28 KRITISCHE INFR A STRUK TUREN IT-Sicherheit unter der Kosten- und Effizienz-Lupe Seit 2015 sind in Deutschland mit der Verabschiedung des Gesetzes zum Schutz kritischer Infrastrukturen die entsprechenden Einrichtungen zur Einhaltung von IT-Mindestschutzmassnahmen verpflichtet. Zusätzlich müssen Betreiber von KRITIS, das wären SKI in der Schweiz, IT-Sicherheitsvorfälle wie beispielsweise Hackerangriffe an das Bundesamt für die Sicherheit in der Informationstechnik melden. Höchste Zeit, die eigene Informationssicherheit zu überprüfen. Von Almut Eger und Jörg Kretzschmar S Was gilt es durch «IT-Sicherheit» zu schützen? Unternehmen und staatliche Einrichtungen investieren jedes Jahr viel Geld in Firewalls, Virenschutz-Programme und IDS-Systeme (Intrusion Detection System), Wachdienste und Videoüberwachung. Doch wenn die Frage aufkommt, welche Daten überhaupt geschützt werden sollen, wird oft mit dem «Alles oder Nichts»-Gedanken argumentiert: In der Mehrheit der Betriebe wird ein umfassender Schutz angestrebt, was hohen personellen und finanziellen Aufwand bedeutet. Man trifft auch auf das Gegenteil, die eher fatalistische Einstellung: Was technisch nicht abgefangen werden kann, kann auch organisatorisch nicht ausreichend geschützt werden. Und die dritte Variante: Es herrscht betretenes Schweigen. Allen drei Reaktionsmustern gemeinsam ist das Unwissen, welche Daten besonders schützenswert sind und welche 1/16 © depositphotos chon vergleichsweise kleine Störungen in der IT in Betrieben der kritischen Infrastruktur können zu erheblichen wirtschaftlichen Schäden führen und damit Auswirkungen auf weite Teile der Bevölkerung nach sich ziehen. Daher ist der Schutz kritischer Infrastrukturen enorm wichtig. Mit dem ITSicherheitsgesetz in Deutschland hat man letztes Jahr den ersten Schritt in diese Richtung getan. Nachfolgend liefern die Autoren erste Erkenntnisse und Ideen zur Umsetzung in Richtung einer kosteneffizienten IT-Sicherheit in Deutschland und der Schweiz. nicht. Und ein Unbehagen: IT ist nicht nur ein grosser Kostenblock, sondern zunehmend auch das «Rückgrat» der Kommunikation und des Informations- und Datenmanagements. Umso wichtiger ist es, IT generell organisatorisch und technisch nachhaltig sicher und «wasserdicht» abzusichern. An dieser Stelle sollen Beispiele aus der Praxis zeigen, wie dem «Kostenblock IT» begegnet wird, um daraus KostenNutzen-Überlegungen zu formulieren. Dazu wurden bewusst Beispiele von Betrieben gewählt, die der kritischen Infrastruktur zugeschrieben werden, sowohl aus Deutschland als auch der Schweiz. Namen werden keine genannt, die Beispiele sollen denn auch kein Fingerzeig sein, sondern zur Reflexion über die eigene Situation anregen. Die Komplexität der IT-Sicherheit zählt übrigens zu den Top-Themen, die den Sicherheitschefs am meisten Kopfschmerzen bereiten. Investition in IT-Sicherheit mit positiven Nebeneffekten 1. Nebeneffekt − Vermeidung von redundanten Daten und Prozessen: Bei der Einführung eines umfassenden Infor mationssicherheits-Managementsystems (ISMS) bei einem Energieversorger wurde gleich zu Beginn der Projektumsetzung festgestellt, dass der Kunde Wartungskosten für IT-Systeme zahlt, die er nicht mehr im Einsatz hat. Gleichzeitig wurde ein signifikanter Teil des IT-Budgets für den Betrieb von redundanten Systemen investiert, die nach Analyse der Anforderungen keinerlei Relevanz für die Unternehmensprozesse hatten und der IT-Service damit gar nicht notwendig war. Als Ergebnis erreichte man eine Einsparung von über 300 000 Euro pro Jahr bei einer einmaligen Investition von 45 000 Euro. Neben der finanziellen Einsparung ist der Kunde von nun an in der Lage, zukünftig fachliche Prozesse ziel- 29 gerichtet mit IT-Investitionen zu optimieren. In einem anderen Projekt brachte die Analyse kritischer Geschäftsprozesse in einem psychiatrischen Krankenhaus hervor, dass u. a. eine redundante Labordiagnostik aufgebaut und betrieben wurde. Dies geschah, obwohl sich in nur 20 Kilometern Entfernung ein externes Labor mit gleicher fachlicher Ausrichtung befindet. Das Einsparungspotenzial hier belief sich auf mehr als 25 000 Euro. 2. Nebeneffekt − Transparenz und Sicherheit in der eigenen Organisation: Inzwischen sollte jedem bewusst sein, dass bei der IT-gestützten Kommunikation die Information den Adressaten nicht sicher und geschützt vor Zugriffen Dritter erreicht. Da der Wert der Unternehmen immer mehr in den Informationen begründet ist, wie etwa den Geschäftsdaten, Ergebnissen aus Forschung und Entwicklung, Wissen der Mitarbeitenden, Umsatzzahlen sowie Geschäftskommunikation, sollte man darüber nachdenken, wer diese Informationen bekommen darf und wer besser nicht. Der Schutzbedarf wird überdeutlich, blickt man allein auf die Unternehmen, die im letzten Jahr von Hackerangriffen oder Manipulationen derart getroffen wurden, dass ihre Existenz am Markt auf dem Spiel stand oder einige deswegen sogar komplett vom Markt verschwunden sind. Investition in IT als Teil einer integrierten Sicherheit Der Ansatz der integrierten Sicherheit trägt dazu bei, dass ganz verschiedene Unternehmensbereiche sich mit dem Thema der Sicherheit von Daten, Kommunikationswegen etc. befassen. Und zwar auf technischer, prozessualer, organisatorischer und personeller Ebene. Das führt zu einem hohen Bewusstsein der Anforderungen an Schutzziele, Leistungen und Prozesse, und somit zu einer resili enten IT-Infrastruktur im Unternehmen. Unternehmenskritische Faktoren Die Zertifizierung nach ISO 27001 bedeutet also für die Unternehmen eine Chance. War es in der Vergangenheit möglich, ISO 27001 einzuführen ohne substanziellen Einbezug einer breiten Mitarbeiterbasis, so ist das heute nicht mehr möglich. Es ist auch nicht ratsam. Denn bei Organisationen, die lediglich einmalig «das Zertifikat» erlangen wollen und dafür eine hohe Summe an Geld investieren, bleibt Informationssicherheit eine reine «Chefsache». Die Umsetzung durch die Mitarbeitenden, integriert in den Alltag als eine Selbstverständlichkeit, fehlt noch. Somit stehen die Unternehmen vor Mitarbeitenden, die nicht verstehen, dass das Umsetzen von Massnahmen zur Informationssicherheit die Werte der Firma schützt und gleichzeitig die Sicherung des eigenen Arbeitsplatzes mit sich bringt. Diese Firmen spielen Russisch Roulette in der Hoffnung, dass am Ende des Tages schon nichts passieren wird. Die ISO 27001 verbindet die Prozesssicht mit der Sicht der IT. Wenn man nicht weiss, welche Informationen wie verarbeitet und verwendet werden, dann ist ein Schutz von unternehmenskritischen Daten schlicht und einfach nicht möglich. Wenn niemand im Unterneh- 1/16 31 Ebene Mögliche Rollen (Auswahl) Schritte im PDCA-Zyklus Steuerung IT-Sicherheitsmanager IT-Risikomanager IT-Sicherheitsbeauftragte Verbesserung und Kontinuierliche Weiterentwicklung Leitung Informationssicherheitsmanagement-Team Informatik-Manager Informationssicherheitsbeauftragte Ausführung Bereichs-IT-Sicherheitsbeauftragte Applikations-/Projektverantwortliche Informatik-Manager Controlling IT-Sicherheits-Gremium IT-Revisor Datenschutz-Beauftragter / Geheimschutzbeauftragter Umsetzung anordnen Durchführen Tests & Übungen Messen & bewerten Zielerreichung Mögliche Rollen im Informations-Sicherheits-Management-System ISMS im Überblick Mögliche Rollen im Informations-Sicherheits-Management-System ISMS im Überblick men unterhalb der Geschäftsführungsebene für seine Arbeit verantwortlich ist, dann sind unternehmenskritische Faktoren wie Compliance und Verantwortung der Mitarbeitenden für ihre tägliche Arbeit nicht durchsetzbar. Erst wenn mir als Mitarbeiter klar ist, dass ich für einen bestimmten Bereich verantwortlich bin, werde ich dementsprechend handeln. der achsel zuckend dasass und nicht weiterwusste. « © Almut Eger, 4 Management 2 Security Gesetz zum Schutz kritischer Infrastruk turen – und nun? Beispiel: IT- Sicherheit ist (nur) Chefsache In einem Unternehmen der Telekommunikationsindustrie mit über 650 Mitarbeitenden sollte im Rahmen eines ISMS-Projektes festgelegt werden, welche Personen die Prozessverantwortlichen und welche Mitarbeiter der IT für welche Systeme zuständig sind. Dies war schlichtweg unmöglich, weil laut Handbuch die Geschäftsleitung allein für alle Prozesse verantwortlich zeichnete. Das ist eine nicht unübliche Praxis, jedoch funktioniert sie nur, wenn die Umsetzung linear beauftragt und in der Matrix verankert ist. Das war hier nicht der Fall, und so fühlte sich keine Person imstande, Informationen zusammenzuführen, weil keine Verantwortlichkeiten festgelegt waren. Die Aufgaben wurden lediglich weiter delegiert bis hin zum schwächsten Glied in der Kette: einem Mitarbeiter, » Mit hoher Awareness zu mehr Informationssicherheit Mit der Revision der ISO-Normen (unter anderem ist auch die Reihe der ISO 27001 ff. davon betroffen) soll erreicht werden, dass ohne bewusste Verankerung im Unternehmen, also ohne klare Zuweisung von Aufgaben sowie Verantwortungen und Kompetenzen, kein Managementsystem mehr erfolgreich zertifiziert werden kann. Das heisst auch, dass kein Sicherheitssystem mehr ohne diese Komponenten als solches bestehen kann; rein technisch nicht, rein informatikgesteuert nicht und rein organisationsgesteuert nicht. Es braucht alle Komponenten, in gegenseitiger Unterstützung. Mit intelligenter Software zu mehr Informationssicherheit Das deutsche Gesetz zur Erhöhung der Si- cherheit informationstechnischer Systeme zielt darauf ab, die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürgerinnen und Bürger im Internet zu verbessern. Dadurch soll die digitale Infrastruktur Deutschlands zu den sichersten weltweit gehören. Etwa 2000 Unternehmen sind in Deutschland von diesem Gesetz betroffen und müssen handeln. Wie kann diese Sicherheit erreicht werden? Effizient und zielgerichtet innerhalb der betriebseigenen Prozesse und Organisationsstrukturen? Einerseits mittels gut durchdachter und von allen gelebter Verankerung von Rollen und Zuständigkeiten. Andererseits sind die Applikationen und Basisdienste so komplex und in gegen seitigen Abhängigkeiten vernetzt, dass Software vorzugsweise mit einer Software überwacht und bewirtschaftet wird. Es muss aber eine Softwarelösung sein, mit der die Komplexität transparent und fassbar wird. Und eine, die nicht nur die Softwarekomponenten abbildet, sondern auch die zugehörigen Rollen und Abhängigkeiten innerhalb der Geschäftsprozesse. Erst dann ergibt sich reell der umfassende Ansatz zum IT-Schutz, den die Regulatorien anstreben. Bislang gibt es nur sehr wenige Lösungsmöglichkeiten, die zu solch einem 1/16 32 KRITISCHE INFR A STRUK TUREN Ziel führen. Ein Beispiel einer effizienten Unterstützung und damit im Ereignis schnellen Handlungsmöglichkeit sei nachfolgend skizziert (Name kann bei Autoren erfragt werden). Die Basis ist ein einfaches, effizient strukturiertes Tool zur Erstellung einer Notfallplanung in einer praxisorientierten und praxiserprobten Vorgehensweise. Die unternehmensspezifischen Strukturen werden mit erfreulich geringem Aufwand in der Software abgebildet, seien sie noch so komplex. Denn der Aufbau erfolgt entlang der relevanten Prozesse, Zuständigkeiten und Aufgaben. Damit wird gleichzeitig lückenlos verankert, −− wer für die Fortführung respektive die Wiederaufnahme eines IT-Prozesses / -Betriebes mit welchen Aufgaben betraut ist, −− in welcher Reihenfolge und Priorität es zu geschehen hat −− und welche Abhängigkeiten dabei zu berücksichtigen sind. Weiter ist mit diesem Vorgehen auch die erforderliche Dokumentation abgedeckt, in dem die Notfall- und Wiederanlaufpläne zusammen mit den erforderlichen Prozessen, Abläufen und organisatorischen Verantwortlichkeiten in einem massgeschneiderten Notfallhandbuch ausgedruckt oder digital verwaltet und gepflegt werden können. Tool zur Abbildung eines IT-Sicherheitskonzepts Interessant und hilfreich wäre auch ein IT-Tool zur Abbildung eines zertifizier baren IT-Sicherheitskonzepts. Welcher Standard sollte dabei berücksichtigt werden? ISO/IEC 27001, der ITGrundschutz mit den Katalogen 100-1 bis 100-4 des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) oder das Österreichische Informationssicherheitshandbuch V4? Im Grundsatz fordern alle die gleiche Transparenz zum Verwalten und Weiterentwickeln von Sicherheitskonzepten für die im Einsatz stehenden Softwarelösungen und den gegenseitigen Abhängigkeiten sowie – und damit wäre man wieder in der Organisation angelangt – den Bedeutungen und Abhängigkeiten in den Rollen und Prozessschritten. In Deutschland ist seit 2015 ein Tool auf dem Markt, das explizit die Forderungen des ISO/IEC 27001 und des BSI IT 1/16 Grundschutzes mit den Katalogen 100-1 bis 100-4 abdeckt. Damit sind auch die Grundzüge des ISO/IEC 27001 berücksichtigt. Die ersten Praxistests sind vielversprechend. Die Abhängigkeiten von IT-unterstützten Prozessen, gerade bei Betrieben der kritischen Infrastruktur, werden immer einzigartiger und frappant sicherheitsrelevant. Und sie beschränken sich nicht mehr auf betriebsinterne Strukturen, sondern beziehen mehrere aussenstehende Betriebe mit ein. Diese Zulieferer, Betreiber und Provider müssen genauso im Managementsystem ISMS gebührend beachtet werden. Man ist sogar versucht zu sagen, es bräuchte für den Betrieb der kritischen Infrastrukturen Schweiz, also für Spitäler, für Versorgungswege von Strom, Wasser, Güter, für Transportachsen und Kommunikationswege, ein zentral gesteuertes übergeordnetes Managementsystem ISMS. Dieses könnte alle prozessualen, organisatorischen und technischen Abhängigkeiten bezüglich IT für Basissysteme, Kommunikations- und Datenaustauschlösungen sowie für Support und Notfallteams begleiten. Davon ist man aber weit entfernt. Die aktuelle Entwicklung läuft sogar in die entgegengesetzte Richtung: Je komplexer Abhängigkeiten sind, umso zerstückelter wird ein Controlling vorgenommen. Der Perimeter wird nur bis zum nächsten Prozessknotenpunkt gelegt. All die genannten Beispiele zeigen auf, dass gerade dies in der vernetzten Welt nicht mehr ausreicht. Im kleinen, unternehmensbezogenen Rahmen gibt es Möglichkeiten, dieser Einschränkung nicht zu verfallen. Zum Beispiel existiert ein Tool, das nicht nur im Aufbau, sondern auch im Betrieb eines ISMS fortlaufend Auskunft über den aktuellen Stand und die weitere Entwicklung der Informationssicherheit gibt. Dies geschieht unter anderem via einer Verbindung zur Active Directory, womit die entsprechenden Verantwortlichkeiten und Abhängigkeiten gepflegt und sehr zeitnah und aktuell zur Verfügung stehen. Die Auswertungen beschreiben den realen und aktuellen Ist-Zustand der Informationssicherheit im Betrieb. Ausserdem wird damit auch gleich eine automatisierte Schnittstelle geboten, mit der die Bereitstellung und Pflege der Assets einfach bewirtschaftet werden kann. Fazit Entscheidend für die Zukunft von Unternehmen ist es, wie sie sich auf die schnelle und ständige Veränderung in den Anforderungen zum Schutz der Werte eines Unternehmens einstellen. Eine rein technische Lösung für all diese Veränderungen wird es nie geben können. Klare Strukturen im Unternehmen und transparente Prozesse erhöhen nicht nur die Effektivität und das Ergebnis, sondern schaffen auch mehr Sicherheit. Wenn durch den Einsatz effizienzsteigernder IT-Massnahmen Mitarbeitende eingespart werden, dann sollten die IT-Abteilungen trotzdem in der Lage sein, ihre Aufgaben sicher und zielgerichtet umzusetzen: mit fachlicher Unterstützung aus den einzelnen Unternehmenseinheiten. «Kritische Infrastrukturen» und «IT Grundschutz» gehören wohl momentan zu den meist gebrauchten Wörtern der IT-Branche in der Schweiz oder in Deutschland. Diese Themen sollten aber nicht nur als Kostenpunkt gesehen werden, denn sie bieten diverse Möglichkeiten für erhöhte Resilienz: Einerseits können durch Vermeidung von redundanten Daten Kosten eingespart werden, andererseits werden transparente Strukturen und Rollenzuteilungen das Ergebnis und die Sicherheit steigern. Wenn also die IT-Prozesse einmal ordentlich implementiert sind, kann auf diese Weise sehr viel Geld eingespart und die Resilienz gesteigert werden. n ALMUT EGER ist Referentin und Trainerin für Notfall-/ Krisenmanagement und BCM bei 4m2s – 4 Management 2 Security GmbH, Zürich und Frankfurt. JÖRG KRETZSCHMAR ist Senior Consultant für das Aufsetzen einer Notfallplanung und die Einführung eines Notfallmanagements in Unternehmen und Behörden für die Firma Contechnet Ltd., Sehnde bei Hannover.
© Copyright 2024 ExpyDoc
