Spyware-Attacken wie „Flame“ zeigen, dass Schadsoftware der neusten Generation verstärkt von der IT- in die reale Welt übergreift und für die gezielte Informationsbeschaffung eingesetzt wird. Unternehmen bauen deshalb ihr IT-Sicherheitsmanagement zunehmend zum Informationssicherheitsmanagement aus. Marco Filtzinger erläutert im Interview, warum dieser Schritt so wichtig ist und wieso das Chefmandat bei der Einführung von Informationssicherheits-Managementsystemen nicht fehlen darf.
Marco Filtzinger erläutert im Interview, warum dieser Schritt so wichtig ist und wieso das Chefmandat bei der Einführung von Informationssicherheits-Managementsystemen nicht fehlen darf.
Herr Filtzinger, warum ist es für Unternehmen heute wichtiger als früher, von Informationssicherheitsmanagement zu sprechen und sich vom klassischen Begriff der IT-Sicherheit zu lösen?
Marco Filtzinger: Das liegt zum einen an einer veränderten Bedrohungslage: Die bisherigen Viren waren in der Regel so konstruiert, dass sie eine maximale Ausbreitung erreichen. Auf diese Weise wurden „Wirte“ unterschiedlichster Art befallen und die Suche nach wertvollen Informationen erfolgte eher nach dem Zufallsprinzip. Aktuelle Malware von der Sorte „Flame“ und „Stuxnet“ wird von Organisationen entwickelt, um gezielt Informationen von ausgewählten Unternehmen/Personen auszuspähen. Jeder erfolgreich platzierte Flame-Virus wird regelrecht administriert und aktiv beseitigt, wenn eine Entdeckung droht oder erfolgt ist.
Dazu kommen gesteigerte Anforderungen zum nachvollziehbaren Nachweis eines adäquaten Sicherheitsmanagements durch Gesetze, Vorschriften (Compliance) und Kundenanforderungen. Das Reglement greift dabei tiefer in den täglichen Geschäftsablauf ein und bezieht sich nicht mehr nur auf technische Sicherheitsvorkehrungen zum Schutz elektronisch verarbeiteter Informationen.
Informationssicherheit endet zudem nicht an den Grenzen der IT. In den Papierkörben der Vorstandsbüros, den Ablagen von Druckern und auf Internet- und Intranet-Seiten von Unternehmen finden sich oftmals sehr wertvolle Informationen, die frei zugänglich sind. Sicherheitsbewusstseinsbildende und organisatorische Maßnahmen, wie sie ein ISMS vorsieht, können hier deutlich mehr Wirkung für die Informationssicherheit erzielen, als aufwändige technische Sicherheitsmaßnahmen.
Und schließlich gibt es eine zunehmende Auslagerung von Services und Informationen über Unternehmens- und Ländergrenzen hinweg, beispielsweise Cloud Computing, Outsourcing, Nearshoring, Offshoring, Outtasking. Dieser Trend erfordert ebenfalls angepasste Konzepte, um die Sicherheit der Informationswerte weiterhin zu gewährleisten.
Die nötige Einsicht für das Thema ist bei den CIOs und Sicherheitsbeauftragten angekommen. Noch scheitern allerdings viele Einführungen von Informationssicherheits-Managementsystemen. Woran liegt das?
Filtzinger: Weil die Projekte vielfach nicht ganz oben bei der Geschäftsleitung angesiedelt sind, sondern isoliert beim CIO. Die Chefetage sieht Informationssicherheit noch als alleinige Sache der IT-Abteilung. Beim Versuch, einen Business Case zur Einführung eines ISMS aufzustellen, indem man die Kosten in Relation zu möglichen materiellen Einbußen und Imageschäden setzt, lautet die Antwort immer wieder: „Bisher lief doch auch alles glatt“ und „Wir hatten in den letzten Jahren überhaupt keine relevanten Sicherheitsvorfälle.“ Was noch nicht verstanden wird: In den allerwenigsten Fällen von Datenspionage erscheint der Hinweis „Sie wurden gehackt!“. Diesen Umstand erfahren die Unternehmen oft erst über die Medien. Experten gehen davon aus, dass sich der Trojaner „Flame“ bereits seit zwei bis acht Jahren im Einsatz befindet, ohne dass er entdeckt worden wäre. Genaue Angaben über die tatsächliche Ausbreitung des Virus werden wohl nie gemacht werden können. Denn die Malware verfügt über ein „Kill-Modul“, das bei Aktivierung durch den Angreifer eine vollständige Entfernung des Virus und aller Spuren auslöst. Neben den Viren, deren Ziel die Störung des IT-Betriebs und der abhängigen Geschäftsprozesse ist (Stuxnet), besteht eine gesteigerte Bedrohungslage durch Spionageprogramme, deren Zweck die unbemerkte Entwendung von Informationen ist. Um die Verletzung von Vertraulichkeit und Integrität von Daten und Informationen zuverlässig zu erkennen, braucht es deshalb geeignete Kontrollen auf allen Unternehmensebenen, nicht nur im Bereich der IT. Die Fachabteilungen müssen nahtlos mit der IT-Abteilung zusammenarbeiten. Um dies zu gewährleisten ist eine adäquate Organisation notwendig, die ohne die Unterstützung des Vorstands nicht etabliert werden kann. Den IT-Abteilungen fehlen häufig die erforderlichen Mittel und Autorisierungen, um ein ISMS-Projekt über die Planphase hinaus durchzuführen.
Was raten Sie CIO oder CISO, um die Leitungsebene vom der ISMS-Einführung zu überzeugen?
Filtzinger: Die Geschäftsleitung sollte so früh wie möglich in das Vorhaben einbezogen werden. „Was wäre wenn“-Szenarien leisten hier effektivere Überzeugungsarbeit als das Aufzeigen theoretischer Bedrohungen und technischer Sicherheitsmaßnahmen. Darüber hinaus ist es von Vorteil, die Leitung nicht mit einem Mammut-Projekt zu überfallen. Viele kleine Schritte und das Etablieren eines langfristigen, kontinuierlichen Verbesserungsprozesses sind Erfolg versprechender. Die übrigen Gatekeeper sind regelmäßiges Informieren und Kommunizieren über aktuelle Risiken für die Informationssicherheit und deren wirtschaftliche Auswirkungen, eine enge Zusammenarbeit mit den Fachabteilungen, das Aufzeigen von Einsparpotenzialen bei den Maßnahmen sowie die Darstellung des generellen Wandels von IT-Sicherheit zur Informationssicherheit. Entscheidend ist, dass bei der Kommunikation eine Sprache benutzt wird, die für das Management verständlich und nachvollziehbar ist. IT-Risiken müssen aus Sicht des unterstützten Geschäftsprozesses dargestellt werden – Risiko für den Unternehmenserfolg vs. Risiko für die IT-Komponenten.
Einen ausführlichen Artikel von Marco Filtzinger zum Thema ISMS finden Sie auf CIO online.
Herr Filtzinger, vielen Dank für das Gespräch!
Marco Filtzinger
Associate Manager im Bereich Information Security Solutions bei Sopra Steria und Certified Information System Auditor (CISA®)