ICT & Technik

Cloud-Computing und Sicherheit I

Cybersecurity als Teil des Risiko-Managements

Andreas von Grebmer 27.04.2017
«Cybersecurity» ist ein Modewort, das sich festgesetzt hat. Dieser Beitrag soll eine nüchterne Betrachtungsweise bieten, die es erlaubt, die notwendigen Schlüsse und Massnahmen daraus abzuleiten. Informationssicherheit, und damit Cybersecurity als Unterdisziplin, sollte immer Teil des Risiko-Managements einer Unternehmung sein.
PDF Kaufen

Wir leben im Informationszeitalter, in dem alte Geschäftsfälle mehr und mehr digitalisiert werden. Neue Geschäftsfälle und Geschäftsfelder entstehen, rein digital, das heisst völlig informationsbasierend. Nimmt man die Information aus einem Unternehmen oder den Geschäftsfällen weg, so ist das, als ob man einem menschlichen Körper das Blut entzieht, also Exitus. Analog dazu wäre ein Virus oder Schadsoftware wie eine Blutvergiftung für ein Unternehmen. Auch daran kann man schlussendlich sterben.

Information als Lebenselixier

Wenn ein Unternehmen sich gar nicht mit dem Thema beschäftigt, so fährt es die Risikostrategie «Akzeptanz». Diese Strategie wird im Normalfall nur angewandt, wenn man den möglichen potenziellen Schaden des (Rest-)Risikos kennt und es nach sorgfältiger Abwägung als zu «gering» einstuft. Risiken zu akzeptieren, ohne deren mögliches Schadenausmass zu kennen, ist äusserst gefährlich. Vorstandsmitglieder, Geschäftsführer, Bereichsleiter sowie andere Entscheidungsträger wissen oft sehr genau, welches die wertvollen materiellen Güter in ihren Unternehmen sind und um deren Schutzmassnahmen. Aber wie steht es um die Informationssicherheit, neudeutsch Cyber­security? Informationen in jeder Form (Kunden- sowie Mitarbeiterdaten, Verträge, Preislisten, Forschungsergebnisse, Prozesse etc.) sind das Lebenselixier für ein Unternehmen. Der Schutz von Informationen, deren Verfügbarkeit, Integrität und Geheimhaltung fundamental wichtig für Ihre Geschäftsprozesse ist, entscheidet bei einem Angriff eventuell über den Fortbestand des Unternehmens.

Umsetzung von Cybersecurity

Cybersecurity wirklich richtig zu adressieren, heisst, eine nachhaltige Informationssicherheitsstrategie im Unternehmen zu implementieren; dies adressiert auch nicht digitale Informationen und den Faktor Mensch. Der Ausfall eines Schlüsselmitarbeiters kann genauso schwer treffen wie die Nichtverfügbarkeit von Teilen der IT. Zur erfolgreichen Implementierung gehören folgende Überlegungen:

1. Informationssicherheit ist Chefsache.

2. Evaluieren des Status quo, alleine oder mit Hilfe von externen Fachspezialisten

  • Sind die wichtigsten Informationen sowie Informationssysteme/Träger bekannt?
  • Sind Verfügbarkeit, Integrität und Geheimhaltung für alle Informationstypen definiert?
  • Wie ist die Risikolage für Ihre wichtigsten Informationen und Informationssysteme / Träger?
  • Welche Risikominderungsmassnahmen bestehen?

3. Wie hoch ist das Restrisiko?

4. Cybersecurity sollte in den Risiko-Management-Prozess eingegliedert sein.

5. Fachkompetenz im Unternehmen muss aufgebaut werden.

Neue Gesetze und Risiken

Pflicht oder Kür. Oft lässt die Auslastung im Alltag nur zu, dass man sich einem neuen Thema annimmt, wenn es sein muss. Dies gilt speziell für Themen, die keinen direkten Mehrwert oder Gewinn generieren. Mit dem neuen europäischen Datenschutzgesetz, aber auch mit der Erneuerung des Schweizer Gesetzes wird aus der Kür «Informationssicherheit» definitiv eine Pflicht. Die folgenden Gesetzesbeispiele sind hier nicht aufgelistet, um Angst zu machen, sondern um die Risiken aufzuzeigen, die mit diesen Gesetzen einhergehen.

Die Nichteinhaltung einer von der Aufsichtsbehörde gemäss Regulation (EU) 2016 / 679, Artikel 58 Absatz 2 erlassenen Anordnung kann Folgendes bedeuten: «Geldstrafen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist.»

Auch wenn die Auswirkungen der Umsetzung dieser europäischen Datenschutzvorschrift noch nicht klar sind, so kann die Strategie einer Akzeptanz dieses Risikos, ohne es genau zu kennen, zu fatalen Folgen führen. Es bestehen auch in der Schweiz schon heute weitere gesetzliche Anforderungen, zum Beispiel für Verwaltungsräte (Obligationenrecht OR Art. 754).

  • «1) Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind sowohl der Gesellschaft als den einzelnen Aktionären und Gesellschaftsgläubigern für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen.»
  • «2) Wer die Erfüllung einer Aufgabe befugterweise einem anderen Organ überträgt, haftet für den von diesem verursachten Schaden, sofern er nicht nachweist, dass er bei der Auswahl, Unterrichtung und Überwachung die nach den Umständen gebotene Sorgfalt angewendet hat.»

Wie soll jemand vorgehen, der Handlungsbedarf sieht? Die Antwort hängt sehr stark von der bestehenden Situation ab, der Firmenstruktur, der Firmenkultur, der Branche. In einer Branche, die reguliert ist, wo man es gewohnt ist, sich an Gesetze und Vorschriften zu halten, wo es Teil der Kultur und der Prozesse ist, da ist es sicher einfacher, eine Informationssicherheitsstrategie einzuführen. Sehr viel hängt auch von dem Risikoappetit ab. Dieser ist persönlich. Führungspersonen wie CEOs beeinflussen mit ihrem persönlichen Risikoappetit die Firmenkultur.

In der Firmenkultur widerspiegelt sich der Risikoappetit einer Unternehmung. Wie ernst der einzelne Mitarbeiter das Thema Informationssicherheit nimmt, hängt stark davon ab, wie die «Vorbilder» im Unternehmen damit umgehen. Darum muss die Bereitschaft zur Änderung zum einen von der Firmenleitung kommen und zum anderen ernst gemeint sein. Ist es das nicht, so verkommt, egal welcher Ansatz gewählt wird, jedes Informationssicherheits-Managementsystem (ISMS) zur Alibiübung.

Ein ISMS sollte immer so aufgesetzt sein, dass es vom Unternehmen getragen werden kann, ohne ununterbrochen Berater im Haus zu haben. Sicherheitsmassnahmen sind integraler Bestandteil von Geschäfts- und Supportprozessen. In einem zweiten Schritt gilt es, Kontrollen und Massnahmen zu automatisieren. Generell sollte ein ISMS so aufgesetzt sein, dass eine kontinuierliche Verbesserung (Deming Cycle: Plan – Do – Check – Act) resultiert, basierend auf diesen Eckpfeilern:

  • Definierte Verantwortlichkeiten, Regularien und eine Organisationsstruktur
  • Inventar von Informationen und Informationsinfrastruktur
  • Klassifizierung aller Informationen bezüglich; a) Verfügbarkeit, b) Integrität, c) Geheimhaltung
  • Risikoanalysen für alle Informationen und die Informationsinfrastruktur, die eine hohe Klassifizierung hat; Eingliederung in den unternehmensweiten Risiko-Management-Prozess
  • Massnahmen gegen Schwachstellen
  • Regelmässige Überwachung und Statusberichterstattung

Die Anforderungen aus ISO27001 Informationssicherheits-Managementsysteme bieten eine gute Leitlinie, auch wenn keine Zertifizierung angestrebt wird.

Porträt

Andreas von Grebmer (Autor)

Information Security and Risk Advisor

Andreas von Grebmer ist Partner der Ciss GmbH. Er verfügt über mehr als 20 Jahre Erfahrung auf den Gebieten Risiko-Management und Informationssicherheit in Schweizer und multinationalen Firmen wie z. B. Novartis. Er ist Autor diverser Bücher und Fachbeiträge.

Ciss (Comprehensive Information Security Switzerland) ist spezialisiert auf den «Faktor Mensch» und «organisatorische Informationssicherheit». Ciss berät und unterstützt seine Kunden beim Auf- und Umbau eines firmeneigenen Informationssicherheits-Managementsystems (ISMS). Ciss bietet unter anderem einen ISO27001-basierenden «Informationssicherheits-Check für KMU» und einen Sicherheitsbeauftragten auf Zeit an (Rent a CISO). Ein «ISMS Outline» steht auf der Webseite von Ciss gratis zum Download zur Verfügung.

 

Kontakt

avg(at)ciss.ch www.ciss.ch