Vom Sicher­heitskult zur Sicherheits­kultur

Von zentraler Bedeutung ist die anschliessende Implementierungsphase zur Umsetzung der erarbeiteten Konzepte und Massnahmen. Während dies im Bereich von Organisation oder Prozessen oftmals Prozessanpassungen und -einführungen, gezielte Schulungen, Übungen oder Awarenesskampagnen sind, handelt es sich im Bereich der Gebäude und Anlagen und der ICT-Infrastruktur um die Umsetzung der definierten Präventivmassnahmen zur gezielten Verminderung der Risikoexposition oder zur Vorbereitung der definierten DRP-Massnahmen. Zentral ist in dieser Phase aber auch die Etablierung eines eigentlichen Sicherheits-Management-Prozesses als Teil des Risikomanagements des Unternehmens, der dafür sorgt, dass die definierten Konzepte den sich dauernd ändernden Rahmenbedingungen im Unternehmen angepasst werden, und dass die Geschäftsleitung und der Verwaltungsrat auf regelmässiger Basis entscheidungsrelevante Informationen über den Stand im Bereich Sicherheit erhalten. Angelehnt an BS7799-2 sprechen wir von der Etablierung eines Information Security Management System (ISMS).

Da Sicherheit im Normalbetrieb - insbesondere bei längerem Ausbleiben von grösseren Störungen und Krisen - eher als zusätzlicher Aufwand betrachtet wird, ist die fortlaufende, systematische Überprüfung des Ist-Zustandes in Teilbereichen eine absolute Notwendigkeit. Die Mittel dazu sind Audits, Reviews oder Übungen (BCM) aber auch Inspektionen, Funktionskontrollen oder Penetration Tests oder Social Engineering. Diese Instrumente helfen bei der Identifikation von Schwachstellen und Änderungs-bedarf, so dass einerseits Sicherheits- und Notfallkonzepte an die sich im Laufe der Zeit ändernden ICT-Systeme, Infrastrukturen und Prozesse angepasst werden können, andererseits aber auch weitere Massnahmen für die Sensibilisierung und Verbesserung der Umsetzung im Unternehmen definiert und umgesetzt werden können. Die systematischen Überprüfungen müssen so ausgelegt sein, dass sie grundsätzlich von der internen Sicherheitsorganisation getragen werden können. Es macht aber gerade auch in diesem Bereich Sinn, immer wieder Externe mit einzubinden, um eine Aussensicht zu erhalten, neuestes Wissen einzubinden und damit sicher zu stellen, dass nicht auf Grund von «Betriebsblindheit» neue unerkannte Risiken entstehen.

Die Vorbereitung auf eine Zertifizierung nach BS7799 zeigt sowohl gegenüber den Mitarbeitenden wie auch gegenüber externen Partnern und Kunden, dass Sicherheit als eine zentrale Aufgabe angesehen wird. Obwohl es sehr empfehlenswert ist, die konzeptionellen Arbeiten BS7799-compliant auszurichten, empfehlen wir eine vollständige Umsetzung der Anforderungen im Standard oder gar eine Zertifizierung nur dann, wenn das explizit gefordert wird oder einen Mehrwert gegenüber den Kunden bringt.

Gefragt ist heute deshalb ein vermehrter Einbezug des Faktors Mensch in die IT-Sicherheit. Kulturelle Faktoren spielen bei der Schaffung von Sicherheit in IT-Systemen eine immer wieder unterschätzte Rolle. Es geht dabei um kollektive, bewusste und unbewusste Werte und Einstellungen, welche die Umsetzung der Sicherheitsanstrengungen im Unternehmen beeinflussen. Es ist die zentrale Aufgabe eines Sicherheitsverantwortlichen, die Anstrengungen von Mensch und Technik zu einem sinnvollen Ganzen zu kombinieren