Neue Gesetze und Risiken
Pflicht oder Kür. Oft lässt die Auslastung im Alltag nur zu, dass man sich einem neuen Thema annimmt, wenn es sein muss. Dies gilt speziell für Themen, die keinen direkten Mehrwert oder Gewinn generieren. Mit dem neuen europäischen Datenschutzgesetz, aber auch mit der Erneuerung des Schweizer Gesetzes wird aus der Kür «Informationssicherheit» definitiv eine Pflicht. Die folgenden Gesetzesbeispiele sind hier nicht aufgelistet, um Angst zu machen, sondern um die Risiken aufzuzeigen, die mit diesen Gesetzen einhergehen.
Die Nichteinhaltung einer von der Aufsichtsbehörde gemäss Regulation (EU) 2016 / 679, Artikel 58 Absatz 2 erlassenen Anordnung kann Folgendes bedeuten: «Geldstrafen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist.»
Auch wenn die Auswirkungen der Umsetzung dieser europäischen Datenschutzvorschrift noch nicht klar sind, so kann die Strategie einer Akzeptanz dieses Risikos, ohne es genau zu kennen, zu fatalen Folgen führen. Es bestehen auch in der Schweiz schon heute weitere gesetzliche Anforderungen, zum Beispiel für Verwaltungsräte (Obligationenrecht OR Art. 754).
- «1) Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind sowohl der Gesellschaft als den einzelnen Aktionären und Gesellschaftsgläubigern für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen.»
- «2) Wer die Erfüllung einer Aufgabe befugterweise einem anderen Organ überträgt, haftet für den von diesem verursachten Schaden, sofern er nicht nachweist, dass er bei der Auswahl, Unterrichtung und Überwachung die nach den Umständen gebotene Sorgfalt angewendet hat.»
Wie soll jemand vorgehen, der Handlungsbedarf sieht? Die Antwort hängt sehr stark von der bestehenden Situation ab, der Firmenstruktur, der Firmenkultur, der Branche. In einer Branche, die reguliert ist, wo man es gewohnt ist, sich an Gesetze und Vorschriften zu halten, wo es Teil der Kultur und der Prozesse ist, da ist es sicher einfacher, eine Informationssicherheitsstrategie einzuführen. Sehr viel hängt auch von dem Risikoappetit ab. Dieser ist persönlich. Führungspersonen wie CEOs beeinflussen mit ihrem persönlichen Risikoappetit die Firmenkultur.
In der Firmenkultur widerspiegelt sich der Risikoappetit einer Unternehmung. Wie ernst der einzelne Mitarbeiter das Thema Informationssicherheit nimmt, hängt stark davon ab, wie die «Vorbilder» im Unternehmen damit umgehen. Darum muss die Bereitschaft zur Änderung zum einen von der Firmenleitung kommen und zum anderen ernst gemeint sein. Ist es das nicht, so verkommt, egal welcher Ansatz gewählt wird, jedes Informationssicherheits-Managementsystem (ISMS) zur Alibiübung.
Ein ISMS sollte immer so aufgesetzt sein, dass es vom Unternehmen getragen werden kann, ohne ununterbrochen Berater im Haus zu haben. Sicherheitsmassnahmen sind integraler Bestandteil von Geschäfts- und Supportprozessen. In einem zweiten Schritt gilt es, Kontrollen und Massnahmen zu automatisieren. Generell sollte ein ISMS so aufgesetzt sein, dass eine kontinuierliche Verbesserung (Deming Cycle: Plan – Do – Check – Act) resultiert, basierend auf diesen Eckpfeilern:
- Definierte Verantwortlichkeiten, Regularien und eine Organisationsstruktur
- Inventar von Informationen und Informationsinfrastruktur
- Klassifizierung aller Informationen bezüglich; a) Verfügbarkeit, b) Integrität, c) Geheimhaltung
- Risikoanalysen für alle Informationen und die Informationsinfrastruktur, die eine hohe Klassifizierung hat; Eingliederung in den unternehmensweiten Risiko-Management-Prozess
- Massnahmen gegen Schwachstellen
- Regelmässige Überwachung und Statusberichterstattung
Die Anforderungen aus ISO27001 Informationssicherheits-Managementsysteme bieten eine gute Leitlinie, auch wenn keine Zertifizierung angestrebt wird.