Die Bedrohungslage ist alarmierend
Die Bedrohungslage in der Informationssicherheit ist alarmierend und sie steigt stetig an. In den Medien sind ständig Fälle zu lesen, in denen Unternehmen oder Behörden von Cyberkriminellen angegriffen werden. Darunter sind einige bekannte Unternehmen, es ist jedoch von einer großen Dunkelziffer in diesem Bereich auszugehen, da viele Unternehmen solche Vorfälle nicht gerne an die Presse weitergeben, um ihre Kunden und Partner nicht zu verunsichern. Weiterhin Nummer eins bei den Angriffsszenarien bleibt die Lösegelderpressung. Über Ransomware kommen Kriminelle in Systeme und verschlüsseln anschließend die Daten. Nichts geht mehr, ein guter Zeitpunkt für eine Lösegeldforderung.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem umfassenden Bericht: „Die Lage der IT-Sicherheit in Deutschland 2022“ eindrucksvoll verdeutlicht, dass die bereits angespannte Lage sich weiterhin zuspitzt. Zusätzlich hat die steigende Anzahl von verschiedenen Krisen unmittelbaren und mittelbaren Einfluss auf die Informationssicherheit.
Normen und Regulatorik liefern Antworten
Es gibt verschiedene Normen und Regulatoriken für Unternehmen, um der erhöhten Bedrohungslage entgegenzutreten. Tatsächlich häuften sich in diesem Umfeld im vergangenen Jahr 2022 die Änderungen und neue Fassungen: DIN, ISO, IEC, BaFin, VAIT, DORA? Bringen wir mal Licht in die Änderungen.
So wurde im Oktober 2022 eine neue DIN ISO/IEC 27001:2022 veröffentlicht. Die ISO 27001 bildet die Grundlage für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und somit für die Zertifizierung. Die damit verbundene DIN ISO/IEC 27002:2022 wurde bereits im Februar 2022 neu herausgegeben. Sie bietet eine gewisse Umsetzungshilfe und beschreibt konkrete Themen. Es geht um organisatorische, personenbezogene, physische und technologische Aspekte der Informationssicherheit.
In der Versicherungsbranche viel beachtet gab es durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 03.03.2022 eine Novellierung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Als neue Themen kamen hier die operative Informationssicherheit und das IT-Notfallmanagement zum Tragen. Auch die Auslagerungsverantwortung zu entsprechenden Dienstleistern wurde gestärkt. Warum? Die Aufsicht misst der IT eine große Bedeutung zu und möchte Unternehmen grundsätzlich resilienter sehen. Dies hat sicherlich mit der ständig steigenden Bedrohungslage zu tun.
Gleichzeitig wird die Einführung des Digital Operational Resilience Acts (DORA) der Europäischen Kommission im ersten Quartal 2023 erwartet. Die Zielsetzung ist ein einheitlicher Rahmen für Informationssicherheitsrisiken auf europäischem Niveau. Kernthemen werden das Risikomanagement von Informations- und Kommunikationstechnologien (IKT) und das Management von IKT-Vorfällen sein, aber auch die Steuerung von externen IKT-Dienstleistern, Regelungen zu verpflichtenden Penetrationstests und der Informationsaustausch über Cyberbedrohungen im Finanzsektor.
Sie merken: Kontinuierliche Veränderungen werden uns in nächster Zeit begleiten, nicht nur von technologischer, sondern auch von normativer und regulatorischer Seite. Aber keine Angst: Unsere Erfahrung zeigt, dass ein pragmatischer Ansatz von Vorteil ist. Gerade bei der Einführung von Neuerungen ergibt sich ein gewisser Interpretationsspielraum. Die nächste Prüfung bringt Gewissheit. Bis dahin sollten Sie versuchen, die Erfordernisse zu erfüllen. Ignorieren oder den Kopf in den Sand stecken, sind keine Optionen.
ISMS – Eine dauerhaft hohe Herausforderung?
Natürlich ist der Aufbau eines ISMS (Informationssicherheitsmanagementsystems) zunächst erst einmal eine Herausforderung für Unternehmen. Es müssen dabei finanzielle und personelle Ressourcen bereitgestellt werden – insbesondere Letztere sind bei vielen Unternehmen oft ein knappes Gut. Wer bei der Umsetzung von technischen oder organisatorischen Maßnahmen nur an die Einhaltung von Norm oder Regulatorik denkt, wird davon zunächst nicht überzeugt sein.
Jedoch sollte man bei dem Aufbau eines ISMS nicht nur den Aufwand sehen, sondern insbesondere die Chancen, die sich daraus ergeben. Strategisch gesehen kann dies eine Abgrenzung zum Wettbewerb sein, eine Verbesserung bei der Produktpositionierung, aber auch ein wichtiger Vertrauensbeweis gegenüber anderen Marktteilnehmern, beispielsweise Anteilseignern oder Verbänden. In der Praxis erleben unsere Beratenden auch immer wieder positive Beispiele im taktischen Bereich. Mit Hilfe der Normen und Regulatorik lassen sich auch sonst vernachlässigte oder schwer durchsetzbare Prozesse viel besser realisieren und organisieren.
Eine dauerhaft hohe Herausforderung? Wir empfehlen unseren Kunden immer zunächst eine pragmatische Herangehensweise und priorisieren nach einer IST-Analyse die notwendigen Aktivitäten. Im Sinne des kontinuierlichen Verbesserungsprozesses (PDCA-Zyklus: Plan-Do-Check-Act) werden Maßnahmen regelmäßig überprüft. Im optimalen Fall stellen sich die Mitarbeitenden infolgedessen gut auf die Anforderungen ein und die anfänglich hohe Herausforderung erweist sich als etablierte Routine.
In der Praxis
In unserer täglichen Praxis treffen wir häufig auf Unternehmen, die noch vor ein paar Jahren ein ISMS wegen der Zertifizierung oder der Regulatorik eingeführt haben, jetzt jedoch umdenken. Die primären Motive der Gesellschaften sind nicht mehr rein extrinsisch durch die Erfüllung von Anforderungen gesteuert, sondern oftmals durch die intrinsische Einsicht, „Ja, wir wollen resilienter werden, weil die Bedrohungslage steigt und die Folgen eines Angriffs sich gegebenenfalls trotz vorhandener Cyber-Versicherung als fatal erweisen würden.“ Der potenzielle und hoffentlich niemals reale Vertrauensverlust bei Kunden und Partnern erweist sich in einigen Fällen als unkalkulierbar und sogar häufig als existenzbedrohend.
Selbstverständlich müssen dabei Kosten und Nutzen in einer ausgewogenen Balance stehen. Die Maßnahmen und deren Kosten sollten immer ein gesundes Verhältnis zwischen Aufwand und Ertrag abbilden. Informationssicherheit kann ein Kostenverursacher sein, sollte aber immer im Verhältnis zum Ertrag – das heißt zu den Auswirkungen der Maßnahme – stehen.
Externer Informationssicherheitsbeauftragter (ISB)
Und wer ist hilfreich auf der Reise nach mehr Informationssicherheit? Natürlich der (ggf. externe) Informationssicherheitsbeauftragte.
Tatsächlich steht für viele Unternehmensleitungen die Frage an, „Soll ich einen internen Informationssicherheitsbeauftragten benennen, oder versuche ich, diese Aufgabe extern zu vergeben?“ Nun, unsere Auffassung zu dieser Thematik scheint nicht ganz neutral zu sein, da wir genau diese Dienstleistung anbieten.
Allerdings haben wir in der Praxis oft erlebt, dass eine Trennung und Auslagerung nach extern sehr sinnvoll ist. Sehr kostenbewusste interne Lösungen haben oft zur Folge, dass (unterstellte) IT-Mitarbeitende der Führungskraft (IT-Leitende) „auf die Füße treten müssen“, keine angenehme Situation und ungünstige Voraussetzung für ein Jahresgespräch, bei dem es neben der zukünftigen Entwicklung auch um Gehaltsperspektiven gehen könnte …
Weiterhin ist es schwierig und zeitintensiv, intern Änderungen der Normen und Regulatorik dauerhaft zu beobachten und umzusetzen. Denn schon die originären Aufgaben eines ISBs sind bedeutsam und vielfältig. Er ist für die Entwicklung, Implementation, Koordination und Verbesserung des Informationssicherheitsmanagementsystems (ISMS) verantwortlich. In den Aufgabenbereich gehören darüber hinaus die Analyse von Informationssicherheitsvorfällen und die Etablierung von Awareness bei allen Mitarbeitenden für die Themen der Informationssicherheit.
Ausblick: Gekommen, um zu bleiben!
Immer mehr Unternehmen werden sich für die Einführung eines ISMS entscheiden und die Motive hierzu sind vielfältig. Mögen manche Unternehmen zähneknirschend den Aufwand an Ressourcen in Kauf nehmen und auf Anforderungen der Regulatorik oder der Kunden reagieren, sehen wir vermehrt intrinsisch motivierte Geschäftsleitungen, die den Schutz des Unternehmens in den Vordergrund stellen. Auch wenn ein ISMS keinen 100 %igen Schutz vor Angreifern bietet, verringert sich dadurch die Angriffsfläche, beziehungsweise stellt sich das Unternehmen resilienter auf, sollte doch etwas passieren. Das ISMS ist nicht nur gekommen, um zu bleiben, sondern möchte auch stetig verbessert werden.
Wir empfehlen deshalb immer, die Chancen eines ISMS zu sehen und für interne und externe Marktteilnehmer in den Vordergrund zu stellen.
Autor: Thorsten Logemann, Vorstandsvorsitzender der intersoft consulting services AG