Angesichts stetig wachsender Ansprüche an Funktionalität, Leistungsfähigkeit und Komfort vernetzter Informatiksysteme (von Grossrechnern bis zu Mobilgeräten) einerseits, und der Einbettung von immer mehr Steuerungs- und Kontrollsystemen (Gebäude, Fahrzeuge, Handy-Sensorik etc.) andererseits stellt sich die Frage, welche Risiken bezüglich Vertraulichkeit, Integrität, Verbindlichkeit und Verfügbarkeit von ICT-Dienstleistungen (Information and Communication Technology) entstehen, und welche Mittel zur Detektion, Beurteilung und Begrenzung dieser Risiken zur Verfügung stehen.
Vom Umgang mit Risiken
Ein Risiko wird auch in der ICT meist definiert als die Prognose eines möglichen Schadens im negativen Fall oder eines möglichen Nutzens im positiven Fall. Was als Schaden oder Nutzen aufgefasst wird, hängt dabei stark von den angewandten Wertvorstellungen ab. Jedoch ist zu beachten, dass das Eingehen von ICT-Risiken meist keinen Gewinn erwirtschaftet, und dass auch beim Ausbleiben von Schäden die Präventionskosten bestehen bleiben. Entsprechend definieren wir ICT-Sicherheit als das Ausbleiben bzw. Verhindern unvertretbarer Risiken. Da Risiken nie ganz vermieden werden können, sprechen wir vom Risiko-„Management“ durch eine Mischung verschiedener Strategien, insbesondere der Risiko-Vermeidung, -Übertragung (z.B. durch Versicherungen), -Begrenzung (durch Gegenmassnahmen) sowie Akzeptanz der Restrisiken. Eine weitere populäre Bewältigungsstrategie ist die Risiko-Ignoranz, d.h. die Nichtbeschäftigung mit Risiken durch „Wegschauen“, was zwar nicht dem Gedanken der bewussten Bewirtschaftung von Risiken, jedoch dem menschlichen Naturell entspricht. Welche Strategiekombination gewählt wird, ist hängt von Risikotyp und Risikokultur ab und sollte das Ergebnis einer bewussten Überlegung und Kalkulation sein. Unser Risikoverhalten ist jedoch oft eher von der archaischen Vorstellung geleitet, dass Fehler nun einmal schicksalhaft „passieren“ und daher Gegenmassnahmen von vornherein aussichtslos sind bzw. der Betroffene „entschuldigt“ ist. Dieses Denken betrifft vor allem abstrakte Risiken (wie die in der ICT), die meist keine physischen Schäden verursachen und daher von den Verursachern oft als eher „harmlos“ eingeschätzt werden.
ICT-Risikoquellen und potentielle Angriffsziele
In der ICT besteht bezüglich Angreifern und Angriffszielen ein grosser Variantenreichtum. Gegenmassnahmen müssen daher genau auf die Kombination von wahrscheinlichen Angreifern und Angriffszielen abgestimmt sein.
Bezüglich Angreifern unterscheiden wir zwischen internen und externen Quellen. Während wir externe Angreifer (von Hackern über Kriminelle bis hin zu Aufklärungsdiensten) gerne als „Feindbild“ und Begründung für die Kosten von Gegenmassnahmen heranziehen, stellen uns Innentäter (Mitarbeitende, Kunden usw.) vor grössere Herausforderungen, da sie implizit als vertrauenswürdig gelten und durch die meist nach aussen orientierten Sicherheitseinrichtungen kaum erkennbar sind. Zudem kommen erfolgreiche externe Angriffe oft unter (impliziter oder expliziter) Mithilfe von innen zustande. Erpressbarkeit, Bestechlichkeit, Fahrlässigkeit, Risiko-Ignoranz oder das gezielte Provozieren von Fehlverhalten durch „social engineering“ spielen hier neben technischen Angriffsmethoden eine immer wichtigere Rolle.
Die Motivation der Angreifer reicht von Neugier, Geltungsbedürfnis oder Langeweile über materiellen Gewinn bis hin zur Rache an Firmen oder Personen oder der Umsetzung politischer oder weltanschaulicher Ziele. Bei ungezielten Angriffen (Spam, Spyware, Phishing, Trojaner, usw.) wird eine grosse Menge von Zielen in der Hoffnung auf eine genügende Anzahl „Zufallstreffer“ attackiert. Die gewonnenen Informationen werden dann einer kommerziellen Mehrfachnutzung mit breit verteilter Wertschöpfungskette zugeführt. Gezielte Angriffe gelten wenigen, ausgewählten Zielen, sei es durch Sabotage, „denial of service“ als Vorbereitung zur Erpressung, Datendiebstahl zur Vorbereitung zur Bestechung, oder zur kommerziellen / militärischen Aufklärung. „Spitzenreiter“ in diesem Bereich ist der Diebstahl digitaler Identitäten sowie der gezielte Zugriff auf mobile Geräte der Zielpersonen (Diebstahl des – ggf. sowohl privat als auch geschäftlich genutzten – Gerätes oder unbemerkte Kopie der Daten).
Typische Schäden reichen, soweit bekannt, von der Zerstörung von Daten / Konfigurationen über Ausspähen und Diebstahl von Daten oder Software, Verfälschung und Einspeisung von Falschinformation, Verweigerung oder Verzögerung legitimer Zugriffe bis zur Bedrohung der ordnungsgemässen Geschäftsausübung (inkl. der Regelung finanzieller Verluste, der Haftung und allfälliger Verstösse gegen Gesetze und Regularien). Schliesslich sind auch Werte wie der Ruf der Firma in ein gesamtheitliches Risiko-Management einzubeziehen.
Mögliche Massnahmen für das IT-Risiko-Management
Wenn Risiko-reduzierende Massnahmen diskutiert werden, ergeben sich zwei Probleme. Zum einen wird oft von den verfügbaren (meist technischen) Massnahmen aus argumentiert und das Risiko den Massnahmen angepasst – hier wackelt der Schwanz mit dem Hund. Zum anderen ist es schwierig, das akzeptable Risiko-Niveau gut genug abzuschätzen. Zwar wird in der ICT gerne von „best practices“ oder „good practices“ gesprochen – viele Anwender wäre jedoch durchaus zufrieden mit einer „good enough practice“, wenn sie diesen Zustand ausreichend genau definieren und messen könnten.
Den Kern dieser Diskussion bilden die zu schützenden Güter bzw. deren Wert, so dass der Aufwand für Gegenmassnahmen zu diesem Wert in ein vernünftiges Verhältnis gesetzt werden kann. Zudem gilt die Grundannahme, dass meist nur eine Kombination technischer, organisatorischer und prozeduraler Elemente zum Ziel führt. Schliesslich bilden die Messbarkeit (über gut definierte Kenngrössen), die zyklische Überprüfung der Zielerreichung sowie ein kontinuierlicher Verbesserungsprozess wichtige Bausteine des Risiko-Managements. Massnahmen zur Förderung von risikobewusstem Verhalten der Beteiligten runden ein entsprechendes Konzept ab.
Aufbauend darauf kann dann ein angemessenes Information Security Management Systems (ISMS) definiert und betrieben werden – dieses kann sich an verschiedenen Normen und Vorgaben orientieren:
- ISO/IEC 2700x (insbesondere wenn eine formelle Zertifizierung des Unternehmens angestrebt wird),
- CoBIT-5 (geeignet für ein gut auditierbares ISMS und IT Risiko-Management, basierend auf vordefinierten Prüfpunkten),
- BSI-Grundschutz-Kataloge (gut geeignet für die Definition des minimal nötigen Schutzniveaus).
Elemente einer ICT „Good Enough Practice“
Im Folgenden werden Elemente einer “Good Enough Practice” im Überblick dargestellt – welche Elemente besondere Beachtung verdienen, ist im Einzelfall Gegenstand einer genaueren Analyse.
Technik | Prozesse und Regeln |
|
|
Fünf Voraussetzungen für die erfolgreiche Umsetzung
Voraussetzung 1: etablierte Kommunikation
Entscheidend für den Erfolg ist ein gemeinsames Verständnis bezüglich der eingesetzten ICT-Mittel. Dies bedingt, dass eine gemeinsame Sprache gesprochen wird und dass die Wertesysteme aktiv abgeglichen werden. Eckpfeiler einer entsprechenden Strategie sind:
- Sprachliche Kommunikation, d.h. weniger Dokumente und mehr direkte Konversation
- Nur so viele Fachbegriffe wie nötig
- Empfängergerechte Erklärungen über den Inhalt und die Disziplinen der ICT
- Das Ziel ist, gegenseitiges Vertrauen über die Zeit aufzubauen und zu pflegen
Voraussetzung 2: ausreichend genaue Vorgaben
Gute Zielvereinbarungen und Vorgaben sind derzeit oft mehr Kunsthandwerk als standardisierte Abläufe. Dennoch ist die methodische Abstützung der Vorgaben wichtig für die Umsetzbarkeit, Messbarkeit und stetige Verbesserung bis hin zum gewünschten Zielzustand. Beteiligt sind die leitenden Organe der Firma bezüglich strategischer Vorgaben, sowie die operationellen Einheiten bezüglich taktischer Ziele. Derzeit „typische“ Themen im Bereich der Vorgaben betreffen Elemente wie die Sicherstellung der Informationsflüsse, Kompetenzregelungen, Sourcing-Strategien und strategische Kooperationen, ICT-Architekturen, strategisch wichtige Produkte und Projekte, Beherrschung / Reduktion der ICT-Komplexität sowie die Risiko-Erkennung und Bewusstseinsförderung der handelnden Personen bezüglich ICT-Risiken.
Es bewährt sich, diese Vorgaben in „Muss“- und „Kann“-Ziele im Sinne der Definition nicht verhandelbarer „Baselines“ zu gliedern. Das Ergebnis kann dann in Form eines internen Kontrollsystems (IKS) kommuniziert werden und beeinflusst dann die Zielvereinbarungen von Geschäftsbereichen, Abteilungen und Personen.
Voraussetzung 3: nachgewiesene Wirtschaftlichkeit
Da Präventionskosten immer umstritten sind bzw. deren Nutzen in Zeiten knapper Budgets angezweifelt wird, kommt dem Nachweis der Wirtschaftlichkeit der angestrebten Massnahmen besondere Bedeutung zu.
Eckpfeiler | Mögliche Massnahmen |
|
|
Voraussetzung 4: durchgängiges Risiko-Management
Ein organisationsweites Management operationeller Risiken wie diejenigen der ICT umfasst die zyklische Erkennung, Einschätzung, Massnahmendefinition und -umsetzung sowie die formelle Akzeptanz des Restrisikos. Wichtige Elemente eines solchen Risiko-Managements sind:
- Die regelmässige Durchführung von Risk Assessments bzw. die Abschätzung der Folgen solcher Risiken durch eine „Business Impact Analysis“ (BIA).
- Das Führen und regelmässige Aktualisieren eines „Risk Register“ mit allen beurteilten und aufgetretenen Risiken, Massnahmen, Konsequenzen usw. Da viele Firmen nur wenige echte Schadenereignisse erleiden, sollten analog zur Luftfahrt auch „near misses“, also gerade noch abgewendete Schäden, aufgenommen werden.
- Die Schaffung eines zeitnahen Überblicks in Form einer Risiko-Landkarte oder eines Risiko-Cockpits, mit dessen Hilfe stufen- und zeitgerecht zu den Entscheidungsträgern, aber auch zu Aufsichtsbehörden, Mitarbeitenden, Kunden, Partnern etc. kommuniziert wird.
Voraussetzung 5: konsistentes Reporting
Entscheidungsträger können nur dann richtig entscheiden, wenn sie aktiv informiert werden. Mögliche Elemente für diesen Informationsfluss im Firmenumfeld sind:
- Quartalsweise Integration der ICT-Risikobeurteilung via das MIS an den Verwaltungsrat für wesentliche Fakten, Risiken und wichtige Projekte
- Mindestens einmal pro Jahr eine formale Präsentation an den VR über den Status der ICT und die geplanten Massnahmen
- Formelle Kenntnisnahme von Revisionsberichten zu ICT-Sicherheit und ICT-Risiko-Management und Bewilligung der vorgeschlagenen Massnahmen – ggf. Beizug externen Expertenwissens
- Regelmässige formale Präsentation an die Geschäftsleitung über den Status der ICT und die geplanten Massnahmen; direkter Einbezug / Varianten bei wichtigen Projekten.
Abschliessende Bemerkungen
Aktives Risiko-Management in einem volatilen ICT-Umfeld ist ein ständiger Tanz auf dem Vulkan – es ist sicher, dass ein Ausbruch erfolgen wird, jedoch ist nicht klar wann, und in welcher Stärke, und welche Präventionsmassnahmen dem Risiko angemessen sind. In diesem Umfeld sind diejenigen Organisationen gut positioniert, die gemäss den oben angegebenen Voraussetzungen agieren, und deren Mitarbeitende agil und flexibel genug sind, auf plötzliche Veränderungen zeitnah und angemessen zu reagieren.