IT-Risiko-Management und Informationssicherheit

Angesichts stetig wachsender Ansprüche an Funktionalität, Leistungsfähigkeit und Komfort vernetz­ter Informatiksysteme (von Grossrechnern bis zu Mobilgeräten) einerseits, und der Einbettung von immer mehr Steuerungs- und Kontrollsystemen (Gebäude, Fahrzeuge, Handy-Sensorik etc.) anderer­seits stellt sich die Frage, welche Risiken bezüglich Vertraulichkeit, Integrität, Verbindlichkeit und Ver­fügbarkeit von ICT-Dienstleistungen (Information and Communication Technology) entstehen, und welche Mittel zur Detektion, Beurteilung und Begrenzung dieser Risiken zur Verfügung stehen.

Vom Umgang mit Risiken

Ein Risiko wird auch in der ICT meist definiert als die Prognose eines möglichen Schadens im negativen Fall oder eines möglichen Nutzens im positiven Fall. Was als Schaden oder Nutzen auf­gefasst wird, hängt dabei stark von den angewandten Wertvorstellungen ab. Jedoch ist zu beachten, dass das Eingehen von ICT-Risiken meist keinen Gewinn erwirtschaftet, und dass auch beim Ausbleiben von Schäden die Präventions­kosten bestehen bleiben. Entsprechend definie­ren wir ICT-Sicher­heit als das Ausbleiben bzw. Verhindern unvertretbarer Risiken. Da Risiken nie ganz vermieden werden können, sprechen wir vom Risiko-„Ma­na­ge­ment“ durch eine Mischung verschiedener Strategien, insbesondere der Risiko-Ver­meidung, -Über­tragung (z.B. durch Versich­erungen), -Begrenzung (durch Gegenmassnahmen) sowie Akzeptanz der Restrisiken. Eine weitere populäre Bewältigungsstrategie ist die Risiko-Ignoranz, d.h. die Nicht­be­schäf­tigung mit Risiken durch „Wegschauen“, was zwar nicht dem Gedanken der be­wuss­ten Bewirtschaftung von Risiken, jedoch dem menschlichen Naturell entspricht. Welche Strategiekombination gewählt wird, ist hängt von Risikotyp und Risikokultur ab und sollte das Ergebnis einer bewussten Überlegung und Kalkulation sein. Unser Risiko­ver­halten ist jedoch oft eher von der archaischen Vorstel­lung geleitet, dass Fehler nun ein­mal schicksalhaft „passie­ren“ und daher Gegenmassnahmen von vorn­herein aussichtslos sind bzw. der Betroffene „entschul­digt“ ist. Dieses Denken betrifft vor allem abstrakte Risiken (wie die in der ICT), die meist keine physischen Schäden verur­sachen und daher von den Verursachern oft als eher „harmlos“ eingeschätzt werden.

ICT-Risikoquellen und potentielle Angriffsziele

In der ICT besteht bezüglich Angreifern und Angriffszielen ein gros­ser Variantenreichtum. Gegen­mass­nah­men müssen daher genau auf die Kombination von wahrscheinlichen Angreifern und Angriffs­zielen ab­ge­stimmt sein.

Bezüglich Angreifern unterscheiden wir zwischen internen und externen Quellen. Während wir exter­ne Angreifer (von Hackern über Kriminelle bis hin zu Aufklärungsdiensten) gerne als „Feindbild“ und Begrün­dung für die Kosten von Gegenmassnahmen heranzie­hen, stellen uns Innentäter (Mitarbeiten­de, Kunden usw.) vor grössere Herausforderun­gen, da sie implizit als vertrauens­würdig gelten und durch die meist nach aussen orientier­ten Sicherheitseinrichtungen kaum er­kennbar sind. Zudem kommen erfolgreiche externe Angriffe oft unter (impliziter oder expliziter) Mit­hilfe von innen zustande. Er­pressbarkeit, Bestechlichkeit, Fahrlässigkeit, Risiko-Igno­ranz oder das ge­zielte Provozie­ren von Fehlverhalten durch „social engineering“ spielen hier neben technischen An­griffs­metho­den eine immer wichtigere Rolle.

Die Motivation der Angreifer reicht von Neugier, Geltungsbedürfnis oder Langeweile über materiellen Gewinn bis hin zur Rache an Firmen oder Personen oder der Umset­zung po­litischer oder weltanschau­licher Ziele. Bei ungezielten Angriffen (Spam, Spyware, Phishing, Trojaner, usw.) wird eine grosse Menge von Zielen in der Hoffnung auf eine genügende Anzahl „Zufalls­treffer“ attackiert. Die gewon­nenen Infor­mationen werden dann einer kommerziellen Mehr­fach­nut­zung mit breit verteilter Wertschöp­fungskette zugeführt. Gezielte Angriffe gelten wenigen, ausgewählten Zielen, sei es durch Sabotage, „denial of service“ als Vorbereitung zur Erpressung, Datendiebstahl zur Vorbereitung zur Beste­chung, oder zur kommerziellen / militä­rischen Auf­klärung. „Spitzenreiter“ in diesem Bereich ist der Diebstahl digitaler Identitäten sowie der gezielte Zugriff auf mobile Geräte der Zielpersonen (Dieb­stahl des – ggf. so­wohl privat als auch geschäftlich genutzten – Gerätes oder unbemerkte Kopie der Daten).

Typische Schäden reichen, soweit bekannt, von der Zerstörung von Daten / Kon­fi­gura­tionen über Aus­spähen und Diebstahl von Daten oder Soft­ware, Verfälschung und Einspeisung von Falschinformation, Verweigerung oder Verzögerung legitimer Zugriffe bis zur Bedrohung der ordnungsgemässen Ge­schäfts­ausübung (inkl. der Regelung finan­zieller Verluste, der Haftung und allfälliger Verstösse gegen Gesetze und Regularien). Schliess­lich sind auch Werte wie der Ruf der Firma in ein gesamtheitliches Risiko-Management einzube­ziehen.

Mögliche Massnahmen für das IT-Risiko-Management

Wenn Risiko-reduzierende Massnahmen diskutiert werden, er­geben sich zwei Probleme. Zum einen wird oft von den verfügbaren (meist technischen) Mass­nah­men aus argumentiert und das Risiko den Massnahmen angepasst – hier wackelt der Schwanz mit dem Hund. Zum anderen ist es schwierig, das akzeptable Risiko-Niveau gut genug abzuschätzen. Zwar wird in der ICT gerne von „best practices“ oder „good practices“ gesprochen – viele An­wen­der wäre jedoch durchaus zufrieden mit einer „good enough practice“, wenn sie diesen Zustand aus­reich­end genau definieren und messen könnten.

Den Kern dieser Diskussion bilden die zu schützenden Güter bzw. deren Wert, so dass der Aufwand für Gegenmassnahmen zu diesem Wert in ein vernünftiges Ver­hält­nis gesetzt werden kann. Zudem gilt die Grundannahme, dass meist nur eine Kombi­na­tion technischer, organisatorischer und proze­duraler Elemente zum Ziel führt. Schliess­lich bilden die Messbarkeit (über gut definierte Kenn­grös­sen), die zyklische Über­prüfung der Zielerreichung sowie ein kontinuierlicher Verbesse­rungs­prozess wichtige Bausteine des Risiko-Managements. Massnahmen zur Förderung von risiko­bewusstem Ver­halten der Beteiligten runden ein entsprechendes Konzept ab.

Aufbauend darauf kann dann ein angemessenes Information Security Management Systems (ISMS) definiert und betrieben werden – dieses kann sich an verschiedenen Normen und Vorgaben orientieren:

  • ISO/IEC 2700x (insbesondere wenn eine formelle Zertifizierung des Unternehmens angestrebt wird),
  • CoBIT-5 (geeignet für ein gut auditierbares ISMS und IT Risiko-Management, basierend auf vordefinier­ten Prüfpunkten),
  • BSI-Grundschutz-Kataloge (gut geeignet für die Definition des minimal nötigen Schutzniveaus).

Elemente einer ICT „Good Enough Practice“

Im Folgenden werden Elemente einer “Good Enough Practice” im Überblick dargestellt – welche Elemente besondere Beachtung verdienen, ist im Einzelfall Gegen­stand einer genaueren Analyse.

Technik Prozesse und Regeln
  • Wissen was man hat (ICT, Personal, Lieferanten, etc. à IT Asset Management)
  • Wissen wer wer ist (Identitäts-Management)
  • Wissen wer was darf (Benutzerverwaltung, Rollen, Rechte)
  • Wissen wer was tut (Zugangskontrolle, Protokoll)
  • Wissen welche Bedrohungen relevant sind – diese Bedrohungen erkennen und abwehren
  • Die IT – Architektur definieren und kennen
  • Gesamtüberblick haben („Command & Control“)
  • Handlungen ableiten (Meldung, Alarmierung, Eskalation)
  • Den ganzen Lebenszyklus der ICT beachten
  • Alle Veränderungen überwachen
  • Ausweichinfrastrukturen und Prozesse für den Krisenfall bereitstellen
  • Tätigkeits- und Beweisprotokollierung führen
  • Klare Zuordnung und Umsetzung von Auftrag, Rollen, Verantwortlichkeiten und Kompetenzen
  • Definition und Pflege der organisatorischen und Prozess-bedingten Schnittstellen
  • Festlegung des Wunsch­zu­stan­des, Festlegung der Messgrössen und Mass­nahmen
  • Sofortmassnahmen definieren und umsetzen
  • Vollständige, aktuelle Dokumentation
  • Kontinuierlichen Verbesserungsprozess führen
  • Regelmässige Bewertung des Status als nicht delegierbare Management-Aufgabe
  • Regelmässiges Geschäftsleitungsreporting
  • Systematische Auswertung von Schadensfällen und „near misses“
  • Bewusstsein für die Problematik fördern, ggf. durch Personalbewertung und Zielvereinbarung

Fünf Voraussetzungen für die erfolgreiche Umsetzung

Voraussetzung 1:  etablierte Kommunikation

Entscheidend für den Erfolg ist ein gemeinsames Verständnis bezüglich der einge­setz­ten ICT-Mittel. Dies bedingt, dass eine gemeinsame Sprache gesprochen wird und dass die Wertesysteme aktiv abgeglichen werden. Eckpfeiler einer entsprechenden Strategie sind:

  • Sprachliche Kommunikation, d.h. weniger Dokumente und mehr direkte Konversation
  • Nur so viele Fachbegriffe wie nötig
  • Empfängergerechte Erklärungen über den Inhalt und die Disziplinen der ICT
  • Das Ziel ist, gegenseitiges Vertrauen über die Zeit aufzubauen und zu pflegen

Voraussetzung 2:  ausreichend genaue Vorgaben

Gute Zielvereinbarungen und Vorgaben sind derzeit oft mehr Kunst­hand­werk als standardisierte Ab­läufe. Dennoch ist die methodische Abstüt­zung der Vorga­ben wichtig für die Umsetzbarkeit, Mess­barkeit und stetige Verbesserung bis hin zum gewünschten Zielzustand. Beteiligt sind die leitenden Organe der Firma be­züglich strategischer Vor­gaben, sowie die operationellen Einheiten bezüglich tak­tischer Ziele. Derzeit „typische“ Themen im Bereich der Vorgaben betreffen Elemente wie die Sicherstellung der Informations­flüsse, Kompetenzregelungen, Sourcing-Strategien und strategische Kooperationen, ICT-Architekturen, strategisch wichtige Produkte und Projekte, Beherrschung / Reduktion der ICT-Komplexität sowie die Risiko-Erkennung und Bewusstseinsförderung der handelnden Personen bezüglich ICT-Risiken.

Es bewährt sich, diese Vorgaben in „Muss“- und „Kann“-Ziele im Sinne der Defi­nition nicht ver­han­delbarer „Baselines“ zu gliedern. Das Ergebnis kann dann in Form eines internen Kontrollsystems (IKS) kommuniziert werden und beeinflusst dann die Zielvereinbarungen von Geschäftsbereichen, Abteilungen und Personen.

Voraussetzung 3:  nachgewiesene Wirtschaftlichkeit

Da Präventionskosten immer umstritten sind bzw. deren Nutzen in Zeiten knapper Budgets ange­zwei­felt wird, kommt dem Nachweis der Wirtschaftlichkeit der angestrebten Massnahmen beson­dere Bedeutung zu.

Eckpfeiler Mögliche Massnahmen
  • Informatikstrategie und Grundsätze, also eine Abstützung „von oben“
  • Abgestimmtes Vorgehen aller Instanzen
  • Kostenträger ist immer der Nutzer
  • Ausgewogene Massnahmen bez. Technik, Organisation und persönlichem Verhalten
  • Kosten-/Nutzen-basierte Offerten
  • Konsequentes Controlling
  • Nutzer stellen Anforderungen und tragen die applikatorische „total cost of ownership“
  • Informatik offeriert eine adäquate Infrastruktur
  • Abgestimmte Ansichten über Ausprägung der Informatik-Sicherheit bei allen Exponenten
  • Konsequentes Risikomanagement in der Firma (auch nicht wahrgenommene Chancen)
  • Transparentes Reporting

Voraussetzung 4:  durchgängiges Risiko-Management

Ein organisationsweites Management operationeller Risiken wie diejenigen der ICT umfasst die zyk­lische Erkennung, Einschätzung, Massnahmendefinition und -umsetzung sowie die formelle Akzep­tanz des Restrisikos. Wichtige Elemente eines solchen Risiko-Managements sind:

  • Die regelmässige Durchführung von Risk Assessments bzw. die Abschätzung der Folgen sol­cher Risiken durch eine „Business Impact Analysis“ (BIA).
  • Das Führen und regelmässige Aktualisieren eines „Risk Register“ mit allen beurteilten und aufgetretenen Risiken, Massnahmen, Konsequenzen usw. Da viele Firmen nur wenige echte Schadenereignisse erleiden, sollten analog zur Luftfahrt auch „near misses“, also gerade noch abgewendete Schäden, aufgenommen werden.
  • Die Schaffung eines zeitnahen Überblicks in Form einer Risiko-Landkarte oder eines Risiko-Cockpits, mit dessen Hilfe stufen- und zeitgerecht zu den Entscheidungsträgern, aber auch zu Aufsichtsbehörden, Mitarbeitenden, Kunden, Partnern etc. kommuniziert wird.

Voraussetzung 5:  konsistentes Reporting

Entscheidungsträger können nur dann richtig entscheiden, wenn sie aktiv informiert werden. Mög­liche Elemente für diesen Informationsfluss im Firmenumfeld sind:

  • Quartalsweise Integration der ICT-Risikobeurteilung via das MIS an den Verwaltungsrat für wesentliche Fakten, Risiken und wichtige Projekte
  • Mindestens einmal pro Jahr eine formale Präsentation an den VR über den Status der ICT und die geplanten Massnahmen
  • Formelle Kenntnisnahme von Revisionsberichten zu ICT-Sicherheit und ICT-Risiko-Ma­na­ge­ment und Bewilligung der vorgeschlagenen Massnahmen – ggf. Beizug exter­nen Experten­wissens
  • Regelmässige formale Präsentation an die Geschäftsleitung über den Status der ICT und die geplanten Massnahmen; direkter Einbezug / Varianten bei wichtigen Projekten.

Abschliessende Bemerkungen

Aktives Risiko-Management in einem volatilen ICT-Umfeld ist ein ständiger Tanz auf dem Vulkan – es ist sicher, dass ein Ausbruch erfolgen wird, jedoch ist nicht klar wann, und in welcher Stärke, und welche Präventionsmassnahmen dem Risiko angemessen sind. In diesem Umfeld sind diejeni­gen Organisationen gut positioniert, die gemäss den oben angegebenen Voraussetzungen agieren, und deren Mitarbeitende agil und flexibel genug sind, auf plötzliche Verände­rungen zeitnah und ange­messen zu reagieren.