Skip to main content
vernetzte kompetenz sicherheitsmanagement

 ►►Sicherheitsmanagement

Von Dres. Heinrich Kersten und Gerhard Klett

Die alles entscheidende Frage ist, ob die eigene Organisation (Firma, Behörde) bei der Informationsverarbeitung tatsächlich signifikanten Risiken ausgesetzt ist. Dies gilt es, sorgfältig zu analysieren.

  • Sind keine signifikanten Risiken vorhanden, sind weitere Aktionen in Sachen Informationssicherheit im Grunde obsolet. Man sollte die obige Analyse jedoch regelmäßig (z. B. 1 x jährlich oder anlassbezogen) wiederholen.
  • Sind solche Risiken jedoch vorhanden – was heutzutage die Regel ist –, ist die Beschäftigung mit der Informationssicherheit unerlässlich.

Die maßgeblichen weiteren Schritte sind dann folgende:

  1. Organisation: Es ist zunächst eine Verantwortlichkeit – das Sicherheitsmanagement – zu schaffen. Dies kann ein entsprechendes Gremium, ein Sicherheitsstab oder ein Sicherheitsbeauftragter sein. Welche der Alternativen man wählt, wird nicht zuletzt von der Größe der Organisation abhängen. Das Sicherheitsmanagement ist für den gesamten Sicherheitsprozess zuständig (Planung / Konzepte, Kontrolle der Umsetzung, Überprüfungen in der Praxis).
  2. Leitlinie: Eine wichtige Aktivität ist das Erstellen, Inkraftsetzen und Verteilen einer Sicherheitsleitlinie, mit der allen Mitarbeitern der Organisation eine Orientierung gegeben wird und wesentliche Grundsätze der Sicherheit vermittelt werden.
  3. Risikosteuerung: Es ist eine ganzheitliche, detaillierte Risikoanalyse und Risikobewertung durchzuführen. Im Anschluss daran sind zumindest den höheren Risiken (solchen, die nicht einfach akzeptiert werden können) wirksame und wirtschaftliche Gegenmaßnahmen zuzuordnen. Anschließend sind die verbleibenden Restrisiken zu bestimmen. Das Ergebnis dieses Schrittes ist ein Sicherheitskonzept.
  4. Restrisikoakzeptanz: Die Leitung der Organisation hat die Ergebnisse aus Schritt 3 zu begutachten, sie entweder zu akzeptieren oder Änderungen zu veranlassen. Mit der Akzeptanz der Ergebnisse ist letztlich auch eine Freigabe zur Umsetzung der geplanten Gegenmaßnahmen verbunden. Festzulegen ist auch, ob für die verbleibenden Restrisiken eine weitere Behandlung erfolgen soll (z. B. Abschluss von Versicherungen, Outsourcing von bestimmten Verfahren etc.).
  5. Umsetzung: Alle Bereiche der Organisation haben die in ihr Arbeitsgebiet fallenden geplanten Sicherheitsmaßnahmen umzusetzen. Das Sicherheitsmanagement überwacht die korrekte Umsetzung.

SicherheitsmaßnahmenNach Abschluss dieser Schritte ist eine erste Stufe der Sicherheit erreicht - sie muss sich jedoch in der Realität bewähren, wozu eine geeignete Überprüfung und eine Kontrolle der täglichen Praxis wichtig sind. Weiterhin wird es in der „Betriebsphase“ neue Sicherheitserkenntnisse, neue IT-Verfahren oder Änderungen an bestehenden usw. geben. Vor diesem Hintergrund wird es regelmäßig zu Änderungen an Konzepten und Maßnahmen kommen, welche analog zu den obigen Schritten behandelt werden müssen.

Dieses Vorgehensmodell bzw. dieser Regelkreis aus Planung, Umsetzung, Kontrolle, Ableitung von Änderungsbedarf hat sich in viele aktuelle Management-Standards „eingeschlichen“ und trägt den Namen PDCA-Modell (P=Plan, D=Do, C=Check, A = Act). Es trägt dem Ziel der kontinuierlichen Verbesserung Rechnung.

Neben diesem Vorgehensmodell sind beim Sicherheitsmanagement weitere Aktivitäten einzurichten: die Lenkung der Dokumentation, die Steuerung von Aufzeichnungen, interne Audits und Bewertungen, Sensibilisierung, Schulung und Training des Personals.
Oft kommt es – meist nach einigen Jahren der Praxis – zu dem Wunsch, sich als Organisation in Sachen Informationssicherheit zertifizieren zu lassen, um einen anerkannten Sicherheitsnachweis zu besitzen. Auch hier greift PDCA in dem Sinne, dass festgestellte Defizite und die Behebung derselben zur Verbesserung der Sicherheit führen.

Man erkennt an diesem Überblick, dass die Informationssicherheit eine fortlaufende Aufgabe darstellt, die aus vielen Einzelaktivitäten besteht und einiges an Aufwand produziert. Gut, wenn man als Sicherheitsbeauftragter über ein geeignetes „Programm“ verfügt, mit der man dieses Aufgabenpaket verlässlich angehen kann!  

Hier kommen Standards wie die ISO 27000-Reihe1 oder der Grundschutz des BSI2 ins Spiel, die man 1:1 umsetzen oder an denen man sich zumindest orientieren kann. 

Weiterhin existieren Hilfen in Form von Fachbüchern oder Seminaren, die die wesentlichen Inhalte und Abläufe vermitteln. Als Beispiele wollen wir die Bücher „Der IT Security Manager“ und „Sicherheitsmanagement nach ISO 27001 und Grundschutz“ (auch als ebooks erhältlich) sowie die Seminare Der IT-Sicherheitsbeauftragte und Praxis der IT-Sicherheitnennen .


[1] In Deutschland (auch online) erhältlich beim Beuth-Verlag. Wesentlich für den Start sind ISO 27001, 27002, 27005.
[2] Informationen unter www.bsi.de (?IT-Grundschutz).

 

nach oben