Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 45

Der Faktor „Zeit“ spielt bei der Berücksichtigung aller Ressourcen eine große Rolle. Dies nicht nur im Sinne von „Zeit ist Geld“ - dieser Aspekt ist ja bereits im vorangehenden Abschnitt Finanzielle Ressourcen behandelt, sondern in Bedeutung von Dauer. Dieser Hinweis soll verdeutlichen, dass sich InfSec nicht von heute auf morgen einrichten lässt, sondern eine nicht zu unterschätzende Frist in Anspruch nimmt. Alle Planungs- und Umsetzungsphasen erfordern eine gewisse Weile, die sich je nach Umfang, durchaus im Bereich von Monaten, oder sogar Jahren bewegt. Das bedeutet, es muss genügend Zeitraum zur Verfügung stehen, um gesetzte Ziele auch tatsächlich erreichen zu können. Der in Anspruch genommene Abschnitt wirkt sich direkt proportional auf Ressourcen aus. Erfahrungsgemäß versanden immer wieder Sicherheitsbemühungen, weil die Zeitdauer nicht entsprechend berücksichtigt wird. Alle betroffenen Mitarbeiter benötigen genügend Spielraum zur Erledigung sicherheitsrelevanter Tätigkeiten. Daher muss die Zeitgröße logischerweise in der Personalplanung ausreichend berücksichtigt werden. Nur wenige (vornehmlich große) Firmen haben die Möglichkeit, hauptberufliche Stellen für InfSec bereitstellen zu können. Im Allgemeinen werden Sicherheitsaufgaben von Mitarbeitern neben ihren originären Aufgaben wahrgenommen. Sehr oft rufen Engpässe bei der Bewältigung der Aufgaben Arbeitsüberlastung und Stress bei den Betroffenen hervor. Die Mitarbeiter wissen dann nicht, wo sie zuerst beginnen sollen. Ein derartiger Zustand wird ein großes Risiko für das Unternehmen. Der Aufwand für zusätzliche Security-Obliegenheiten muss in allen Fällen entsprechend berücksichtigt und geplant werden. Neben der täglichen Aufgabenplanung bedarf es eines Zeitpuffers für InfSec. Im Vorhinein kann niemand wissen, ob unvorhergesehene Zwischenfälle eintreten.

Dazu ein oftmals beobachtetes Beispiel aus der Praxis: Ein Mitarbeiter der Netzwerkabteilung betreut zusätzlich die Firewall des Unternehmens. Nachdem er diese konfiguriert hat, bleibt ihm gerade genug Spielraum für deren Betrieb. Die für die InfSec wichtige Kontrolle der Logfiles kann er nicht durchführen, weil er mit anderen Aufgaben im Netzwerkbereich belastet ist. Dadurch bleiben mögliche Angriffe und Eindringlinge in die Systeme unentdeckt.

Der sichere Zustand eines Unternehmens muss permanent beobachtet werden. Wird keine Kontrollfunktion wahrgenommen, dann sind alle Aufwände erfahrungsgemäß vergeblich. Was nützen die besten Maßnahmen, wenn nicht überprüft wird, ob sie umgesetzt werden und auch zielführend sind?

Ein anderes Beispiel für einen gefährlichen Risikobereich bietet die Arbeit der IKT-Systemadministratoren. Viele Angriffe aus dem Internet werden erst möglich, weil bereits entdeckte Schwachstellen nicht ausgebessert werden. Das Ändern von Systemkonfigurationen und Einspielen vorhandener Patches ist besonders in komplexen Computersystemen ein zeitaufwendiger Vorgang. Das Problem hierbei ist, dass Hacker gegenüber den verantwortlichen Administratoren sehr wohl die notwendige Zeit zur Verfügung haben, um Schwachstellen zu finden.⁵⁷ Was dabei rauskommt, kann man nahezu täglich in der Zeitung lesen⁵⁸.

Derartige Situationen, die in mangelnder oder falscher Zeitplanung wurzeln, verursachen unnötig ein großes Risiko. Derlei könnte sich durchaus leicht vermeiden lassen, wenn wichtige InfSec-Aufwendungen rechtzeitig in der Personaldisposition berücksichtigt würden.

Zeit spielt auch bei Schulungen eine wichtige Rolle. Notwendiger Schulungsbedarf muss rechtzeitig eingeplant werden. Fehlbedienung aufgrund mangelnden Wissens ist eine der häufigsten Schadensursachen. Vor allem sicherheitsgerechte Handhabung der Arbeitsumgebung und Reaktion in Notfällen (z.B. Fluchtwege, Verhaltensweisen bei Feuer, Notfall-Meldesystem und dergleichen) müssen bei jedem Beschäftigten in Fleisch und Blut sitzen. Ansonsten kann es im Anlassfall sehr gefährlich werden.