Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 4

Seit vielen Jahren beschäftige ich mich beruflich mit Security-Management und dessen Umsetzung im Betrieb. Der Weg dazu ist mehr oder weniger standardisiert, wird in diverser Literatur (siehe auch „Weiterführende Literatur“) ausgiebig beschrieben und bei mittlerweile vermehrt angebotenen Aus- und Weiterbildungsveranstaltungen vorgetragen. Der Gedanke liegt nahe, es brauchen nur entsprechende Kurse besucht, die dazugehörigen Handbücher gekauft zu werden und schon kann es losgehen. Doch: Weit gefehlt!

Die Wirklichkeit sieht anders aus: Häufig tun sich gerade dort nahezu unüberwindbare und fundamentale Hindernisse auf, wo die Theorie diese gar nicht als solche dargestellt hat. Ich musste erkennen, dass derzeit existierende Standardwerke nur bedingt für meine informationsorientierte Praxis geeignet sind. Die Ansätze dieser Bücher sind unterschiedlich, wobei sie allesamt einige Nachteile aufweisen: Jene Publikationen decken in vielen Fällen nur einzelne Bereiche eines Unternehmens ab. Zudem sind die Werke oftmals teuer, komplex und umfangreich, außerdem unflexibel, unvollständig, vergangenheitsbezogen und mitunter praxisfremd. Die Inhalte zielen auf ein Fachpublikum, Verständnis und Realisierung erfordern Expertenwissen.

All diese Mankos führen dazu, dass die Verwirklichung der beschriebenen Erkenntnisse sehr oft unnötig aufwendig, langwierig und teuer wird. Dies schreckt viele Betriebe ab. Tatsächlich wird im Sicherheitsbereich teilweise sehr verhalten vorgegangen¹.

Meint es dennoch eine Firma ernst mit dem Thema Informationssicherheit (in Folge InfSec genannt), erschreckt oft, wie stümperhaft agiert wird². Zurzeit erlebt die Sicherheitsbranche einen Boom. Viele einschlägige Firmen schießen förmlich aus dem Boden³. Teure und aufwendige Produkte versprechen wahre Wunder. Die Medien übertreffen sich gegenseitig mit Horrormeldungen⁴ hinsichtlich Sicherheitsverletzungen⁵. Spätestens seit bekannt wurde, dass die NSA flächendeckend elektronische Kommunikation⁶ überwacht und diese Tätigkeit möglicherweise auch Wirtschaftsspionage⁷ dient⁸, wurden viele Betroffene hellhörig⁹. Das Bekanntwerden von fundamentalen Sicherheitslücken¹⁰, welche die Grundfesten des Internets erschüttern¹¹ tun ihr Übriges, um auch den letzten Skeptiker von der Notwendigkeit ausreichender InfSec zu überzeugen¹².

Im Dezember 2015 einigte sich die EU auf das erste europäische Gesetz zur Cybersicherheit¹³. Demnach werden Firmen verpflichtet, bestimmte Sicherheitsmaßnahmen umzusetzen und Angriffe auf ihre Systeme zu melden.

Damit stellt sich für viele Unternehmen die Frage: Was tun? Aus Unkenntnis der tatsächlichen Bedrohungssituation¹⁴ erliegen viele Entscheidungsträger dynamischen Marketingstrategien diverser Anbieter. Viele Unternehmen geben unnötig eine Menge Geld aus, ohne im Endeffekt wirklich an Sicherheit zu gewinnen¹⁵. Das Ergebnis spiegelt sich nicht selten in mancher Hinsicht skurrilen Situationen, wie:

1 Eine Firma gibt Millionen für eine Alarmanlage aus. Nach einiger Zeit wird sie nicht mehr eingeschaltet, weil einige Fehlalarme aufgetreten sind. Hauptproblem ist fehlendes Personal, das zu jeder Zeit Ursachen der Meldung nachgeht. Weiters stellt sich heraus, dass Schnittstellen mit bereits vorhandenen Systemen nicht kompatibel sind. Deshalb wäre eine Neuanschaffung in zusätzlicher Millionenhöhe nötig, um volle Funktionalität aller vorhandenen Möglichkeiten zu erhalten.

1 Eine neue, sündteuere Zutrittsanlage wird angeschafft. Die Administration der Berechtigungskarten funktioniert aber nicht. Nicht mehr benötigte Berechtigungen bleiben aufrecht. Auf der einen Seite werden Ausweise von Leuten, die nicht mehr für das Unternehmen arbeiten, nicht eingezogen. Andererseits erhalten Besucher Zutrittskarten, obwohl sie gar nicht für diesen Betrieb arbeiten. Einfachheitshalber überlässt man sie der eigenen Verantwortung.

1 Hinzu kommt, dass zwar der Vordereingang gesichert ist, der Lieferantenzugang hingegen nicht überwacht wird. Bei Anlieferung hält ein Keil die Tür offen.

1 Nicht gerade billige Softwaretools sichern das Firmennetz gegen Hackerangriffe ab, doch innerhalb des Netzes herrscht vollständiges Chaos. Eine Vergabe für Zugriffsberechtigungen ist nicht geregelt, Benutzerkennzeichen ausgeschiedener Mitarbeiter bleiben ewig lange gültig, ein Berechtigungskonzept fehlt vollkommen. Nahezu jeder kann Daten, die gar nicht für ihn bestimmt sind, einsehen und manipulieren. Missbrauch ist Tür und Tor geöffnet.

Solche unnötigen Fehler passieren. Hohe Kosten entstehen, Gelder werden verschleudert, aber der Nutzen lässt zu wünschen übrig. Das muss nicht sein! Im Zuge meiner Tätigkeit habe ich die Erfahrung gewonnen, dass trotz verschiedenster Strategien, Branchen, Unternehmen, Nationalitäten und involvierter Menschen im Grund genommen immer gleichartige Anforderungen an die InfSec bestehen. Schenkt man diesen fundamentalen Ansprüchen genügend Aufmerksamkeit und hält sich dabei an einige grundsätzliche Prinzipien, lassen sich relativ schnell, einfach und kostengünstig gute Fortschritte erzielen.

In meiner Lektüre sind alle wesentlichen Aspekte der Standardliteratur extrahiert, zusammengefasst und leicht verständlich formuliert. Unnötiger Overhead an Inhalten wird vermieden. Aufwendige Prozeduren sind weitgehend vereinfacht, wodurch sie - Zeit und Kosten sparend, aber dennoch – wirksam umgesetzt werden können. Sämtliche aufgezählten Maßnahmen sind universell umsetzbar. Durch den umfassenden und kompakten Aufbau des Buchs ist es für den Leser möglich, rasch einen ausgiebigen Überblick über die gesamte Materie zu erlangen. Ich habe Wert darauf gelegt, eine praxisgerechte und realistische Einschätzung von Bedrohungen, Risiken und Kosten zu vermitteln. Wer weiss, wo wirklich Gefahren lauern und welche Mittel dagegen existieren, kann gezielt und angemessen agieren. Unternehmen, egal welcher Größe und Branche, haben die Möglichkeit, anhand beschriebener Prinzipien leicht zu erkennen, was zu beachten ist, damit sie rasch, wirksam und kostengünstig ein hohes Maß an Sicherheit erreichen.

Ein besonderes „Add-On“ stellt ein Abschnitt über Security-Controlling (siehe „Prozessoptimierung/Controlling“) dar. Dieses Thema ist in keiner mir bekannten Publikation zu finden. Mit Hilfe ausgewählter Steuerungsmechanismen ist es möglich, das Sicherheitsgeschehen aktiv zu gestalten und somit optimale Wertschöpfung zu lukrieren.

Zielpublikum

1 Leiter von Firmen (jeder Größe und Branche): Primär ist dieses Werk an Chef eines Unternehmens adressiert. Der Grund dafür liegt darin, dass der erste und wichtigste Schritt für weiteren Erfolg sein muss, die Geschäftsverantwortlichen für den Sicherheitsgedanken zu gewinnen. Die wohl größte Barriere für gelungen umgesetzte InfSec ist mangelndes Bewusstsein der Führungsebene¹⁶. Die Gunst des „Chief-Executive Officers“ (CEO) erlangt man allerdings nur dann, wenn er genau über die Kosten und den Nutzen von Security Bescheid weiß. Ist es ihm möglich, festzustellen, was ihm Risikomanagement bringt, und wie er mit wenig Aufwand einen effektiven Zustand erreicht, wird der die Unverzichtbarkeit von InfSec erkennen und diese vorantreiben.

1 Chief Information Officer (CIO) / Leiter Informationstechnologie (IT-Leiter, IT-Verantwortlicher): Die Hauptaufgabe eines CIOs ist die Sicherstellung des reibungslosen Betriebs der IT-Infrastruktur. Dazu zählen die Kernbereich der InfSec: Verfügbarkeit, Integrität, Vertraulichkeit. Damit liegt auf der Hand, dass ausreichendes Wissen bezüglich InfSec für einen CIO unumgänglich ist.

1 Sonstige Entscheidungsträger (Abteilungsleiter): Einige Unternehmen haben bereits Sicherheitsmaßnahmen etabliert und dafür Personal beschäftigt. In diesem Fall will jeder Entscheidungsträger wissen, wie effizient seine Mitarbeiter und die eingesetzten Methoden arbeiten. Bestehen eventuell Möglichkeiten, Kostensenkungen zu erzielen? Mittel und Wege, die diese Frage beantworten, sind in diesem Buch zu finden.

1 Sicherheitsbeauftragte: In den meisten Fällen ist davon auszugehen, dass der Topmanager die Sicherheitsaufgaben delegiert. Die Bezeichnung „Sicherheitsbeauftragter“ dient hier als Sammelbegriff für alle Tätigkeiten, die im Zusammenhang mit Aufbau und Aufrechterhaltung von InfSec stehen. In großen Unternehmen existieren spezielle Abteilungen wie „Revision“, „Security-Management“ oder „Datenschutzbeauftragter“, die sich mit Sicherheitsfragen beschäftigen. In kleineren Firmen werden diese Aufgaben oft von bereits bestehenden Stellen, wie z.B. der Computerabteilung mit erledigt. Für alle diese Personen hält dieses Buch universelle Inhalte bereit, die als Hilfe und Anregung, als Leitfaden, oder zur Nachschlagemöglichkeit dienen. Speziell für die Steigerung der Effizienz ihres Aufgabenbereiches finden sich eine Menge Tipps.

Konkrete Zahlen dienen einer besseren Argumentation gegenüber einerseits der Unternehmensleitung, die überzeugt werden muss, und andererseits alle sonstigen von InfSec berührten Personen, deren Kooperation ebenfalls zu gewinnen ist. Die beschriebenen Ausführungen sollen dem „Sicherheitsbeauftragten“ helfen, sein Leben zu erleichtern und sowohl seinen eigenen als auch den Erfolg der gesamten Firma zu sichern.

1 Consulting-Firmen: Die Beratungsbranche setzt große Hoffnungen in das Thema InfSec. Tatsächlich ist Outsourcing ein wichtiges Thema für Sicherheitsaufgaben. Beispiele hierfür wären Risikoanalyse oder Zertifizierung. Für Anbieter von InfSec-Diensten kann dieses Werk wertvolle Erkenntnisse liefern.

1 Sonstige: Natürlich sind auch alle sonstigen zu einem Unternehmen gehörige Stakeholder zumindest indirekt von Sicherheitsauswirkungen betroffen. Dazu zählen im weitesten Sinne Mitarbeiter, Kunden, Geschäftspartner, öffentliche Institutionen und Investoren. Informationstechnologie (IT) nimmt immer mehr Raum im Leben eines Jeden von uns ein. Privat- und Berufswelt verschmelzen zunehmend. Teleworking, mobile Dienste, Soziale Netzwerke oder Online-Geschäftsabwicklungen bieten hierfür gute Beispiele. Leider fehlen einer großen Zahl von Menschen Bewusstsein und Verständnis für Gefährdungsmöglichkeiten,¹⁷ die mit dieser Entwicklung verbunden sind. Unbedachte Handhabung neuer Technologien stellt eine große Gefahr für die Wirtschaft und letztendlich auch für jeden einzelnen Beschäftigten dar. Es darf nicht vergessen werden: Menschen zu überzeugen kommt billiger und effektiver, als Tools zu kaufen, die zur Überzeugung nötigen.

Auf der anderen Seite legen viele Internetbenutzer in puncto Websicherheit vor allem auf verstärkte Aufklärung wert¹⁸. Die Ausführungen dieses Buchs können helfen, auch diesem Personenkreis neue Perspektiven zu vermitteln.

Für das Verständnis des Buchinhaltes ist kein spezielles Vorwissen notwendig. Aus diesem Grund bietet diese Publikation Jedem, der sich für InfSec interessiert und effektive Orientierung sucht, die Möglichkeit, einen guten Überblick zu erlangen.

Grundsätzliches

Ursprünglich, als ich begonnen habe, dieses Buch zu schreiben, war es überwiegend für Fachleute ausgerichtet. Ich habe es damals als Checkliste für mich und meine Mitarbeiter konzipiert. Im Zuge des Schreibens habe ich zunehmend realisiert, nicht die Technik stellt das Problem dar, sondern das Verständnis des Managements und der Betroffenen. Um deren Gespür für InfSec zu wecken, habe ich versucht, das Thema allgemein, umfassend und etwas philosophisch zu behandeln.

Weitgehend wird darauf Wert gelegt, eine möglichst klare, einfache und verständliche Sprache, wenige Fremdwörter, Fachausdrücke oder Abkürzungen zu verwenden. Viele „neudeutsche“ Wörter und Wortkonstruktionen haben sich aber bereits in unserer Sprache eingebürgert. Vor allem im Wirtschaftsleben ist es nahezu unmöglich, Anglizismen zu ignorieren. Ein wenig „Fachchinesisch“ hat sich letztendlich zwangsweise doch eingeschlichen. In technisch-wirtschaftlichen Themen kommt es immer wieder vor, dass Wortzusammensetzungen Verwendung finden, die mitunter eine beachtliche Anzahl an Buchstaben vereinen. In solchen Fällen habe ich versucht den Lesefluss durch Verwendung von Abkürzungen dynamisch zu halten. Häufig vorkommende „Wortmonster“ sind durch eine Buchstabenkombination verkürzt. Beim ersten Vorkommen des jeweiligen Ausdrucks im Text steht in Klammer die gebrauchte Verknappung, die ab jener Stelle benützt wird. Um Unklarheiten auszuräumen, ist im Anhang ein „Abkürzungsverzeichnis“ angeführt.

Zu verwendeten Begriffen wäre noch zu sagen, dass die Fachliteratur häufig unterschiedliche Definitionen für ein und dasselbe Wort verwendet. Auf Begriffsbestimmungen habe ich größtenteils verzichtet. Verschiedene Vokabel sind in derselben umgangssprachlichen Bedeutung angewendet. Beispielsweise werden „Daten“, „Wissen“, „Angaben“, „Nachrichten“, oder „Botschaften“ allesamt als Oberbegriff „Informationen“ verstanden. Nur wenn es explizit erforderlich ist – etwa, um Mehrdeutigkeiten zu vermeiden – sind Wortbedeutungen für den dargestellten Zusammenhang definiert.

Wichtig scheint mir zu betonen, dass aufgrund der permanenten Weiterentwicklung der IT-Branche sich zwar die Bezeichnungen der eingesetzten Werkzeuge und Namen ändert, aber die dafür zugrunde liegenden Sicherheits-Prinzipien weitgehend gleich bleiben. Dazu drei Beispiele:

1. Die Businesswelt spricht momentan vom Zukunftsmarkt „Big Data“. Unter diesem Oberbegriff fallen einige bereits seit Jahren gebräuchliche Anwendungen mit Namen wie: Server-Farmen, IT-Dienstleister, Data-Mining, Data-Warehouse, Webanwendungen oder Cloud-Computing.

2. Der Einsatz „mobiler Geräte“ nahm eine Entwicklung von Laptops, Notebooks, Palmtops, Handhelds, Personal Assistants (PDA), Handy, Smartphone, Tablet oder Phablet.

3. „Informationsträger“ reichen von Diskette, CD, USB-Sticks über SD-Cards, etc., aber auch „mobile Geräte“.

Aber egal, wie die zeitgemäßen Titel der momentan gängigen Anwendungen oder Geräte lauten, die Anforderungen an die InfSec bleiben weitgehend immer dieselben. Aus diesem Grund habe ich versucht, möglichst zeitlose Benennungen zu verwenden, welche die beschriebenen Instrumente charakteristisch beschreiben. Fällt beispielsweise ein Name aus der zeitgemäßen Verwendung, wie „Phablet“, dann gelten dafür natürlich jene InfSec-Kriterien wie für die „mobilen Geräte“.

Noch ein Wort zum Thema Statistiken: Viele Publikationen zitieren alle Arten von Zahlensammlungen, um Ausführungen Glaubwürdigkeit und Nachdruck zu verleihen. Dies habe ich in diesem Buch bewusst vermieden. Ein befreundeter Wirtschaftsprüfer zitierte bei der Arbeit oftmals einen Spruch, der Winston Churchill zugeschrieben wird: „Ich glaube keiner Statistik, die ich nicht selbst verfälscht habe“. Dazu möchte ich nichts mehr hinzufügen.

Hinsichtlich Links erkläre ich hiermit ausdrücklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf den verlinkten Seiten erkennbar waren. Auf die aktuelle und zukünftige Gestaltung, Inhalte, Urheberschaft und Erreichbarkeit habe ich keinerlei Einfluss. Deshalb distanziere ich mich hiermit ausdrücklich von Inhalten aller Linkangaben, die nach der Linksetzung verändert oder nicht mehr erreichbar sind.

Abschließend möchte ich noch betonen, dass jedes Ding mehrere Seiten hat. Genauso verhält es sich mit dem zweifellos sehr komplexen Thema InfSec. Auch hier gibt es verschiedene Betrachtungsweisen und unterschiedliche Standpunkte. Diese Lektüre spiegelt meine persönliche Einstellung und Erfahrung wider. Es bleibt Jedem selbst überlassen, sich darüber seine eigene Meinung zu bilden.

Zuletzt noch eine Entschuldigung: Ich bin mir bewusst, dass unter den Lesern dieses Buchs auch zahlreiche Frauen sind. Dennoch ist im Text von „dem Benutzer“, „dem Anwender“, oder „dem Verantwortlichem“ die Rede, wenn ich keine geschlechtsneutrale Formulierung gefunden habe. Dafür bitte ich alle Leserinnen ausdrücklich um Entschuldigung. Ich kenne die Problematik, empfinde aber die ständigen Doppelkonstruktionen, wie „der/die Benutzer/in“, oder „BenutzerIn“ einfach sprachlich zu mühsam, sowohl zum Schreiben, als auch beim Lesen.

Jens Libmann 2016