unterschätztes Risiko

Stephan Wegmüller, Dipl. Ing. FH Informatik (MAS Informationssicherheit Hochschule Luzern), schrieb seine Thesis bei Prof. Carlos Rieder über Evaluation und Umsetzung von IT-Sicherheitsdienstleistungen. Der Autor arbeitet heute als Systemingenieur

Der Weg zur sicheren Unternehmens-IT führt durch einen Dschungel von verschiedenen Möglichkeiten: angefangen bei der Installation einer Firewall über einen Netzwerkzugangsschutz bis zu detaillierten Security Audits und dem Aufbau eines Information-Security-Management-Systems (ISMS). Die Suche nach der im Einzelfall bestmöglichen Lösung wird auch durch Analysen und Empfehlungen verschiedenster Stellen nicht einfacher. Über die aktuellsten Gefahren informieren etwa die Lageberichte öffentlicher Meldestellen wie der eidgenössischen Melde- und Analysestelle Informationssicherung (Melani) oder die Mitteilungen des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Auf der anderen Seite werben Hersteller von Sicherheitsprodukten mit einzigartigen Nutzungsmöglichkeiten. Unternehmen, die für die Implementierung und Pflege der richtigen Lösung keine eigenen Ressourcen haben oder keine dafür aufwenden wollen, greifen deshalb gerne auf die Angebote von spezialisierten Sicherheitsdienstleistern zurück.

Um aus der Flut von Informationen die passende Sicherheitsdienstleistung auswählen zu können, müssen sich die Unternehmen aber im Klaren darüber sein, was sie eigentlich brauchen. Dieser Frage ging eine mehrstündige Befragung auf den Grund, die im Rahmen einer Masterarbeit an der Fachhochschule Luzern bei zehn ausgewählten Schweizer Unternehmen durchgeführt wurde. Ziel war eine Bedarfsanalyse im Bereich Informationssicherheit. Die befragten Unternehmen sind vorab in den Bereichen Produktion, Gesundheit, Verwaltung, Bau und Einzelhandel angesiedelt und beschäftigen zwischen 50 und 3000 Personen. Ausgenommen waren explizit die Finanz- und die Versicherungsbranche. Die befragten Personen nehmen vorwiegend die Funktion des IT-Leiters wahr.

Als Erstes galt es herauszufinden, inwiefern sich die Befragten überhaupt eines Sicherheitsrisikos bewusst sind. Nur etwa ein Drittel der Unternehmen hat in den letzten zwei Jahren eine Risikoanalyse durchgeführt. Nahezu die Hälfte der Befragten gaben an, dass bisher keine Analyse durchgeführt wurde - zumindest ist den befragten IT-Leitern davon nichts bekannt.

Die Umfrage förderte auch zutage, dass die Sicherheitsrisiken einem Grossteil der Unternehmen entweder zum heutigen Zeitpunkt (noch) nicht bewusst sind oder dass sie sich zumindest nicht auf eine konkrete Massnahme festlegen wollen. Das fehlende Bewusstsein soll folgendes Beispiel verdeutlichen: Bei einem der befragten Unternehmen befindet sich die zentrale Datensicherung bzw. Archivierung in der näheren Umgebung des Rechenzentrums. Ein Brandfall im Rechenzentrum und in der angrenzenden Datenarchivierungs-Zone würde es unmöglich machen, die Unternehmensdaten wiederherzustellen, das Unternehmen wäre in seiner Existenz gefährdet. Es ist mehr als unwahrscheinlich, dass dieses Risiko durch die Geschäftsleitung bewusst getragen wird.

Geklärt werden sollte in der Umfrage ausserdem, welche Sicherheitslösungen die Unternehmen bereits im Einsatz haben bzw. in welchem Bereich konkrete Massnahmen in nächster Zukunft geplant sind. Bereits umgesetzte Massnahmen sind namentlich in den Bereichen Firewall, Awareness, Netzwerk, Disaster Recovery sowie im Bereich der VPNs auszumachen. In den nächsten ein bis zwei Jahren planen die Befragten insbesondere Massnahmen in den Bereichen Disaster Recovery und elektronische Archivierung sowie Monitoring, Virtual Private Network (VPN) und physische Sicherheit (detaillierte Auswertung siehe Grafik).

Ein weiteres Ergebnis der Umfrage: Die Unternehmen sind sich häufig nicht darüber im Klaren, wer intern die Verantwortung für die Informationssicherheit zu tragen hat. Es ist generell fraglich, inwiefern diese im organisatorischen Umfeld überhaupt etabliert ist. Das Interesse an Standards und Prozessen ist verschwindend klein. Eine Ausnahme ist die Awareness: Offensichtlich sind sich die Unternehmen der Notwendigkeit einer Sensibilisierung ihrer Mitarbeiter bewusst.

Dass die IT-Leiter nahezu kein Interesse am Risikomanagement zeigen, gibt allerdings zu Befürchtungen Anlass. Auffallend ist auch, dass der Mehrheit der Befragten keine Sicherheitsvorfälle bekannt sind. Sind bereits sämtliche Prozesse so weit optimiert, dass keine Vorfälle stattfinden können? Das scheint eher unwahrscheinlich.

Archivierung und Datenschutz

Erfreulich ist, dass sich die Befragten über die Wichtigkeit und Notwendigkeit organisatorischer und technischer Massnahmen im Klaren sind und sich für beide Bereiche zu gleichen Teilen interessieren. Interessanterweise sind die elektronische Archivierung sowie der Datenschutz nach Ansicht der Betroffenen besonders relevante Gebiete, obwohl - wie sich aus einer anderen Fragekonstellation ergibt - rechtliche Lösungen sonst eher eine untergeordnete Rolle spielen. Der grösste Teil der Befragten steht im Übrigen der Beschäftigung eines unternehmensexternen Security Officer auf Zeit negativ gegenüber. Ein denkbarer Grund: Bei einem so heiklen Thema fehlt das Vertrauen zu einem Aussenstehenden.

Abschliessend stellt sich die Frage, inwiefern sich die Interessen der IT-Leiter und der effektive Bedarf der Unternehmen unterscheiden. Diese Diskrepanz müsste durch eine Risikoanalyse evaluiert werden.
Mutmasslich fehlt es häufig an einer Unternehmensstrategie. Bevor sich der IT-Leiter mit den möglichen Bedürfnissen oder konkreten Massnahmen auseinandersetzt, müsste bereits eine Sicherheitspolitik auf Ebene der Geschäftsleitung bestehen, die beschreibend festhält, worin die spezifischen Interessen der Unternehmung zu sehen sind. In einem weiteren Schritt könnten mögliche Risiken mit einer Risikoanalyse identifiziert und anschliessend durch geeignete Massnahmen reduziert werden. Periodische Überprüfungen stellen sicher, dass die Massnahmen über einen längeren Zeitraum die Ziele des Unternehmens untermauern.

Unternehmen, die bereits eine Risikoanalyse durchgeführt haben, sind sich der Risiken bewusst und investieren auch in die erforderlichen Massnahmen. Ausserdem wird so auch eine Kostenabschätzung möglich. Die zur Verfügung stehenden Ressourcen können optimal auf die reellen Bedürfnisse der Unternehmen zugeschnitten werden. Massnahmen, die höhere Kosten verursachen als der aus wirtschaftlicher Sicht erwartete bezifferbare Schaden, sind damit identifizierbar und lassen sich vermeiden. Einzige Ausnahme: Personenschäden, die im Sinne einer guten Unternehmenskultur nicht mit materiellen Werten zu vergleichen sind.

In Anbetracht aller Aspekte stellt sich die Frage, wie Unternehmen, die keine Risiken messen und bewerten, überhaupt in geeignete Massnahmen investieren können. Im Blindflug und nach Gutdünken Massnahmen umzusetzen, ergibt weder aus sicherheitstechnischer noch aus wirtschaftlicher Sicht viel Sinn.

Risikoanalysen tragen massgebend dazu bei, den Bedürfnissen der Unternehmen zu entsprechen, und unterstützen diese bei der Auswahl von Sicherheitsdienstleitungen. Sie sind grundlegende Voraussetzung für eine effiziente Bedürfnisabklärung, verhelfen der Corporate Governance zu einer positiven Entwicklung und sorgen nicht zuletzt dafür, dass den gesetzlichen Anforderungen Genüge getan wird.

Vor- und Nachteile von Risikoanalysen

+ Ressourcen lassen sich optimal für die Bedürfnisse einsetzen
+ Verständnis für Abhängigkeiten steigt (Was geschieht, falls System X ausfällt?)
+ Das Sicherheitsbewusstsein im Unternehmen erhöht sich
+ Sicherheitskonzepte lassen sich beim Entscheidungsträger besser rechtfertigen
+ Bestehende Sicherheitsmassnahmen können überprüft werden
+ Schwachstellen werden aufgedeckt, Prozesse können optimiert werden
- Risiken sind teilweise als Annahme
zu treffen und werden nur als mögliche
Szenarien gelistet (Was wäre, wenn .?.?.)
- Eine Risikoanalyse ist nur wirksam, wenn die Ergebnisse weiterverwendet werden (beispielsweise zum Aufbau eines Information-Security-Management-Systems, ISMS, mit periodischer Überprüfung)