J. Hörnemann, T. Neugebauer, Norbert Pohlmann (Institut für Internet-Sicherheit):
„Dreiklang der IT-Sicherheit: Menschen, Prozesse, Technologie – Zurück auf Los“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz,
DATAKONTEXT-Fachverlag,
3/2023
Im Rahmen der digitalen Transformation ist es notwendig, der Cyber-Sicherheit zunehmend mehr Bedeutung beizumessen. Die analoge Welt wächst immer mehr mit der digitalen zuasmmen, somit sind die Konsequenzen von erfolgreichen Cyberangriffen spürbarer. Eine keinesfalls triviale Herausforderung, die sämtliche Unternehmen, aber auch die Gesellschaft, vor noch nie dagewesene Probleme stellt.
Umso wichtiger ist es, eine angemessene Vorgehensweise für mehr IT-Sicherheit zu entwickeln und anzupassen. Diese IT-Sicherheitsvorgehensweise sollte aus einem tiefen Einblick der einander beeinflussenden drei Schlüsselfaktoren – Mensch, Prozesse und Technik – beruhen. Wenn diese Schlüsselfaktoren sorgfältig austariert werden, lässt sich durch diese Vorgehensweise ein höherer Grad an IT-Sicherheit entwickeln. Mit einem Verständnis der Einflüsse können Organisation und Unternehmen fundierte Entscheidungen treffen und somit die Effizienz und Effektivität bezüglich der IT-Sicherheit steigern. Die betrachteten Faktoren stehen in Relation zueinander und müssen sowohl einzeln als auch zusammen analysiert sowie verstanden werden. Mensch, Prozesse und Technik bilden eine Dreiecksbeziehung und brauchen ein Dreiklang-Framework zum Verständnis der eigenen Organisation.
Das Verständnis der eigenen Organisation ist äußerst wichtig, um die IT-Sicherheit zu verbessern. Nur wenn die eigene Arbeitsweise und Struktur im Unternehmen bekannt ist, können Schwachstellen in der IT-Sicherheit erkannt und behoben werden. Wichtig dabei ist zu klären, wer auf welche Daten, Dienste und IT-Systeme Zugriff hat und welche Werte in diesem Kontext am wichtigsten und nutzbringendsten sind. Somit kann eine Priorisierung und damit eine Reduzierung der Rechte vorgenommen werden, um den optimalen Schutz für die wichtigen IT-Systeme zu gewährleisten. Durch das sehr gute Kennen der eigenen Organisationsstruktur können potenzielle Angriffsvektoren reduziert werden. Veraltete IT-Systeme müssen aufgedeckt und neue Angriffsflächen identifiziert werden. Besonders erstere stellen einen nicht unerheblichen Anteil an Schwachstellen in der eigenen IT-Sicherheit dar, Datenverluste oder finanzielle Schäden sind oft die Folge. Es ist beunruhigend, wie viele Organisationen die eigenen IT-Systeme und deren Schutzbedarfe nicht kennen.
Der Mensch als Faktor für mehr IT-Sicherheit
(Dreiklang der IT-Sicherheit)Im Dreiklang-Framework wird als ein Faktor das ‚menschliche Element‘ betrachtet. Unter dem Begriff ‚menschliches Element‘ werden alle internen und externen Mitarbeiter subsumiert, die mit dem Geschäftsbetrieb und der Entscheidungsfindung im Unternehmen in Verbindung stehen. Dabei ist der Mensch ein wichtiges Element im Kontext der IT-Sicherheit, da er die Prozesse entwickelt und ausführt sowie die Technik bedient und nutzt. Es ist jedoch wichtig zu beachten, dass der Mensch nicht nur ein Ausführender von Prozessen ist, sondern auch aktiv an Entscheidungsprozessen beteiligt sein sollte. Mitarbeiter können insgesamt durch ihre individuellen Standpunkte, Expertise und Erfahrungen wertvolle Beiträge zu Entscheidungen leisten. Wichtig zu bedenken ist jedoch, dass die Arbeitseffizienz der Mitarbeiter durch diverse Elemente geprägt und beeinflusst wird. Dabei spielt die gelebte Unternehmenskultur eine wichtige Rolle, da sie unmittelbar in Zusammenhang mit der Motivation und der Arbeitszufriedenheit der Mitarbeiter steht. Auch die Fähigkeiten der Mitarbeiter und die der Führungsebene der Organisation haben dementsprechend einen Einfluss auf die Aufrechterhaltung der IT-Sicherheit sowie insgesamt auf den Erfolg des Unternehmens. Die Führungsebene hat die Verantwortung, eine IT-Sicherheitsvorgehensweise zu entwickeln sowie zu implementieren und letztendlich dadurch das Sicherheitsbewusstsein der Mitarbeiter zu fördern, unter anderem durch die Bereitstellung entsprechender Fortbildungen. Neben diesen Verantwortlichkeiten muss die Führungsebene aber auch genug Ressourcen zum Beispiel personell oder finanziell zur Verfügung stellen. Es ist wichtig, dass Unternehmen die Bedeutung des menschlichen Faktors erkennen und somit gezielt IT-Sicherheitsmaßnahmen im Einklang mit den anderen Faktoren ergreifen können. Mit IT-Sicherheitsfortbildungen können diverse relevante IT-Sicherheitsthemen wie der Umgang mit E-Mails, Passwörtern oder Social Engineering behandelt werden, um mehr IT-Sicherheit zu schaffen. Auch können hier über die eigenen IT-Sicherheitsrichtlinien aufgeklärt werden. Es ist essenziell, dass die IT-Sicherheitsrichtlinien des eigenen Unternehmens verstanden und damit befolgt werden können. Aber auch wie mit den vorhandenen IT-Sicherheitsmaßnahmen umgegangen wird, ist ein wichtiger Aspekt, damit die Mitarbeiter helfen können, das Unternehmen und damit ihren eigenen Arbeitsplatz zu schützen. Um den Erfolg der Schulungen zu messen, können Überprüfungen stattfinden und Feedback der Mitarbeiter gesammelt werden. Über die letzten Jahrzehnte waren Menschen ein signifikanter Bestandteil von Sicherheitsrisiken. Die Führungsebene ist maßgeblich der Verantwortungsträger für die Implementierung einer angemessenen IT-Sicherheitsvorgehensweise, sie trägt erheblich zum Erfolg der Informationssicherheit in Organisation bei.
Der Prozess als Faktor für mehr IT-Sicherheit
(Dreiklang der IT-Sicherheit)Der zweite Faktor im Dreiklang-Framework (Dreiklang der IT-Sicherheit) sind die Prozesse, eine Zusammenstellung von Aktivitäten, die darauf ausgerichtet sind, ein bestimmtes Ziel im Unternehmen zu erreichen. Sie stellen einen strukturierten Ansatz zum Erreichen der Ziele dar und sind ein essenzieller Bestandteil eines jeden Unternehmens, denn dadurch lassen sich Zeit sowie Ressourcen sparen und somit letzten Endes Kosten. Mit Prozessen können wiederkehrende Abläufe standardisiert und automatisiert werden. Durch Standardisierung können menschliche Fehler reduziert werden. Besonders bei der Handhabung von sensiblen Daten müssen menschliche Unzulänglichkeiten, so gut es geht, verringert werden. Eine bekannte Norm in der Informationssicherheit ist die ISO 27001. Mit ihr werden verschiedene Anforderungen an die Informationssicherheit einer Organisation gestellt, die mit Richtlinien und Prozessen gelöst werden. Das zeigt deutlich, wie wichtig feste Prozesse in der Informationssicherheit sind. Im Dreiklang-Framework wird die Kategorie der Prozesse in drei Typen aufgeteilt: die Geschäftsprozesse, die Betriebsprozesse und die Managementprozesse. Die Geschäftsprozesse umfassen alle Abläufe, die direkt mit der Wertschöpfungskette des Unternehmens verbunden sind. Beispiele dafür sind die Produktion, das Marketing oder der Vertrieb. Die Betriebsprozesse regeln den alltäglichen Betrieb der Organisation und umfassen Personalmanagement, Buchhaltung oder das Betreiben der eigenen IT-Infrastruktur. Planung, Organisation und die Kontrolle anderer Prozesse werden durch Managementprozesse festgehalten. Eine Untersuchung der Virginia Polytechnic Institute and State University zeigt, dass bei Implementierung der verschiedenen Prozesse je nach Fokus auf die einzelnen Prozessarten Unterschiede beim Auftreten von IT-Sicherheitsvorfällen hervorgerufen werden. Untersucht wurden verschiedene Organisationen, die die sogenannten Controls aus der Norm ISO 27001 implementierten, die oft durch eigene Prozesse abgedeckt werden können. Unternehmen mit Fokus auf Technik und Vernachlässigung der managementorientierten Controls berichteten häufiger über IT-Sicherheitsvorfälle als welche, die sich auf alle Faktoren konzentrierten. Dies kann ein Hinweis darauf sein, dass sich eine einseitige Vernachlässigung der Controls und somit auch der Prozesse eines einzelnen Prozesstyps negativ auf die IT-Sicherheit eines Unternehmens auswirkt. Prozesse bilden den Rahmen zur Bewertung von verschiedenen Entscheidungskriterien und sind somit essenziell für die finale Entscheidung. Eine klar strukturierte Herangehensweise kann sicherstellen, dass Entscheidungen auf Basis von fundierten Erkenntnissen getroffen werden. Eine Implementierung von Prozessen ist in jeder Organisation unverzichtbar. Aufgrund der Einführung von Prozessen ist es für Unternehmen möglich weniger Ressourcen für sich wiederholende Abläufe aufwenden und haben so die Möglichkeit, sich auf ihre Kernkompetenzen zu konzentrieren.
Die Technik als Faktor für mehr IT-SicherheitAls letzter Faktor wird im Dreiklang-Framework des Dreiecks der IT-Sicherheit die Technik betrachtet. Hier eingeschlossen sind sämtlich Tools, Software und Hardware, die Betriebsabläufe unterstützen. Aufgrund der Technik können Prozesse schneller und effizienter durchgeführt werden. Im Dreiklang-Framework wird zwischen der Informations-, der Betriebs- und der Kollaborationstechnik unterschieden. Um eine umfassende IT-Sicherheit zu gewährleisten, müssen technische IT-Sicherheitsmaßnahmen entwickelt und umgesetzt werden. Dazu können z. B. Firewalls, Intrusion Detection und Prevention Systeme, Verschlüsselung, Multifaktor-Authentifizierung und moderne Endgerätesicherheit gehören. Wichtig bei der IT-Sicherheitstechnik ist, dass obligatorisch der “Stand der Technik” verwendet wird, um eine ausreichende Wirkung gegen die aktuellen Angriffe erzielen zu können. Dadurch, dass die Technik als Gesamtes Daten zur Verfügung stellt und Analysen sowie Einblicke in diese gewährt, wird sie ein integraler Bestandteil des Entscheidungsprozesses. Als Beispiele lassen sich hier Datenanalyse-Tools nennen, die große Datenmengen in kürzester Zeit verarbeiten können. Der Organisation können somit schnell Ergebnisse geliefert werden. Mit solchen Tools können IT-Sicherheitsmaßnahmen optimiert oder Risiken analysiert werden. Denn mit dem Aufkommen des Internets der Dinge (IoT) werden immer mehr Geräte und Maschinen vernetzt, wodurch neue Risiken entstehen. Aus diesem Grund ist es für Unternehmen obligatorisch, diverse Geräte in Echtzeit zu überwachen und entsprechende Entscheidungen zu treffen. Mögliche Anwendungsfelder wären z. B. das Planen von Wartungs- und Reparaturarbeiten auf Basis von aggregierten Gerätedaten. Das Nutzen von Technologien allein reicht jedoch nicht aus. Dies ist ein gutes Beispiel dafür, dass die verwendeten Technologien in der Unternehmensstrategie verwurzelt sein und auch von den Mitarbeitern benutzt werden.
… kostenlos downloaden | 
