Informationssicherheitsmanagement

Sinnbild Informationssicherheit

Informationssicherheitsmanagement sorgt dafür, dass die Daten – das Rückgrat der Unternehmen – verfügbar sind, der Zugriff darauf funktioniert und die Prozesse den rechtlichen Rahmenbedingungen genügen. Insbesondere wenn eine eigene IT-Infrastruktur im Unternehmen betrieben wird, ist Informationssicherheitsmanagement unabdingbar und gehört somit zum Methodenapparat der Wirtschaftsinformatik.
Dabei gilt das nicht nur für Unternehmen, sondern auch für Behörden und andere Organisationen, z.B. Vereine.

Stand: 15.12.2021

Der Beitrag Infornationssicherheitsmanagement ist Teil der Artikelserie „Methoden der Wirtschaftsinformatik von Null auf Hundert“

Einen Überblick über die Beiträge zu den Methoden finden Sie hier.

Warum sollten Sie sich mit Informationssicherheit beschäftigen?

Zwei Gründe sprechen für die Befassung mit Informationssicherheitsmanagement: Gesetzliche Verpflichtungen und Selbstschutz.

Gesetzliche Verpflichtung

Der erste Grund: Gesetzliche Verpflichtungen legen es einigen Unternehmen nahe, sich mit Informationssicherheit zu beschäftigen. Am 24.7.2015 wurde das IT-Sicherheitsgesetz und am 2.5.2016 die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S. 958ff.) veröffentlicht. Letzteres beschränkt das Anwendungsgebiet auf sogenannte Kritische Infrastrukturen (KRITIS). Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit elementarer Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten würden. Zu den Kritischen Infrastrukturen gehören z.B. Versorgungsunternehmen und Krankenhäuser.

Selbstschutz

Der zweite Grund: Selbstschutz in Unternehmen. Die Verfügbarkeit, die Vertraulichkeit und die Integrität (Korrektheit) der Daten sind für Unternehmen wichtige Aspekte.
Informationssicherheit ist für die meisten Unternehmen von elementarer Bedeutung. Informationssicherheitsmanagement, also das Bewerten, Steuern, Kontrollieren, Weiterentwickeln und die Führungsaufgaben zur Informationssicherheit, ist wesentlich, um die Informationssicherheit zu erhöhen und Risiken in Unternehmen zu mindern.

Was ist Informationssicherheit und was IT-Sicherheit?

Informationssicherheit hat den Schutz von Informationen jeglicher Art und Herkunft, also
– Informationen auf Papier
– Informationen in Rechnersystemen
– Informationen in den Köpfen der Menschen.
als Ziel.
IT-Sicherheit beschäftigt sich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.
So gesehen umfasst Informationssicherheit die IT-Sicherheit, Informationssicherheit ist der übergeordnete Begriff (vgl. Abb. 4-1).
Informationssicherheitsmanagement legt die organisatorischen und technischen Maßnahmen fest, die das Risiko senken.

Zusammengang zwischen Informationssicherheit und IT-Sicherheit

Abb. 1 Zusammengang zwischen Informationssicherheit und IT-Sicherheit

Informationen sind wichtige Werte für Unternehmen und Sie müssen sie angemessen schützen. Viele Informationen werden mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. Es hat sich gezeigt, dass Optimierung des Informationssicherheitsmanagements effektiver ist als lediglich Investitionen in Sicherheitstechnik.

Was ist Risiko?

Risiko ist das, was es im Unternehmen zu mindern gilt. Um Risiko zu mindern, müssen Sie es zuvor bestimmen und bewerten. Eine Bewertung gelingt dann einfach, wenn Sie das Risiko in Form eines Geldbetrages pro Zeit ausdrücken. Risiko ist definiert als
Risiko = Schadenshöhe (in €) x Schadenseintrittswahrscheinlichkeit (in Ereignis pro Zeiteinheit.)
Beispiel „Wordpress-Attacke“:
Für die Wiederherstellung eines komplett zerstörten WordPress-Blogs schätzen Sie einen Zeitaufwand von 9 Personentagen bei einem Stundenlohn von 65 €. Das entspricht einem Schaden von 9*8*65=4680€. Ebenso vermuten Sie, dass ein solch zerstörerischer Angriff (oder ein Fehler, der den Blog zerstört) alle drei Jahre einmal vorkommt. Damit beträgt das Risiko 4680/3=1560€ pro Jahr.
Oft müssen Sie noch Reputationsverluste hinzukalkulieren, die sich allerdings nur schwer in Geldbeträgen schätzen lassen.

Wie können Sie Risiko senken?

Es ist betriebswirtschaftlich nicht sinnvoll, mehr für Maßnahme zur Risikominimierung zu investieren, als sie Erfolg bringt.
Beispiel „Backup WordPress“: Als Beispiel sei der Kauf eines Systems genannt, das regelmäßig Backups des WordPress Blogs erzeugt, so dass Sie das System in drei Stunden reparieren können. Solch ein System mag 800 € kosten. Das Risiko nach Beschaffung und Einrichtung des Systems ist nun 3*65/3=65€ pro Jahr. Somit bringt das System schon im ersten Jahr eine Risikosenkung von 1560-65=1495€, Sie haben die 800€ also schon im ersten Jahr wieder „raus“.
Es gibt grundsätzlich zwei Möglichkeiten, Risiko zu senken:
• erstens durch Senkung der Schadenshöhe wie im Beispiel und
• zweitens durch Senkung der Schadenseintrittswahrscheinlichkeit. Die Schadenseintrittswahrscheinlichkeit kann prinzipiell nicht auf 0 gesenkt werden. Eine Senkung der Schadenseintrittswahrscheinlichkeit könnte im Beispiel durch Deaktivierung der Kommentarfunktionen in WordPress erfolgen.

Welche Einfallstore gibt es für Bedrohungen?

Für einen potenziellen Angriff auf die Informationssicherheit gibt es grundsätzlich drei Einfallstore (Abb. 4-2):
1. Maschinen
2. Dinge und Räume
3. Menschen
Dabei ist der Mensch ein wichtiges und empfindliches Einfallstor.

Maschine

Das ist das, was man sich klassisch unter IT-Sicherheit vorstellt. Ein Angreifer (Hacker) versucht z.B. mit Schadsoftware eine Festplatte auszulesen oder Netzdienstleistungen zu nutzen.

Dinge und Räume

Oft gibt es es ganz einfach Wege , Informationen auszuspähen. Auf dem Tisch liegende Aktenordner oder in den Papierkorb geworfene Entwürfe (oder Kontoauszüge am Kassenautomaten) können schützenswerte Informationen offenbaren.

Mensch

Menschen sind ein dankbares Einfallstor. Oft werden Menschen manipuliert, um ein Eindringen in Computersysteme einfacher zu ermöglichen. Das zielgerichtete und systematische Vorgehen zur Manipulation von Menschen nennt man Social Engineering. Je mehr eine Angreifer über einen Menschen weiß, desto gezielter kann der Angreifer vorgehen.

Drei Einfallstore der Informationssicherheit

Abb. 2 Drei Einfallstore der Informationssicherheit

Social Engineering im Detail

Das Ziel des Social Engineering ist die zwischenmenschliche Beeinflussungen, um bei Personen bestimmtes Verhalten hervorzurufen. So sollen sie zum Beispiel vertrauliche Informationen preisgeben, ein Produkt kaufen oder Finanzmittel freigeben.
Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensmuster wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Oft dient Social Engineering der Vorbereitung des Eindringens in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann von Social Hacking.
Es gibt drei Unterarten des Social Engineerings: Computer Based Social Engineering, Human Based Social Engineering, Reverse Social Engineering.

Computer Based Social Engineering

Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit technischen Hilfsmitteln beschafft. Die Hilfsmittel können manipulierte Internetseiten, Mailanhänge mit Links oder Schadprogrammen oder Popup-Fenster mit Eingabefeldern sein.

Human Based Social Engineering

Beim „Human-Based Social Engineering“ beschafft ein Angreifer Informationen auf nicht-technischem Weg über die soziale Annäherung an Personen. So gibt der schüchterne Programmierer einer professionellen Angreiferin, die sich als an ihm als Person interessiert ausgibt, vielleicht Informationen über sein Programmsystem preis.

Reverse Social Engineering

Ein Mitarbeiter im Unternehmen wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer zu übermitteln. Zum Beispiel kann sich ein Angreifer als Supportmitarbeiter ausgeben und hinterlässt für Probleme seine Kontaktdaten. Danach provoziert der Angreifer ein Problem mit dem Ziel, dass das Opfer ihn kontaktiert und ihm für die Problembehebung Zugang zu seinem Computersystem gewährt.

Welche Ziele hat das Informationssicherheitsmanagement?

Informationssicherheitsmanagement verfolgt drei sogenannte Schutzziele:
1. Schutz der Verfügbarkeit. Das heißt, alle Informationen sind zur rechten Zeit am rechten Ort.
2. Schutz der Vertraulichkeit. Das heißt, nur die Menschen, die „zuständig“ sind, erhalten Zugang zu den Informationen.
3. Schutz der Integrität. Das bedeutet, dass die Daten in einem vollständigen und korrekten (richtigen) Zustand sind.
Die Schutzziele sind ein wesentliches Konstrukt des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik.

Was ist ein Informationssicherheitsmanagementsystem?

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 hilft, die Sicherheit im Unternehmen geordnet und nachprüfbar zu erhöhen. Ein ISMS definiert dazu Regeln und Methoden, um Informationssicherheitsmanagement einzuführen und zu betreiben. Ein ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz – die Initiative geht also von der Unternehmensführung aus. Die Neueinführung eines ISMS ist in der Regel ein Projekt. Das ISMS „am Leben zu erhalten“ und den sich wandelnden Gegebenheiten anzupassen, ist ein ständiger Verbesserungsprozess und folgt dem PDCA-Zyklus.

Wie entwickeln Sie ein Informationssicherheitsmanagementsystem?

Sicherheitsleitlinien

Oft beziehen Sie einen externer Dienstleister, der auf die Erstellung und die Konzeption von ISMS spezialisiert ist, in die Entwicklung eines ISMS mit ein. Die Einführung eines ISMS startet mit der Definition von Sicherheitsleitlinien (engl. policy) durch die Geschäftsführung. Der Dienstleister berät die Geschäftsführung dabei. Die Sicherheitsleitlinien sind elementar, da sie alle weiteren Schritte beeinflussen. Daher sind die Leitlinien idealerweise S.M.A.R.T formuliert. S.M.A.R.T heißt: Spezifisch und konkret, mess- und nachprüfbar, akzeptabel, realistisch und terminiert, also mit einem Zeitpunkt versehen. Leitlinien haben in Unternehmen allerdings zuweilen einen „politischen“ Charakter, sind also in der Praxis weicher formuliert.

Informationsverbund

Sie erfassen alle Geräte, Anwendungen, Menschen und Räume, für die das ISMS gelten soll. Die Zusammenstellung ist der sogenannte Informationsverbund. Zur Visualisierung des Informationsverbundes eignet sich eine Topologie.

Risikobewertung

Nicht alles ist gleich schützenswert. Um das Risiko bewerten zu können, ist im nächsten Schritt der Schutzbedarf für jede Komponente des Informationsverbundes festzustellen.
Nun können Sie Maßnahmen zur Senkung der Risiken planen und umsetzen (implementieren).

Maßnahmen und Evaluation

Die Überprüfung, ob die Maßnahmen in geeigneter Weise die Informationssicherheit erhöhen, erfolgt zum Schluss. Das kann z.B. durch Simulationen von Angriffen („ethical hacking“) oder durch Übungen ähnlich einer Brandschutzübung erfolgen. Hilfreich ist zudem eine Zertifizierung. Oft ist das Beratungsunternehmen, das zu Beginn mit einbezogen wird, auch Zertifizierer.
Nach einer gewissen Zeit, beispielsweise alle zwei Jahre, sollten Sie überprüfen, ob das ISMS noch den Bedarfen des Unternehmens genügt. Ggf. Sind Anpassungen der Leitlinie, der Regelungen und der Maßnahmen erforderlich. Dies entspricht einem kontinuierliche. Verbesserungsprozess. Der Ablauf zur Einrichtung und zum Erhalt eines ISMS ist in Abb. 4-3 dargestellt.

Der Weg zum ISMS

Abb. 3 Der Weg zum Informationssicherheitsmanagementsystem

Wichtig ist: Anfangen

Den größten Zuwachs an Informationssicherheit bzw. die größte Risikoreduktion erreichen Unternehmen bei der anfänglichen Einrichtung des Informationssicherheitsmanagements. Insbesondere zeigt sich, dass Maßnahmen in Form von organisatorischen Regelungen oft wirksamer und effizienter sind als technische Schutzmaßnahmen. Schulung und Sensibilisierung der Mitarbeitenden werden „mehr bringen“ als ein Virenscanner.

Warum Informationssicherheit nicht umsonst ist – das Spannungsdreieck

Maßnahmen zur Senkung des Risikos sind meist mit Verhaltenseinschränkungen verbunden. Wenn beispielsweise Bürotüren verschlossen und PCs mit einem Passwort gesichert werden müssen, ist dies erst einmal unbequem. Ebenso werden Sicherheitsmaßnahmen auch Kosten verursachen, z. B. in Form von Brandschutztüren oder redundanten Computersystemen. Informationssicherheit wird sich also immer in einem Spannungsdreieck wie in Abb. 4-4 bewegen. Im privaten Umfeld wird die Bequemlichkeit Vorrang haben, im Unternehmen balancieren Sie zwischen hoher Sicherheit und geringen Kosten.

Spannungsdreieck Bequemlichkeit Kosten Sicherheit

Abb. 4 Spannungsdreieck der Informationssicherheit

Was bedeuten IT-Security-Awareness und IT-Security-Literacy?

Hinter den beiden Anglizismen Awareness und Literacy verbergen sich grundlegende Eigenschaften von Menschen: Veränderungen werden oft abgelehnt. Denn bei vielen fehlt die Einsicht, dass das eigene Verhalten zur Informationssicherheit im Unternehmen beiträgt. Das kann zum einen an geringen Grundkenntnissen (Literacy – zu deutsch Belesenheit) über Informationssicherheit und zum anderen an der unzureichenden Wertschätzung (Awareness) des Themas liegen. Die Erhöhung der Literacy und der Awareness sind wesentlicher Bestandteil der organisatorischen Maßnahmen zur Erhöhung der Informationssicherheit.

Veränderungsbereitschaft und Gamification

Ein Argument von Mitarbeitern, die die Einschränkungen der Bequemlichkeit durch Informationssicherheit nicht mögen, ist: „Was soll mein Verhalten schon für einen Beitrag leisten? IT-Sicherheit ist doch Sache der IT-Abteilung …“ Hier anzusetzen heißt u.a. Schulung der Mitarbeiter. Die Motivation und die Bereitschaft der Mitarbeiter, sich an Schulungsmaßnahmen und – wichtiger noch – an Veränderungsprozessen zu beteiligen, wird nicht immer hoch sein. Hier kann ein passendes Gamification-Konzept unterstützend wirken. Gamification bedeutet, mit gezielt und punktuell eingesetzten spielerischen Aspekten die Motivation zu einer Verhaltensänderung zu erhöhen.

Beispiel: Awareness schaffen

Mit der Weitergabe der eigenen Daten – was durchaus unabsichtlich geschehen kann – erhält ein Angreifer im Zweifelsfall die Informationen, die er für einen Sozial-Engineering-Angriff braucht. Und heute ist die Privatheit der eigenen Daten zunehmend bedroht, sei es durch das Datensammeln und -verknüpfen der sozialen Netzwerke oder aber auch durch Überwachungskameras, jetzt aktuell Videokonverenzsysteme und Handyfotos von Menschen, die ihr Denunziantentum ausleben. Eine Kunskampagne namens CV Dazzle kann hier auf eindrucksvolle Weise das „Austricksen“ von visueller Ausspähung aufzeigen: https://www.fluter.de/cv-dazzle-anti-ueberwachung-makeup-harvey

IT-Sicherheit – aktuelle Presseberichterstattung

Stand Dezember 2021 verwendet die Presse oft Überschriften mit „Cybersecurity“, „Cyberattacke“, „IT-Sicherheit“. Dass es sich letztendlich durch gezieltes Informationssicherheitsmanagement reduzierbare Bedrohungslagen handelt, wird nicht offensiv reflektiert. Ein Umdenken und eine andere Wortwahl könnten zur Wertschätzung (Aweareness) beitragen.

Info-Grafik: Kritis Sicherheitsvorfälle gemeldet

Abb. 5: Handelsblatt vom 14.12.2021: IT-Sicherheitsvorfälle – Zahl der Meldungen von Betreibern kritischer Infrastrukturen (Kritis)

Artikel Handelsblatt Cybersecurity

Abb. 6: Handelsblatt vom 14.12.2021: Cybersecurity – Sicherheitslücke bedroht große Teile des Internets

Quellen und Links

[1] Abts/Mülder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011, S. 465-467, 471-472, 481-482, 488-489

[2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De Gruyter, Berlin. 12. Auflage. S. 381 -436

[3] www.bsi.bund.de, insbesondere
„BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)“

[4] Kritische Infrastrukturen
https://www.bbk.bund.de/DE/AufgabenundAusstattung/KritischeInfrastrukturen/kritischeinfrastrukturen_node.html

Video-Vortrag auf youtube: https://youtu.be/Sfs-plMfB1s

Teile diesen Beitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert