\u00fccksichtigt man auch die damit verbundenen Risiken, z.B. die aggressive Preispolitik eines Wettbewerbers. Man bewegt sich demnach immer auf der Grenze zwischen dem optimierten Gewinn und dem kalkulierten Risiko, welches man so weit als m\u00f6glich absch\u00e4tzen und (un)bewusst in Kauf nehmen m\u00f6chte. Oder anders formuliert \u00abUnternehmensf\u00fchrung ist die F\u00e4higkeit zum konstruktiven Umgang mit Zielkonflikten und zum Handeln in deren Angesicht\u00bb (Prof. R. H. Dubs).<\/p>\n<p>Das ist leicht gesagt, doch weiss jeder Unternehmer aus eigener Erfahrung, dass weder die Gewinnseite garantiert, noch die Risikoseite umfassend berechenbar ist. Man muss demnach daf\u00fcr sorgen, dass die beiden Faktoren so gut wie m\u00f6glich eingesch\u00e4tzt werden k\u00f6nnen.<\/p>\n<p>Wir haben im Rahmen der Erarbeitung des IT Governance Leitfadens das nachfolgende Grundmodell entwickelt, aus welchem sich die Handlungsoptionen f\u00fcr das Management ableiten lassen<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn5\">[5]<\/a>:<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/wildhaber.com\/images\/stories\/IM\/Conformance%20performance.jpg\" alt=\"\" border=\"0\" \/><\/p>\n<p>Am Beispiel der elektronischen Archivierung kann die Entwicklung dargestellt werden. Traditionelle Compliance Themen sind unten links angesiedelt. Dazu geh\u00f6ren die physischen Archive. Mit dem Entstehen der Elektronischen Datenverarbeitung wuchs das Bewusstsein, Daten elektronisch zu archivieren. Doch mit diesen Daten lassen sich auch andere Ziele erreichen, z.B. als Teil des Knowledge-Managements oder als wichtige Quelle f\u00fcr zuk\u00fcnftige Produktentwicklungen. Zur wirtschaftlichen Optimierung wird das Unternehmen versuchen, vom Quadranten unten links m\u00f6glichst bald nach oben rechts zu gelangen.<\/p>\n<h1>Wie pr\u00e4sentiert sich das Thema Informationssicherheit aus Sicht des Managements?<\/h1>\n<p>Was haben wir mit Informationssicherheitsmassnahmen bis heute erreicht, wenn wir uns die letzten 20 Jahre betrachten? Rein betriebswirtschaftlich gesehen sind die Investitionen, welche in die Informationssicherheit get\u00e4tigt wurden, ein Fiasko. Im Jahr 2012 wurden sch\u00e4tzungsweise 80 Milliarden $ in die Informationssicherheit investiert. Die absolute Zahl sagt wenig, sondern man muss die Steigerungsrate ber\u00fccksichtigen. Man kann in etwa davon ausgehen, dass in den letzten 15 Jahren die Ausgaben pro Jahr um rund \u00a010 % gesteigert wurden \u2013 doch mit welchem Resultat?<\/p>\n<p>Liest man die Presse und verfolgt die aktuellen Meldungen zum Thema Informationssicherheit, bekommt man den Eindruck, dass die Lage immer schlimmer wird. Das hat auch damit zu tun, dass die Presse nat\u00fcrlich nur diejenigen Schlagzeilen bringt, die m\u00f6glichst gut verkauft werden k\u00f6nnen. Der Fall Snowden und die Wikileaks Aff\u00e4re verf\u00fchren gerade zur Schlussfolgerung, man h\u00e4tte die Sicherheit nicht im Griff. Unter diesem Dauerregen von negativen Nachrichten soll sich das Management nun orientieren k\u00f6nnen und Entscheidungen treffen? Stellt sich einer nicht zu recht die Frage, wie es mit der Sicherheit im eigenen Unternehmen steht und wie die Millionen hingeflossen sind, die schon unter dem Titel \u201eIT-Sicherheit\u201c verbrannt wurden?<\/p>\n<p>Gem\u00e4ss einer aktuellen Studie einer grossen Beratungsgesellschaft<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn6\">[6]<\/a> haben die Sicherheitsereignisse in den Unternehmen im letzten Jahr wieder zugenommen. Das ist nicht weiter erstaunlich, es l\u00e4sst \u00a0sich aber nicht nur mit der Zunahme der Bedrohungen oder Attacken begr\u00fcnden. Es erkl\u00e4rt sich auch damit, dass die Unternehmen Schwachstellen besser erkennen.<\/p>\n<p>Aus der Studie lassen sich die folgenden Schl\u00fcsse ziehen (nachdem man die Verkaufsargumente der Berater eliminiert hat):<\/p>\n<ul>\n<li>Die Angreifer oder potentiellen Sch\u00e4diger des Unternehmens sind nach wie vor prim\u00e4r interne Mitarbeiter und nicht externe Hacker, die in einem Keller irgendwo im Osten sitzen. Die Angriffsmittel und die Bedrohungen sind raffinierter geworden, die meisten Angriffe erfolgen aber nach wie vor mit primitiven Mitteln.<\/li>\n<li>Dies gilt nicht f\u00fcr die neuen Technologien, die in den Unternehmen schnell Einzug gefunden haben. Die meisten Unternehmen gewichten die Nutzung von neuen Technologien h\u00f6her als Einschr\u00e4nkungen des Einsatzes, welche auf Sicherheits\u00fcberlegungen basieren.<\/li>\n<\/ul>\n<p>Diese Schlussfolgerungen werde ich unkommentiert lassen. Was hingegen immer wieder auff\u00e4llt und deshalb auch nicht zum ersten und auch nicht zum letzten Mal festgehalten wird, sind die folgenden beiden Punkte:<\/p>\n<ol>\n<li><strong><em>Das Management ist sich den Auswirkungen und potentiellen Gefahr zu wenig bewusst.<\/em><\/strong><\/li>\n<li><strong><em>Das Management k\u00fcmmert sich nach wie vor zu wenig um die Sicherheitsfragen.<\/em><\/strong><\/li>\n<\/ol>\n<p>Zur ersten Aussage hat die Studie interessante Auslegungen bereit. Da wird davon gesprochen, dass man die wirtschaftlichen Sch\u00e4den generell untersch\u00e4tze. Gleichzeitig wird aber zum ersten Mal (endlich!) zugegeben, dass eine quantifizierbare Sch\u00e4tzung so gut wie unm\u00f6glich sei. Wie um Himmels willen soll ein Management die m\u00f6glichen wirtschaftlichen Konsequenzen fehlender Informationssicherheit bewerten? Man kann doch niemandem vorwerfen, er k\u00fcmmere sich zu wenig um ein negativ behaftetes Thema, wenn er davon ausgehen kann, dass es sich dabei nicht um eine wesentliche Bedrohung f\u00fcr das Unternehmen handelt. Die Erfahrung zeigt, dass nur gehandelt wird, wenn entweder im eigenen oder in einem befreundeten Unternehmen konkret etwas passiert. Hinzu kommt die pers\u00f6nliche Erfahrung, die jedes Mitglied der F\u00fchrungsgilde pr\u00e4gt. Wurde ich gestern bestohlen, sch\u00e4tze ich die Wahrscheinlichkeit f\u00fcr einen zuk\u00fcnftigen Diebstahl wesentlich h\u00f6her ein. Es fehlt an der emotionalen Distanz welche es f\u00fcr eine Sachentscheidung braucht.<\/p>\n<p>Nat\u00fcrlich besteht die Schwierigkeit, Bedrohungen darzustellen, die nicht zu einem Schaden gef\u00fchrt haben. Hand aufs Herz, wer hat schon jemals seine Firma schliessen m\u00fcssen, weil auf seinem Firewall zu viele Ports offen waren? Firmen gehen in der Regel nicht in Konkurs, weil sie ungen\u00fcgende Sicherheitsmassnahmen getroffen haben. Dies gilt selbstverst\u00e4ndlich nicht f\u00fcr Unternehmen, deren Kernkompetenz das Erbringen von informationstechnischen Leistungen ist. So ist der E-Commerce-Anbieter nat\u00fcrlich gezwungen, seine Sicherheitsmassnahmen auf dem h\u00f6chsten Stand zu halten. Doch damit treffen wir vielleicht auf h\u00f6chstens 10 % der aktiven Unternehmen aus dem Technologiebereich, auch diese Sch\u00e4tzung d\u00fcrfte eher hoch gegriffen sein. Damit sind wir aber bereits auf eine wichtige Erkenntnis gestossen: Die T\u00e4tigkeit des Unternehmens definiert die Mittel, welch ein IT und die verbundene Sicherheit fliessen.<\/p>\n<p>Die wahren Bedrohungen f\u00fcr die meisten Unternehmen sind neue Wettbewerber und ge\u00e4nderte Marktbedingungen sowie mangelnde Innovation. Hinzu kommen versch\u00e4rfte Konkurrenzsituationen, z.B. durch den Internethandel. Aus Sicht des Managements ist folglich die Bedrohung durch Hacker oder andere Gr\u00fcnde selten ein ernsthaftes Thema. Damit erkl\u00e4rt sich auch die Aussage Nummer 2. Wieso soll man sich um diese Sicherheitsfragen k\u00fcmmern, wenn man keine direkten Nachteile zu gew\u00e4rtigen hat?<\/p>\n<p>Nun, entweder wird man von seinen Revisoren dauernd bearbeitet oder der Aussendruck ist so hoch, das man zumindest den Anschein erwecken m\u00f6chte, man bem\u00fche sich ernsthaft darum. Folglich muss man etwas unternehmen, aber was?<\/p>\n<h1>Handlungsoptionen des Managements<\/h1>\n<h2>Grundmuster<\/h2>\n<p>Der Entscheidungstr\u00e4ger muss meist unter Zeitdruck entscheiden. Er versucht zu erfassen, in welchem Kontext eine Sicherheitsfrage auftaucht. Er will das Thema m\u00f6glichst schnell abarbeiten und erledigen. Nun kann man sich im guten Treuen fragen, ob sich das Management wirklich mit Sicherheitsfragen auseinandersetzen will. Wenn wir ehrlich sind, muss man diese Frage mit \u201eNein\u201c beantworten. Dies ist ein grundlegend menschlicher Zug und hat definitiv nichts mit besonders abgebr\u00fchten F\u00fchrungskr\u00e4ften zu tun. Wir alle bem\u00fchen uns, negative Aspekte des Lebens ausblenden und die Dinge zu tun, die mit m\u00f6glichst wenig Problemen behaftet sind. Hocherfreut sind wir, wenn uns jemand einen Zettel vor die Nase h\u00e4lt der besagt, dieses Produkt k\u00f6nne man unbedenklich verzehren, es w\u00e4re auf Herz und Nieren gepr\u00fcft worden und es w\u00fcrde nur nat\u00fcrliche Rohstoffe beinhalten (damit sparen wir uns zudem das Lesen des Kleingedruckten).<\/p>\n<p>Beim heutigen Regulierungsdruck und den Unmengen von Vorschriften, die der normale Unternehmer oder Manager zu bew\u00e4ltigen hat, kann es durchaus sein, dass er keinerlei Lust hat, sich mit den m\u00fchsamen Details der Informationssicherheit auseinander zu setzen. Das muss er auch nicht, weil es nichts bringt (dazu mehr weiter unten im Empfehlungsteil). Kein Management hat Lust, sich bis um Mitternacht mit eventuell geknackten Verschl\u00fcsselungsverfahren zu befassen!<\/p>\n<p>Doch wie soll ein Management auf die Herausforderungen der Informationssicherheit eingehen? Soll es sich die einfache Pille verschreiben lassen oder doch eher versuchen, sich aktiv einzumischen? Komplexe und nicht \u00fcberschaubare Herausforderungen werden in der Regel mit drei diametral unterschiedlichen Reaktionen beantwortet:<\/p>\n<ul>\n<li>Reaktion 1 ist die umfassende und m\u00f6glichst akribische Erfassung der Zusammenh\u00e4nge und der damit verbundenen Einflussfaktoren (mehr dazu in These 9).<\/li>\n<li>Reaktion 2 ist die <em>Negierung der Sachlage<\/em> und der damit einhergehend die Vereinfachung bis zu einem Punkt, an welchem sinnvolle Aussage nicht mehr machbar sind.<\/li>\n<li>Reaktion 3 ist die <em>Delegation des Themas<\/em> an einen Verantwortlichen und einer Best\u00e4tigung der eigenen Sicherheit\u00a0 (<em>Zertifizierung<\/em>).<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Wie sind diese Reaktionsmuster zu bewerten? Wir wollen uns in diesem Artikel prim\u00e4r mit Reaktion 3 befassen, gehen aber kurz auf die anderen Optionen ein.<\/p>\n<h2>Reaktion 1: You can only manage what you can measure<\/h2>\n<p>Folgt man diesem fundamentalen, aber auch mechanistischen Grundsatz des Managements, welcher aussagt: Man kann nur steuern und managen, was man auch messen kann, wird das in einem Themenbereich wie der Informationssicherheit eine grosse Herausforderung.<\/p>\n<p>In einer Welt der hohen Komplexit\u00e4t reagiert der Wissenschaftler mit der Erfassung einer Unmenge von Daten. Er stellt sich vor, dass er die richtige Antwort geben kann, indem er minuti\u00f6s erfasst, welche Bedrohungen das Unternehmen betreffen und noch wichtiger, welche Risiken sich allenfalls auswirken werden. Dass dieser Ansatz zum Scheitern verurteilt ist, darauf wird in These 9 eingegangen.<\/p>\n<h2>Reaktion 2: Negierung der Sachlage<\/h2>\n<p>Diese Reaktion wird heute auch bei den abgebr\u00fchtesten Managern kaum mehr vorkommen. Die pers\u00f6nlichen Erfahrungen und die Medienpr\u00e4senz d\u00fcrfte ihres dazu beigetragen haben, dass kein Management das Thema einfach ignorieren kann. Sollte dies tats\u00e4chlich der Fall sein haben wir es eher mit einer juristischen Frage zu tun, n\u00e4mlich der Verantwortlichkeit des Managements und dessen Haftung im Schadensfall.<\/p>\n<h2>Reaktion 3: Delegation und Zertifizierung<\/h2>\n<p>Wie gezeigt fokussiert sich das Management normalerweise nicht auf die Conformance Seite, sondern versucht den Fokus richtigerweise auf die gewinnorientierten Themen zu richten.<\/p>\n<p>Dies f\u00fchrt dazu, dass es diese unangenehme Aufgabe richtigerweise delegiert. Was kann delegiert werden? Sicherlich die Fachkompetenz, zu einem grossen Teil aber auch die Verantwortlichkeit f\u00fcr diese Themen! Wenn ich einen Polizisten als Chauffeur einstelle, gehe ich davon aus, dass er das Strassenverkehrsrecht kennt und sich daran h\u00e4lt. Leider haben viele Sicherheitsbeauftragte noch immer das Gef\u00fchl, sie k\u00f6nnten sich aus der Verantwortung schleichen. Dem ist definitiv nicht mehr so! In einem deutschen Gerichtsurteil wurde festgehalten, dass auch der Compliance Officer<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn7\">[7]<\/a> daf\u00fcr haftet, wenn er es vers\u00e4umt hat, sch\u00e4digende Handlungen zu unterbinden. Dies mag aus Sicht des Betriebsrats eine gef\u00e4hrlich Entwicklung sein, deckt sich aber nat\u00fcrlich v\u00f6llig mit dem Management-Verst\u00e4ndnis, welches wir oben geschildert haben. Der\u00a0 Richter wird ebenso gefolgert haben: Wir haben es hier mit zu komplexen Sachverhalten zu tun, da ist das Management nicht in der Lage, ohne entsprechende Fachunterst\u00fctzung zu arbeiten und die Risiken einzusch\u00e4tzen. Folglich darf man davon ausgehen, dass die Fachkraft in der Lage ist, die Risiken zu beurteilen und zu informieren, wenn es dem Unternehmen an den Kragen gehen k\u00f6nnte. Selbstverst\u00e4ndlich bedarf es dazu auch noch der Kompetenz\u00fcbertragung und eines Eskalationssystems, die Tendenz ist aber eindeutig.<\/p>\n<p>Was wird der Sicherheitsbeauftragte tun, wen er nun realisiert, dass er zur Verantwortung gezogen werden kann? Richtig, er greift zur harten Droge.<\/p>\n<h3>Was ist Ritalin?<\/h3>\n<p>Machen wir es kurz und bem\u00fchen Wikipedia:<\/p>\n<p><strong><em>Methylphenidat<\/em><\/strong><em> (kurz: MPH; Handelsname u. a. <strong>Ritalin<\/strong>) ist ein <\/em><a href=\"http:\/\/de.wikipedia.org\/wiki\/Arzneistoff\"><em>Arzneistoff<\/em><\/a><em> mit <\/em><a href=\"http:\/\/de.wikipedia.org\/wiki\/Stimulans\"><em>stimulierender Wirkung<\/em><\/a><em>. Er geh\u00f6rt zu den <\/em><a href=\"http:\/\/de.wikipedia.org\/wiki\/Derivat_%28Chemie%29\"><em>Derivaten<\/em><\/a><em> von <\/em><a href=\"http:\/\/de.wikipedia.org\/wiki\/Amphetamin\"><em>Amphetamin<\/em><\/a><em>. Methylphenidat findet bei der medikament\u00f6sen Therapie der <\/em><a href=\"http:\/\/de.wikipedia.org\/wiki\/Aufmerksamkeitsdefizit-\/Hyperaktivit%C3%A4tsst%C3%B6rung\"><em>Aufmerksamkeitsdefizit-\/Hyperaktivit\u00e4tsst\u00f6rung<\/em><\/a><em> (ADHS) sowie der <\/em><a href=\"http:\/\/de.wikipedia.org\/wiki\/Narkolepsie\"><em>Narkolepsie<\/em><\/a><em> Anwendung.<\/em><\/p>\n<p>Wer aufmerksam gelesen hat wird feststellen, dass Ritalin \u201estimulierende Wirkung\u201c hat. Aber eigentlich hat man in Erinnerung, es handle sich dabei um ein Beruhigungsmittel? Offenbar ist die Indikation auch bei Kankheitsbildern wie ADHS gegeben. Eine interessante Anwendung, widerspiegelt man doch damit die allt\u00e4gliche Management-Situation perfekt. Die stetige \u00dcberforderung und das permanente \u201eonline sein m\u00fcssen\u201c verf\u00fchrt geradezu zum Griff nach einem Mittel, welches die Situation beruhigt.<\/p>\n<p>Wie die Pharmaindustrie ihre Medikamente in verschiedenen Anwendungsfeldern positioniert, versucht die Standardisierungsindustrie dasselbe zu tun. W\u00e4hrend die Pharmaindustrie die \u00c4rzte als prim\u00e4ren Vertriebskanal anwirbt, macht die Normierungsindustrie dasselbe mit den Beratern.\u00a0 Man verkauft dem Patienten (Manager), dass das vorgeschlagene Pr\u00e4parat (die Norm) dazu f\u00fchren wird, dass dem Patienten (Manager) das ruhige Schlafen wieder erm\u00f6glicht wird.<\/p>\n<p>Hier h\u00f6ren die Gemeinsamkeiten der beiden \u201eProdukte\u201c auf. W\u00e4hrend der Arzt vom Patienten nicht erwartet, dass er die Zusammensetzung und die chemische Formel von Ritalin herunterbeten kann, erwartet der \u00fcbereifrige Berater allen Ernstes, dass der Manager Meier (seines Zeichens f\u00fcr den Vertrieb von Gummistiefeln zust\u00e4ndig)\u00a0 den Inhalt des Standards versteht und ihn seinen Mitarbeitern vermittelt. Und hier liegt der fundamentale Denkfehler der ISO-Promotoren:<\/p>\n<div>\n<p><em><strong>Nur Hypochonder oder Paranoiker lesen die Inhaltsdeklaration oder die Packungsbeilage!<\/strong><\/em><\/p>\n<\/div>\n<p>Wieso ist diese Haltung entstanden? Wohl darum, weil mit der Einf\u00fchrung von ISO 9000 viel Geschirr zerschlagen wurde:<\/p>\n<p>\u201eIf your company is not involved in something called \u201eISO 9000\u201c (&#8230;. or any other number..\u00a0 remark of the authors)\u00a0 you probably have no idea what it is. If your company is involved in something called \u201eISO 9000\u201c you definitely have no idea what it is. \u201e\u00a0 (Scott Adams, the Dilbert Principle, New York 1996).<\/p>\n<h3><\/h3>\n<h3>Was ist ein Standard?<\/h3>\n<p>Was ist eigentlich ein Standard und was sollte er beinhalten? Sicher nicht folgendes:<\/p>\n<div>\n<p><strong>&#8222;Die Abholzigkeit wird in Zentimetern mit einer Dezimalstelle pro Meter ausgedr\u00fcckt.&#8220;<\/strong><\/p>\n<\/div>\n<p>Dieser immer wieder zitierte Satz stammt aus einer EU Norm, die in der Zwischenzeit gl\u00fccklicherweise eliminiert wurde. Man kann kaum davon ausgehen, dass es die einzige Norm war, die so unverst\u00e4ndliche S\u00e4tze enthielt. Wenigstens sind in dieser Textstelle noch messbare Gr\u00f6ssen enthalten, eine Eigenschaft, welche die Management-Standards nicht haben. Der Laie stellt sich vor, dass ein Standard ein klares Regelwerk enth\u00e4lt, wie ein Produkt oder ein System auszusehen hat bzw. wie es hergestellt werden muss. Dies stimmt f\u00fcr physische und messbare Produkte, wie zum Beispiel eine Steckdose. Dimensionen, physikalische Werte, Materialeigenschaften und weitere messbare Gr\u00f6ssen k\u00f6nnen eindeutig bestimmt und dokumentiert werden. Der technische Standard soll\u00a0 die Interoperabilit\u00e4t erh\u00f6hen und damit die Kosten f\u00fcr alle Beteiligten m\u00f6glichst niedrig zu halten. Gleichzeitig werden damit auch Nebeneffekte erzielt, so d\u00fcrften damit auch die Risiken normalerweise geringer gehalten werden.<\/p>\n<p>Dies sind alles Eigenschaften, die sich in einem Management-Standard nicht definieren lassen. Trotzdem versuchen die H\u00fcter der Standards, genau dies zu tun, wenn es um solch komplexe Sachverhalte wie die Informationssicherheit geht.<\/p>\n<p>Zitat aus ISO27001: <em>&#8222;Any exclusion of controls found to be necessary to satisfy the risk acceptance criteria needs to be justified and evidence needs to be provided that the associated risks have been accepted by accountable persons. Where any controls are excluded, claims of conformity to this International Standard are not acceptable unless such exclusions do not affect the organization\u2019s ability, and\/or responsibility, to provide information security that meets the security requirements determined by risk assessment and applicable legal or regulatory requirements.&#8220;<\/em><\/p>\n<p>Ist doch kinderleicht zu verstehen &#8211; oder etwa nicht?<\/p>\n<p>&nbsp;<\/p>\n<h3>Die entt\u00e4uschte Hoffnung in Management Standards<\/h3>\n<p>Mit der Einf\u00fchrung von Managementstandards wie ISO 9001ff. hat man die klaren Grunds\u00e4tze der Normierung verlassen und bewegt sich damit auf d\u00fcnnem Eis. Keine Messgr\u00f6sse sagte uns, wann ein Produkt wirklich die Sicherheitseigenschaften hat, welches vom Management vorgegeben ist. Wie soll das Management etwas vorgeben, was selbst die meisten Experten nur teilweise verstehen? Was ist das Resultat?<\/p>\n<ol>\n<li><strong><em>Solche Sicherheitsvorgaben werden mangels Kenntnissen kaum gemacht und<\/em><\/strong><\/li>\n<li><strong><em>die Vergleichbarkeit zwischen Produkten oder Systemen ist nicht gegeben.<\/em><\/strong><\/li>\n<\/ol>\n<p>Nur weil ein bestimmtes Thema gerade in ist, bedeutet das noch lange nicht, dass es f\u00fcr das eigene Unternehmen auf die Agenda muss. Dieser Grundsatz w\u00e4re sogar in ISO 27001 enthalten. Dummerweise ist diese Aussage in jenem Zitat enthalten, welches wir zwei Abs\u00e4tze weiter vorne erw\u00e4hnt haben&#8230;<\/p>\n<p>Versuchen Sie nie einen Auditoren zu \u00fcberzeugen, dass bestimmte Norminhalte auf ihr Unternehmen nicht anwendbar w\u00e4ren. Er wird weder das Verst\u00e4ndnis noch die intellektuelle Kapazit\u00e4t haben, dies zu verstehen. Denn dazu m\u00fcsste er in der Lage sein, sich in ihre unternehmerische Gedankenwelt zu begeben. Dies ist aber leider weder den Autoren der Standards noch dem sp\u00e4ter Ausf\u00fchrenden zuzutrauen. Zur Entlastung der Auditoren sei erw\u00e4hnt, dass diese in der Regel nicht gen\u00fcgend Zeit erhalten, um das Gesch\u00e4ft des Kunden zu verstehen. Als Unternehmer werden folglich mit ihren Bedenken im Stich gelassen und selbst wenn sie mit den bestm\u00f6glichen \u00dcberlegungen und Initiative an die Sache herangehen, wird sie der Frust nach sp\u00e4testens einer Stunde Diskussion mit den Fachexperten einholen.<\/p>\n<p>Das Resultat solcher \u00dcbungen ist naheliegend. Das Management will nur den Stempel, der besagt, man erf\u00fclle die Anforderungen an die Sicherheit. Welche Inhalte bewertet wurden und wie der Stand im Unternehmen tats\u00e4chlich ist, wird sich der Manager nicht mehr zu Gem\u00fcte f\u00fchren. Dies schon darum, weil er sich bereits gen\u00fcgend ge\u00e4rgert hat und Fachspezialisten so gut wie nie in der Lage sind, eine realistische Bewertung der Bedrohungslage zu kommunizieren. Folglich wird er sich auf die Haltung zur\u00fcckziehen: \u201eIch habe meinen Stempel und was sp\u00e4ter passiert ist Sache meiner Nachfolger\u201c.<\/p>\n<p>Damit wird nat\u00fcrlich s\u00e4mtlichen gut gemeinten Bestrebungen der Boden entzogen. Selbst f\u00fcr Personen, welche die hier erw\u00e4hnten Probleme kennen und praktikable L\u00f6sungen suchen, wird es schwer sein, in einem solchen Umfeld konstruktive L\u00f6sungen zu entwickeln.<\/p>\n<h3>Standards und Innovation<\/h3>\n<p>Wie h\u00e4tten die Vertreter der heutigen Standardisierungsgilde die Jungfraubahn und den Jumbo beurteilt? In beiden F\u00e4llen h\u00e4tten sie nur davor warnen k\u00f6nnen, so etwas Wahnsinniges zu unternehmen. Zu hohe Risiken, keinerlei Erfahrungen, aber am Schlimmsten keine \u201eBest Practice\u201c!! Zitat des unbekannt bleiben wollenden Wirtschaftspr\u00fcfers N.N.: \u201eAus Sicht der Compliance kann von diesen Initiativen nur abgeraten werden (mit Nachdruck)\u201c.<\/p>\n<p><em><strong>Standards verhindern die Innovation und tragen kaum zu einer besseren Sicherheit bei.<\/strong><\/em><\/p>\n<h1>Wie kann man Sicherheit auf die Management-Ebene bringen?<\/h1>\n<p>Mit den letzten beiden Beispielen haben wir das Spannungsfeld ausgeleuchtet. Wir haben es mit einer Thematik zu tun, die von der obersten Gesch\u00e4ftsleitung nicht gerne adressiert wird. Wir verf\u00fcgen heute \u00fcber einen Berufsstand (CISO, CISM, IT Auditoren) der das intellektuelle Potential hat, die Themen zumindest fachlich zu adressieren. Leider fehlt seinen Vertretern in der Regel das Sensorium f\u00fcr die Entscheidungsfindung im Management und sie haben M\u00fche mit der Positionierung in der Organisation. Aus diesem Grund greifen sie zur Beruhigungsmethode und schaffen Federbett-Erlebniswelten, welche sowohl alle Risiken abfedern wie auch das Management einlullen sollen. Leider droht das schnelle Erwachen, sollte in einer zertifizierten Organisation eine massive Sicherheitsl\u00fccke auftreten (so z.B. geschehen bei der zertifizierten Swisscom<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn8\">[8]<\/a>).<\/p>\n<p>Gleichzeitig haben wir auch festgehalten, dass die Bedeutung der Informationssicherheit von Unternehmen zu Unternehmen variiert. Diese Tatsache wird normalerweise sowohl von den Studienschreibern wie auch den Entwickler der Standards fahrl\u00e4ssig ignoriert. W\u00fcrde man den \u00dcberlegungen der IT oder Corporate Governance folgen, w\u00e4re klar, dass es eine Vielzahl von Unternehmen gibt, die der Informationsverarbeitung v\u00f6llig unterschiedliche Bedeutung beimessen<a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftn9\">[9]<\/a>. Selbst Sicherheitsmassnahmen verschiedener Dom\u00e4nen m\u00fcssen in derselben Organisation u.U. v\u00f6llig unterschiedlich implementiert werden.<\/p>\n<p>Wie kann man nur erreichen, dass dem wichtigen Thema Informationssicherheit das richtige Gewicht beigemessen wird? Was man zuerst ben\u00f6tigt ist ein Verst\u00e4ndnis daf\u00fcr, welche Stellung die Informationsverarbeitung im Unternehmen einnimmt. Zuerst muss dem Management bekannt sein, welche Bedeutung der Produktionsfaktor Information im Unternehmen hat. Ohne dieses grundlegende Verst\u00e4ndnis wird jede Diskussion um Informationssicherheit scheitern. Je h\u00f6her der Bedarf an Information und je zuverl\u00e4ssiger die Datenverarbeitung funktionieren muss, desto wichtiger ist es, die Sicherheitsprobleme beim Namen zu nennen.<\/p>\n<p>Konsequenterweise geht es darum, Sicherheitsthemen im betrieblichen Kontext aufzuzeigen und m\u00f6glichst einfach zu kommunizieren. Mit Rollenspielen und Simulationen m\u00fcssen die Rollen der Beteiligten gefestigt und ge\u00fcbt werden. Der Sicherheitsbeauftragte muss wissen, welche Entscheide er f\u00e4llen kann und wo er eskalieren muss. Auch hier gilt: \u00fcben, \u00fcben \u00fcben&#8230; der Vergleich mit der Feuerwehr ist durchaus angebracht.<\/p>\n<p>Die wichtige Rolle des Reputations-Managements geht meist auch vergessen. Leider sind die meisten Sicherheitsbeauftragten noch immer vom fixen Gedanken besessen, man k\u00f6nne alle Risiken pr\u00e4ventiv eliminieren. Das Geb\u00e4ude wird abbrennen! Wir m\u00fcssen den Schaden begrenzen und auch daf\u00fcr sorgen, dass unsere Reputation nicht leidet. Die richtige Reaktion und der passende Sprachgebrauch m\u00fcssen gezielt vorbereitet werden.<\/p>\n<p>Man kann nicht mit Studien argumentieren, die in einem v\u00f6llig abstrakten Raum operieren mit denen sich der Manager nicht identifizieren kann. Nur das <em>pers\u00f6nlich gelebte Beispiel<\/em> hat die Aussagekraft, die wir hier ben\u00f6tigen. Nur das konkrete und selbst erlebte Beispiel zwingt uns dazu, zu \u00fcberlegen, was im Falle eines Falles geschehen muss. Wir m\u00fcssen den Entscheidungstr\u00e4gern aufzeigen, welche pers\u00f6nlichen Konsequenzen es f\u00fcr sie hat, wenn Sie elementare Sicherheitsbed\u00fcrfnisse und Themen nicht richtig behandeln. Dazu brauchen wir greifbare und nachvollziehbare Erlebnisse. Dazu geh\u00f6ren simulierte Angriffe und Einbr\u00fcche durch beauftragte Experten. Nebst solch spektakul\u00e4ren Aktionen sollen auch Routinefragen und Sicherheits-Trivialit\u00e4ten thematisiert werden. Wir m\u00fcssen den Leuten zeigen was passiert, wenn sie ihr Passwort nicht \u00e4ndern oder ihre Mails nicht verschl\u00fcsseln. Das k\u00f6nnen wir nicht abstrakt tun sondern m\u00fcssen es jeden unmittelbar f\u00fchlen lassen.<\/p>\n<p>In der vorne erw\u00e4hnten Studie steht auch (wie in jeder Sicherheitsstudie seit 1994), dass das gr\u00f6sste Manko in der Umsetzung darin besteht, dass selbst die elementarsten Sicherheitsmassnahmen nicht ergriffen werden.<\/p>\n<p>Oder mit anderen Worten:<\/p>\n<div>\n<p><strong><em>&#8222;Informationssicherheit bedeutet auf die pers\u00f6nliche Sicherheit \u00fcbertragen, dass der Mitarbeiter am Abend die B\u00fcrot\u00fcre schliesst wenn er das Geb\u00e4ude verl\u00e4sst.&#8220;<\/em><\/strong><\/p>\n<\/div>\n<p>&nbsp;<\/p>\n<p>Das mag jetzt f\u00fcr den Experten unheimlich trivial klingen, trifft aber in der realen Welt den Nagel genau auf den Kopf. Es zeigt uns auch, dass es bei weitem nicht gen\u00fcgt, technische Massnahmen zu implementieren um die Sicherheitsl\u00fccken zu schliessen. Auch dies ist eine Kommunikationsaufgabe, die der CISO gegen\u00fcber dem Management wahrnehmen muss.<\/p>\n<p>Aus diesem und aus anderen Gr\u00fcnden enth\u00e4lt diese Artikelserie \u00dcberlegungen, wie weit man mit nichttechnischen Methoden einen direkten Einfluss auf die Sicherheit einer Organisation nehmen kann.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>Twitter # Tag: #socioculturalsecurity<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<div>\n<hr size=\"1\" width=\"33%\" \/>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref1\">[1]<\/a> Dort wird gezeigt, dass dieser Ansatz in der IT leider NICHT funktioniert, trotzdem wird er nach wie vor in Standards wie ISO 27001 propagiert.<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref2\">[2]<\/a> In diesem Artikel wird damit immer die VR\/AR\/GL\/Vorstandsebene adressiert.<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref3\">[3]<\/a> Weitere Ausf\u00fchrungen dazu bei Bienert Peter\/Wildhaber Bruno; IT-Governance, S.11ff.\u00a0 und Wildhaber (Hrsg.), Erb\/Giger\/M\u00fcller-Lhotska\/Rumpf\/Senn; Information Management Strategie, Z\u00fcrich 2010.<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref4\">[4]<\/a> Man beachte, dass es nicht darum geht, die Risiken m\u00f6glichst tief zu halten, sondern sie zu optimieren; mehr dazu in These 9 oder bei Bienert\/Wildhaber, S.<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref5\">[5]<\/a> Weitere Ausf\u00fchrungen in Wildhaber (Hrsg.), Erb\/Giger\/M\u00fcller-Lhotska\/Rumpf\/Senn; S. 11ff.<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref6\">[6]<\/a> PWC, US State of Cybercrime Survey 2013<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref7\">[7]<\/a> BGH, Urteil vom 17.07.2009 \u2013 5 StR 394\/08; zur Garantenstellung des Compliance Officers; http:\/\/www.hrr-strafrecht.de\/hrr\/5\/08\/5-394-08-1.php<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref8\">[8]<\/a> http:\/\/www.itmagazine.ch\/Artikel\/54042\/Datendiebstahl_bei_Swisscom.html<\/p>\n<\/div>\n<div>\n<p><a title=\"\" href=\"https:\/\/wildhaber.com\/index.php\/materialien\/riskmansec\/126-socioculturalsecuritythese3#_ftnref9\">[9]<\/a> Umfassende Behandlung dieses Themas in Biener\/Wildhaber, u.a. S. 67ff. inkl. der Darstellung unterschiedlicher Risikoprofile<\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>&#8222;Wenn die \u00c4gypter ISO-Standards gehabt h\u00e4tten, w\u00e4ren die Pyramiden bis heute nicht gebaut.&#8220; Welche Rolle soll und kann das Management &hellip; <a href=\"https:\/\/wildhaber.com\/index.php\/these-3-niemand-will-verantwortung-uebernehmen-oder-ritalin-fuer-das-management\/\" class=\"more-link\"><span class=\"more-button\">Continue reading &gt;<span class=\"screen-reader-text\">These 3: Niemand will Verantwortung \u00fcbernehmen oder \u201eRitalin f\u00fcr das Management\u201c.<\/span><\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,4],"tags":[],"class_list":["post-144","post","type-post","status-publish","format-standard","hentry","category-informationssicherheit","category-sozio-kulturelle-faktoren"],"_links":{"self":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/comments?post=144"}],"version-history":[{"count":2,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/144\/revisions"}],"predecessor-version":[{"id":281,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/144\/revisions\/281"}],"wp:attachment":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media?parent=144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/categories?post=144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/tags?post=144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}