Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 18

Die Bestimmungen dieses Schriftstückes sollen grundsätzlich allgemein gehalten sein, weil die InfSec-Politik eher langfristig orientiert ist. Enthaltene Ausführungen stellen lediglich das Fundament für darauf aufbauende weiterführende Dokumente, wie beispielsweise Grundsätze oder Richtlinien dar. Technische Details oder Einzelheiten zu bestimmten Sicherheitsmaßnahmen und deren Umsetzung sind nicht Inhalt dieser Niederschrift. Für technische Realisierung soll genügend Spielraum und Flexibilität für die zum gegebenen Zeitpunkt beste Lösung bestehen. Kurzum: Die InfSec-Policy beschreibt, was geschieht, nicht wie es geschehen soll. In knappen und einfachen Worten stellt sie Aufgaben der InfSec-Politik dar.

Folgende prinzipielle Fragen bieten dafür geeigneten Rahmen:

1 Worin bestehen Grund und Zweck für dieses Dokument im Hinblick auf Erstellung, Verwendung, Umgang und Weitergabe mit Informationen?

1 Was soll überhaupt geschützt werden? Sicherheitspolitisches Ziel ist, bestehende Risiken zu erkennen, Schutzziele zu definieren und die Gefahren auf ein tragbares Maß zu senken.

1 Wo liegen die Verantwortlichkeiten für InfSec insgesamt und für jeden einzelnen Betroffenen?

1 Welcher Geltungsbereich und -zeitraum besteht?

1 Wie wird die Einhaltung überprüft?

Als selbstredend gilt, die im Dokument getroffenen Festlegungen realistisch und lebbar zu halten. Die InfSec-Policy darf keine wesentlichen Änderungen in der organisatorischen Firmenstruktur verursachen. Eher sollte sie sich der bestehenden Architektur anpassen und davon zweckmäßige Bestimmungen ableiten. Schließlich dürfen bereits optimal laufende Geschäftsprozesse nicht beeinträchtigt werden.

Das bedeutet aber zugleich, es muss wohl oder übel ein gewisses Maß an Risiko akzeptiert werden. Letztendlich hat es ja keinen Sinn, einen hohen Grad an Sicherheit zu erreichen, wenn dadurch alle Räder still stehen. Genauso wenig ist es zielführend, Regelungen zu verlautbaren, die nicht durchführbar oder kontrollierbar sind, weil dazu etwa Personal oder Ausrüstung fehlen.

Viele Unternehmen bekennen sich zwar zu InfSec, verfügen aber dennoch nicht über eine InfSec-Policy. Kein Zweifel, für die Erstellung einer derartigen Regelung ist je nach Firmengröße ein nicht zu unterschätzender Aufwand nötig. Das bedeutet aus wirtschaftlicher Sicht, Ressourcen in Form von Geld, Zeit und Personal müssen zur Verfügung stehen. Viele Chief-Executives fragen sich an dieser Stelle: „Wozu soll ich mir das antun? Es verursacht doch nur Kosten, Bürokratie und zusätzlichen Papierkram! Wenn wirklich Gefahr im Verzug ist, kaufe ich ein fertiges, bewährtes Produkt mit Plug-and-Play kombiniert mit einem Wartungsvertrag. Das ist doch viel einfacher und kostengünstiger und ich bin genauso abgesichert.“ Ich weiß, das ist die übliche Einstellung und die meisten Unternehmen handhaben es auch so. Keine Frage, auf jeden Fall besser ist, bei Bedarf irgendeine fertige Lösung aus dem Regal einzusetzen, als gar keine. Trotzdem zeugt diese Einstellung von sehr kurzsichtiger und engstirniger Sichtweise.

Vorteile und Nutzen, welche die Erstellung und der Einsatz einer InfSec-Policy gegenüber den erwähnten Gepflogenheiten bieten, sind vielfältig:

1 Klarheit über gemeinsame Ziele und Werte wird geschaffen.

1 Niedergeschriebene InfSec-Politik betrachtet umfassend alle sicherheitsrelevanten Bereiche eines Betriebes, inklusive der größten Schwachstelle, dem Menschen. Ein fertiges Produkt hingegen deckt nur einen spezifischen, meist technischen Teil ab.

1 Einmalige Anschaffungen oder Aktionen stellen lediglich kurzfristige punktuelle Lösungen dar, deren Wirkung schnell verpufft. Eine InfSec-Policy stellt sicher, dass InfSec als Prozess abläuft, der ständig aktualisiert wird.

1 Der Wille zur Sicherung von Arbeitsfähigkeit, Fortbestand des Unternehmens und dessen Wertsteigerung wird dokumentarisch festgehalten.

1 Üblicherweise werden erst durch eine Risikoanalyse die tatsächlichen Gefahren offenkundig. Die erlangten Erkenntnisse dienen, um gezielt vorhandene Bedrohungen zu beseitigen oder zumindest abzuschwächen. Die InfSec-Policy regelt hierzu die Vorgehensweise. Als Ergebnis entstehen speziell auf die individuelle Situation zugeschnittene Maßnahmen, die methodisch alle Geschäftsziele unterstützen.

1 Weiterer Vorteil ist, dass nach der Risikoanalyse eine geordnete Bestandsaufnahme aller Werte vorhanden ist. Diese dient beispielsweise auch als Unterstützung bei Wirtschaftsprüfungen.

1 Ohne funktionierender Basisorganisation und einem Mindestmaß an Investitionen ist es nicht möglich, eine akzeptable Sicherheitslage zu erreichen und beizubehalten. InfSec-Politik in Schriftform schafft die Grundlage, um Ressourcen zur Erstellung und Aufrechterhaltung der InfSec bereit zu stellen.

1 Koordinierter Einsatz bestimmter Security-Technologien, wie Verschlüsselung oder Virenschutz wird aufeinander abgestimmt und konkret geregelt.

1 Die Firmenleitung dokumentiert, ihre Verantwortung und Verpflichtung gegenüber Gesetz, Aktionären und Mitarbeitern wahrzunehmen. Schließlich wird der Vorstand ja dafür bezahlt, die Werte des Unternehmens zu beschützen und zu vermehren. Das Vorhandensein eines Grundsatzdokumentes beweist, er nimmt es mit der Sorgfaltspflicht ernst. Zusätzlich reduziert es auch das Haftungsrisiko der verantwortlichen Führungskräfte.

1 Einmal schriftlich festgehalten und veröffentlicht, schützt InfSec-Politik vor Willkür und Handlungen gegen Firmeninteressen.

1 Glaubwürdige und wirksame Ansprechstellen für InfSec werden geschaffen.

1 Zudem ermöglicht die InfSec-Policy, den Stand der Sicherheitsbemühungen messbar darzustellen. Beispielsweise dient vorhandene Dokumentation dazu, jederzeit den eigenen Fortschritt gegenüber internationalen Standards anderer Firmen zu vergleichen. In Zeiten der Globalisierung beurteilen Geschäftspartner einander zunehmend nach Sicherheitsgesichtspunkten.

1 Festgelegte Grundsätze sorgen für durchgehende Konsistenz innerhalb eines Unternehmens. Da die InfSec-Policy unternehmensweit gültig ist, wird sichergestellt, dass alle Filialen, Niederlassungen und Abteilungen gleiche Produkte und Abläufe verwenden.

1 Das Dokument bietet eine Arbeitsgrundlage für das betroffene Personal. Jeder weiß, was er erwarten kann und natürlich auch, was von ihm erwartet wird. Je besser die Basis ist, auf der aufgebaut wird, desto weniger Aufwand fällt in nachfolgenden Arbeitsprozessen an.

1 Damit verbunden ist eine Stärkung von Dezentralisierung, Selbstverantwortung und Kompetenz: Das Subsidiaritätsprinzip ermöglicht betroffenen Stellen im Anlassfall schnellere Reaktionen.

1 Rechtfertigungen gegenüber allen Partnern finden durch dieses Schriftstück Unterstützung. Besteht die Notwendigkeit, aus Sicherheitsbedenken Kundenwünsche abzulehnen, oder interne unpopuläre Entscheidungen zu treffen, kann auf die InfSec-Policy verwiesen werden.

1 Alle Betroffenen werden dafür sensibilisiert, dass Informationen Werte darstellen, die sie sorgsam und verantwortungsvoll zu behandeln haben. Auf dieser Grundlage bauen weiterführende Maßnahmen zur Bewusstseinsbildung auf.

1 Verbindungswege jeglicher Art - ob physisch oder virtuell - nach außerhalb und innerhalb des Unternehmens lassen sich klar definieren. Informationsflüsse dürfen nur über eindeutig festgelegte Schnittstellen erfolgen. Damit werden gefährliche Individuallösungen einzelner Bediensteter, wie z.B. die Verwendung privater Modems, untersagt.

1 Die Überprüfung auf Einhaltung der InfSec-Politik wird legitimiert. Nur wenn festgelegt ist, was zu geschehen hat, lässt es sich auch kontrollieren. Planung ohne Kontrolle ist sinnlos, Kontrolle ohne Planung unmöglich. Bei Missbrauch von Firmeneigentum können Betroffene auf Basis der InfSec-Policy zur Verantwortung gezogen werden.

Die InfSec-Policy muss sämtliche Geschäftsbereiche und -prozesse einbeziehen. Alle Mitarbeiter, Geschäftseinheiten und Standorte sind gefordert, ihren Beitrag abzuliefern. Eine breit angelegte Kooperation ermöglicht, sämtliche unterschiedlichen Zielvorstellungen aller betroffenen Stellen zu berücksichtigen. Während strategisches Denken InfSec eher forciert, werden sich taktische, operative und wirtschaftliche Sichtweisen erfahrungsgemäß vermehrt dagegen aussprechen. Das ideale Ergebnis äußert sich in einem angemessenen Kompromiss, bei dem sich Aufwand und Funktionalität die Waage halten:



Um die dargestellte Balance zu erzielen, hat sich der Einsatz des Gegenstromverfahrens bewährt. Bei diesem Vorgehen werden Top-down- und Bottom-up-Ansatz kombiniert: Jene Personen, die für die Umsetzung der Pläne verantwortlich sind, initiieren deren Erstellung und arbeiten von Beginn an mit. Im Rahmen der zentralen Vorgaben erfolgt die Konkretisierung des Plans in Zusammenarbeit mit den untersten Ebenen der Hierarchie. Ziel ist, Ergebnisse in einer Atmosphäre des Konsens zu erreichen. Mitunter bewirken auf diese Weise entstandene Erkenntnisse Korrekturen übergeordneter Pläne. Erfahrungsgemäß bewirkt diese Methode eine äußerst realistische und durchgängige Konzeption. Entscheidend für die Qualität des Ergebnisses ist, alle wesentlichen Abteilungen (wie Rechtsdienst, Human Ressources, Gebäudeverwaltung, Sicherheitsdienst, Revision, Personalvertretung ...) zu involvieren. Größtenteils sind Sichtweisen einzelner Abteilungen sehr eng und umfassen nur den eigenen Wirkungshorizont. Die Einbindung sämtlicher Bereiche hilft, die Gesamtsituation weitgehend abzudecken. Dazu ein Beispiel: Der Personalstelle kommt eine wesentliche Rolle im Sicherheitsprozess zu. Schließlich stellt sie Mitarbeiter ein, und verwaltet zentral deren Daten. Sicherheitsgerechte Überprüfung, Information, Vertragsregelung, Belehrung, Schulung, und Auswahl der Bediensteten haben essentielle Auswirkungen auf die Sicherheit eines Unternehmens. Dieser Part übernimmt daher idealerweise die Abteilung Human-Ressources. Infolgedessen ist natürlich zweckmäßig, wenn diese Stelle bereits von Anfang an ihre Sichtweise und Möglichkeiten in die InfSec-Politik einbringt.