IT-Sicherheitsmanagement

 

ISMS ist ChefsacheIT-Sicherheit ist zuallererst Chefsache und eine Managementaufgabe. Mit meiner Beratung zum IT-Sicherheitsmanagement helfe ich Unternehmen, ein IT-Sicherheitsmanagementsystem (ISMS) zu etablieren, zu kontrollieren und weiterzuentwickeln. Dabei arbeite ich in der Rolle eines IT-Sicherheitsbeauftragten (ISB) nach den Regeln des Bundesamtes für Sicherheit in der Informationstechnik.

In meiner Rolle als ISB habe ich eine steuernde und koordinierende Funktion. Mein Auftrag ist es, für ein angemessenes Niveau der Informationssicherheit zu sorgen.

Meine Aufgaben als ISB wird vom BSI mit dem Standard des IT-Grundschutz 200n beschrieben. Im folgenden erläutere ich Ihnen einige, aber nicht alle Augaben des ISB. Meine Auswahl beschränkt sich auf die Aufgaben, die in der Praxis die größte Relevanz besitzen. 

Die Entwicklung der Sicherheitsleitlinie steuern

Das Bild zeigt die Einflussfaktoren der Sicherheitsleitlinie Informationssicherheit im Unternehmen ist Chefsache. Jedes Unternehmen sollte eine Sicherheitsleitlinie haben, die von der Geschäftsleitung herausgegeben wird und den Stellenwert der Informationssicherheit für alle Mitarbeiter sichtbar dokumentiert.
Als ISB steuere ich die Entwicklung bzw. Weiterentwicklung der Sicherheitsleitlinie.
Diese Leitlinie ist ein Dachdokument, das die Geschäftsziele und Geschäftsprozesse des Unternehmens darstellt und einige damit verbundene wichtige Fragen klärt:

Warum sind die genannten Geschäftsprozesse wichtig? 
Wie hoch ist der Schutzbedarf der zu ihnen gehörenden Daten? 
Welcher Schaden könnte für das Unternehmen durch einen Sicherheitsvorfall entstehen? 
Welche Sicherheitsziele verfolgt das Unternehmen?
Welche Sicherheitskonzepte werden dazu entwickelt?
Welche Personen sind für die Sicherheit verantwortlich?
Welche Verantwortung tragen alle Mitarbeiter gemeinsam?

Die Entwicklung von Sicherheitskonzepten und Richtlinien steuern

Darstellung der Konzeptarbeit
Sicherheitskonzepte und Sicherheitsrichtlinien müssen in allen Ebenen des Unternehmens etabliert werden.
Als ISB steuere ich ihre Entwicklung bzw. Weiterentwicklung. Im folgenden finden Sie einen Auszug aus dem umfangreichen Aufgabenspektrum.
 
Die Organisationsstruktur auf die Sicherheitsziele ausrichten
  Organisation: Im Unternehmen muss eine Organisation etabliert werden, die dazu dient, den Informationssicherheitsprozess in geeigneter Weise zu steuern. Dazu müssen Verantwortlichkeiten, Informationsflüsse, Prozesse und Rollenverteilungen geregelt werden.
Personal: Personelle Sicherheitsmaßnahmen müssen eingeführt werden, damit die Mitarbeiterinnen und Mitarbeiter sicher mit den Informationen des Unternehmens umgehen und sich so verhalten, wie es den Sicherheitszielen des Unternehmens und den Sicherheitsanforderungen der zu schützenden Informationen entspricht.
Berechtigungsmanagement: Das Berechtigungsmanagement muss sicherstellen, dass Benutzer oder auch IT-Komponenten ausschließlich auf die IT-Ressourcen und Informationen zugreifen können, die sie für ihre Arbeit benötigen und für die sie autorisiert sind, und unautorisierten Benutzern oder IT-Komponenten den Zugriff zu verwehren.
Sicherheitskonzepte entwickeln
  Kryptographie: Im Unternehmen müssen sensible Informationen kryptografisch abgesichert (verschlüsselt) werden.
Datenschutz: Im Unternehmen muss das Standard-Datenschutz-Model umgesetzt werden. Als ISB arbeite ich in diesem Punkt mit dem Datenschutzbeauftragten eng zusammen.
Datensicherung: Im Unternehmen muss ein geeignetes Konzept zur Datensicherung umgesetzt werden.
Standard-Software und Fachanwendungen: Im Unternehmen müssen Schutzmaßnahmen ergriffen werden, damit Standardsoftware und Fachanwendungen auf sichere Art geplant, beschafft, betrieben und ausgesondert werden können. Übergeordnetes Ziel ist dabei, die mit der Software verarbeiteten Informationen zu schützen.
Den operativer Betrieb absichern
  Administration: durch eine ordnungsgemäße IT-Administration müssen alle Sicherheitsanforderungen von IT-Anwendungen, -Systemen und Netzen erfüllt werden.
Patch- und Änderungsmanagement: Es muss ein funktionierendes Patch- und Änderungsmanagement aufgebaut und die entsprechenden Prozesse kontrolliert und optimiert werden.
Schadprogramme: Ein Konzept zum Schutz gegen Schadprogramme muss erstellt und umgesetzt werden, um das Unternehmen effektiv gegen Schadprogramme zu schützen.
Protokollierung: Die Daten aller sicherheitsrelevanten Ereignisse müssen erhoben, gespeichert und geeignet für die Auswertung bereitgestellt sowie ordnungsgemäß entsorgt werden.
Archivierung: Dokumente müssen langfristig, sicher, unveränderbar und wieder reproduzierbar archiviert werden können.
Informationsaustausch: Der Informationsaustausch und Datenträgeraustausch zwischen verschiedenen Kommunikationspartnern und IT-Systemen muss abgesichert werden.
Telearbeit: Der Schutz der Informationen, die während der Telearbeit gespeichert, verarbeitet und übertragen werden, muss sichergestellt werden.
Outsourcing: Es muss sichergestellt werden, dass alle Sicherheitsziele des Unternehmens auch nach der Auslagerung von Geschäftsprozessen oder Dienstleistungen an einen Outsourcing-Dienstleister erfüllt werden.
Sicherheitsrelevante Vorfälle erkennen, untersuchen und Verbesserungen ableiten
  Detektion von sicherheitsrelevanten Ereignissen: Informationen müssen gesammelt, korreliert und ausgewertet werden, um sicherheitsrelevante Ereignisse möglichst vollständig und zeitnah zu detektieren.
Behandlung von Sicherheitsvorfällen: Ein funktionierendes Konzept zur Behandlung von Sicherheitsvorfällen muss erstellt und umgesetzt werden.
Vorsorge für die IT-Forensik: Es müssen geeignete Vorsorgemaßnahmen getroffen werden, um IT-forensische Untersuchungen zu ermöglichen.
Bereinigung weitreichender Sicherheitsvorfälle (APT - advanced persistent thread): Ein funktionierendes Konzept zur Bereinigung von IT-Systemen nach einem APT-Angriff muss umgesetzt werden, um den regulären und sicheren Betriebszustand des Informationsverbunds wiederherzustellen.
Audits und Revisionen: Audits und Revision müssen geplant werden mit dem Ziel, die Informationssicherheit im Unternehmen zu verbessern, Fehlentwicklungen zu vermeiden und Sicherheitsmaßnahmen und -prozesse zu optimieren.
Notfallmanagement: Die Informationssicherheit muss selbst in kritischen Situationen gewährleistet werden. Dazu sind die entsprechenden Maßnahmen in ein ganzheitliches Kontinuitätsmanagement einzubetten und alle Aspekte zu betrachten, die erforderlich sind, um die Informationssicherheit auch bei Eintritt eines Schadensereignisses aufrechterhalten zu können.

 

Projekte für IT-Sicherheit initiieren, planen und steuern

Darstellung der Merkmale eines Agilen ProjektesViele Jahre habe ich Projekte in der Softwareentwicklung großer Unternehmen nach traditionellen Methoden gesteuert. Dann habe ich das Agile Projektmanagement kennen und schätzen gelernt.  
Diese Methodik ist auch im Bereich der Informationssicherheit besonders effizient.
Warum?
Die Umsetzung von Anforderungen zur Informationssicherheit betrifft in erster Linie die Mitarbeiter im eigenen Unternehmen, und zwar in beiden Rollen: sie sind zum einen die Leistungserbringer, also diejenigen, die Sicherheitsmaßnahmen implementieren und im Unternehmen einführen. Andere Mitarbeiter sind die Kunden, also diejenigen, die nach den eingeführten Maßnahmen arbeiten sollen.
Agile Projekte schaffen  zwischen Leistungserbringern und Kunden einen sehr intensiven Austausch. Erweiterungen und Änderungen  werden in regelmäßigen und dabei kurzen Abständen ausgeliefert. In den Agilen Prozess von Entwicklung, Qualitätssicherung und Auslieferung wurde  eine stetige Selbstkontrolle zwischen Leistungserbringern und Kunden eingebaut. Dadurch werden Agile Projekte im Laufe der Zeit beständig effizienter und die Zufriedenheit aller Beteiligten – Kunden und Leistungserbringer – wächst.

Sensibilisierungs- und Schulungsmaßnahmen initiieren und koordinieren

Personen in einer SchulungRegelmäßige Schulungen, die Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren und zu motivieren. Darum sind sie sehr wichtig.
Schulungsmaßnahmen müssen dabei genau auf die Bedürfnisse der einzelnen Mitarbeitergruppen ausgerichtet sein. Dazu empfehle ich 2 Methoden:
1.    Workshops in Form eines Klassenraums. Alle Mitarbeiter nehmen gemeinsam an dem Workshop teil. Die Vermittlung der Lerninhalte wird von einem intensiven Austausch der Mitarbeiter untereinander begleitet.
2.    Online-Trainings. Diese Trainings werden im Intranet des Unternehmens oderwahlweise auch in einer Cloud bereitgestellt. Sie können flexibel während der Arbeitszeit genutzt werden. Umfangreiche Gestaltungsmöglichkeiten machen das Arbeiten mit diesen Online-Trainings abwechslungsreich und interessant.

Den IT-Sicherheitsprozesses etablieren und steuern

ISMS Liefcycle
Im Unternehmen muss ein funktionsfähiger Informationssicherheitsprozess etabliert und im laufenden Betrieb kontinuierlich weiterentwickelt werden. Das ist eine Managementaufgabe, die ich in enger Abstimmung mit der Geschäftsleitung und den Fachverantwortlichen als ISB übernehme.

Für eine enge Abstimmung mit der Geschäftsleitung und den Teams im Unternehmen sorgen

Geschäftleitung und IT-Security TeamAls ISB bin ich der Informationssicherheit aller geschäftlichen Abläufe, Prozesse und Projekte im Unternehmen verpflichtet. Mit den Verantwortlichen in den Fachbereichen und in der IT arbeite ich eng zusammen. Ich berichte direkt der Geschäftsleitung. In meiner Rolle als ISB verfüge ich über ausgeprägte Softskills und eine sehr gute Kommunikationsfähigkeit in Wort und Schrift, Deutsch und Englisch.