Vom Sicher­heitskult zur Sicherheits­kultur

Angreifer wie Hersteller von Sicherheitslösungen sind mit immer ausgefeilteren Methoden immer wieder für neue Entwicklungsschübe besorgt. Für den Sicherheitsverantwortlichen erschwert die zunehmende Komplexität der eingesetzten Systemlandschaften und Applikationen eine systematische Absicherung seines Unternehmens. Lösungsansätze zur IT-Sicherheit erfordern eine Kombination verschiedener Hilfsmittel und Systeme, die auf Grund der sich ändernden Bedrohungslage immer wieder aufs Neue nachgebessert und angepasst werden müssen. Ein technikorientierter Sicherheitsansatz kann der aktuellen Bedrohungslage deshalb immer nur hinterherhinken. Sicherheit in einem Unternehmen entsteht durch das Zusammenspiel verschiedener, miteinander in Beziehung stehender Elemente. Im Bereich der Informationssicherheit sind dabei die Organisation, die relevanten Prozesse, die unterstützende ICT-Infrastruktur aber auch Gebäude und Anlagen als wesentlichste Elemente zu betrachten. Über diese vier Pfeiler kann ein systematisches Sicherheitsframework gelegt werden, die eine schnelle Beurteilung der Gesamtsituation und daraus abgeleitet ein strukturiertes Vorgehen zur Behebung identifizierter Lücken ermöglicht (siehe Grafik).

Die darauf basierende Risikoanalyse identifiziert sowohl die Bedrohungslage als auch den unternehmensspezifischen Schutzbedarf. Abgestützt auf diese Analyseresultate ist zu bestimmen, welche Restrisiken die Unternehmung zu tragen bereit ist und welche der identifizierten Risiken durch Massnahmen in welchem Ausmass reduziert werden sollen.

Basierend auf den Resultaten der Risikoanalyse ist das Sicherheits- und das Notfallkonzept auszuarbeiten. Ersteres beschreibt den Umgang mit dem Thema Sicherheit im Normalbetrieb und umfasst in erster Linie präventive Massnahmen zur Reduktion der Risiken sowie die Prozesse, welche sicherstellen, dass das Framework der sich verändernden Organisation und den sich ebenfalls verändernden Anforderungen an die Sicherheit laufend angepasst wird (Information Security Management System). Das Notfallkonzept hingegen umfasst die vorbereitenden Massnahmen, um eintretende Schadensfälle möglichst schnell und unter Minimierung des daraus entstehenden Impact bewältigen zu können und das Unternehmen geordnet in den Normalbetrieb zurückführen zu können. Es besteht aus dem Business Continuity Plan (BCP), der die Führung des Geschäftes in Krisen definiert (Krisenmanagement, Koordination der Disaster Recovery Arbeiten, Kommunikation) und aus den Disaster Recovery Plänen (DRP), die festlegen, wie die zentralen Prozesse und Systeme wieder in den Normalbetrieb zurückgeführt werden.