ITIL® spricht im Service Design ausdrücklich die Informationssicherheit an, die abgestimmt sein muss auf die Unternehmenssicherheit. Das Management muss innerhalb eines Corporate Governance Frameworks die strategische Richtung vorgeben wie die Information Security Policy (z.B. Passwort-, Email-Richtlinien, Dokumentenklassifizierung) und das Information Security Management System (Standards und Verfahren zur Planung, Implementierung, Evaluierung, Verwaltung und Steuerung) aussehen muss.
Das Thema Informationssicherheit hat sich in den letzten Jahren aber dramatisch verändert. Angefangen mit den Enthüllung von Edward Snowden bis
hin zum Hackerangriff auf den Deutschen Bundestag. Ging es früher um die physische Sicherheit, unbefugtes Eindringen, Diebstahl von Zugangsdaten oder Rechnern, steht heute durch die Nutzung von
mobilen Geräten wie Smartphones oder Tablets und die Verwendung von Cloud Diensten vermehrt die Cyber Security im Vordergrund.
Aus diesem Grund werden klassische Sicherheitskontrollen wie Firewalls und Virenschutz im Hinblick auf Cyber Risiken zunehmend wirkungsloser. Angreifer führen heute die Angriffe geduldig und wohldurchdacht aus, mit innovativen Methoden. Darum wurde in den letzten Jahren an Standards wie der ISO 27000 Familie gefeilt, um der neuen Art der Bedrohung begegnen zu können. Auch das BSI hat sich der Thematik in zahlreichen Publikationen angenommen, z.B. „Informationssicherheit und IT-Grundschutz“.
Wie aber all die guten Ratschläge umsetzen und in einem Unternehmen implementieren?
Diese Frage stellte sich 2013 auch Barak Obama. Er erteilte die Order, Verbesserungen kritischer Infrastrukturen im Hinblick auf Cyber Security zu erarbeiten. Das Ergebnis stellte 2014 das National Institute of Standards and Technology (NIST) unter dem Titel „NIST – Framework for Improving Critical Infrastructure Cybersecutity“ vor.
Darauf aufbauend hat die ISACA 2015 einen Implementierungsleitfaden entwickelt: „Implementing the NIST Cybersecurity Framework using COBIT® 5”.
Das Framework ist ein risikobasierter Ansatz für die Verwaltung von Cyberrisiken. Ein umfassendes, unternehmensweites Risikomanagement ist deshalb unerlässlich und der Ausgangspunkt der Implementierung. Eine Möglichkeit dazu bietet „Management of Risk (M-o-R)“.
ITIL® weist immer wieder auf die Einbeziehung von Standards, Richtlinien und anderen Best Practises hin. Gerade im Thema Informationssicherheit wird dies deutlich. Ohne die Verbindung von z.B. NIST Cybersecurity, COBIT® 5 und M-o-R kann diesesThema überhaupt nicht vernünftig geplant und implementiert werden.
Die Information Security Policy (z.B. Passwort-, Email-Richtlinien, Dokumentenklassifizierung) ist für fast alle Unternehmen mittlerweile Standard. Dazu beigetragen hat mit Sicherheit das Bundesdatenschutzgesetz, das den Umgang mit personenbezogenen Daten regelt. Viel schwerer tun sich die Unternehmen mit dem Information Security Management System, den Standards und Verfahren zur Planung, Implementierung, Evaluierung, Verwaltung und Steuerung der Informationssicherheit. ITIL® sagt wenig oder gar nichts, wie dies umzusetzen ist.
An dieser Stelle hilft COBIT® 5und NIST Cybersecurity. COBIT® 5 hat 7 Implementierungsphasen, NIST Cybersecurity 7 Implemtierungsschritte.Beide geben klare Anweisungen, was in jedem Schritt zu tun ist. In Schritt 1 wird z.B. auf die Verantwortung des Managements verwiesen und wie die wahrgenommen werden muss. Schritt 4 führt ein umfassendes Risiko Assessment durch, das Grundlage für die nachfolgenden Aktivitäten identifizieren, schützen, ermitteln, reagieren, retten ist.
Unternehmen haben verstanden, dass Informationen (überlebens-) wichtige Güter sind, die unbedingt geschützt werden müssen. Unternehmen müssen aber verstehen, dass Informationssicherheit sich ständig an neue Gegebenheiten anpassen und sich ständig weiterentwickeln muss. Mobile Geräte, jederzeit verfügbare Daten erleichtern die Arbeit. Auf der anderen Seite ergeben sich dadurch neue Angriffsflächen. In Zukunft muss nicht nur auf die physische Sicherheit der Informationen geachtet werden, sondern die virtuelle Sicherheit der Informationen rückt mehr und mehr in den Focus. Einzelne Frameworks oder Standards alleine helfen nicht weiter. Es bedarf einer Kombination aus Frameworks und Standards, anpasst auf die Bedürfnisse eines Unternehmens, um die wichtigsten Informationen zu schützen.
Autor: Dr. Guido Hoffmann
Juni 2015
Kommentar schreiben