Darstellung ausgewählter Aspekte zum IT - Sicherheitscontrolling

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Grundlagen des IT-Sicherheitscontrolling
2.1. Wirtschaftlichkeit und IT-Sicherheit
2.1.1. Sicherheit als Schutz der Unternehmenswerte
2.1.2. Sicherheit als Wettbewerbsfaktor
2.2. Begriff des IT-Sicherheitscontrolling
2.3. Organisatorische Einbettung des IT-Sicherheitscontrolling

3. IT-Sicherheitsprozess
3.1. IT-Sicherheitsprozess nach Grundschutzhandbuch
3.1.1. Etablierung des Sicherheitsprozesses
3.1.2. Kritische Bewertung
3.1.3. Aufspaltung des Sicherheitsprozesses
3.2. Einbettung des IT-Sicherheitscontrolling
3.2.1. Beschreibung des Ansatzes
3.2.2. Begriffserklärung
3.2.3. Erläuterung des Ansatzes
3.2.4. Das Controlling im Sicherheitsprozess

4. ausgewählte Problemstellung
4.1. Ansatz zur Ableitung einer IT-Sicherheitsstrategie
4.1.1. Benötigtes Sicherheitsniveau
4.1.2. Realisiertes Sicherheitsniveau
4.1.3. Normstrategien
4.1.4. Ableitung von Zielvorgaben
4.2. Entscheidungsfindungsproblem der Maßnahmenplanung
4.2.1. Grundmodell der sukzessiven Planung
4.2.2. Arbeitsteilung im Grundmodell
4.2.3. Erweiterungen zum Grundmodell
4.3. Sicherheitsbudget
4.3.1. Aufbau des Sicherheitsbudgets
4.3.2. Erstellung des Sicherheitsbudgets
4.3.3. Festlegung der Höhe des Sicherheitsbudgets

5. Ausblick

Literaturverzeichnis

Anhang A: Übersicht zum Grundmodell der sukzessiven Planung
Anhang B: Aufstellung der laufenden Kosten

Abbildungsverzeichnis

Abb. 2-1: Aufbauorganisation des IT-Sicherheitsmanagements

Abb. 3-1: Ansatz zur Einteilung des Sicherheitsprozesses in zwei getrennte Bereiche

Abb. 3-2: Wirtschaftlichkeit im Sicherheitsprozess

Abb. 3-3: Aufwand-Nutzen-Relation für IT-Sicherheit

Abb. 4-1: Vorschlag für ein IT-Sicherheitsportfolio

Abb. 4-2: Normstrategien

Abb. 4-3: Einordnung der Zielvorgaben in eine Rangliste

Abb. 4-4: Auszug aus einer Ausprägungstabelle bei Kauf eines Komplettsystems

Abb. 4-5: Mögliche Arbeitsteilung in der sukzessiven Planung

Abb. 4-6: Die größten Hindernisse der IT-Sicherheit

Abb. 4-7: Aufbau eines Sicherheitsbudgets

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Wird im „Verzeichnis lieferbarer Bücher“^[1] nach dem Begriff „IT-Sicherheit“ gesucht, findet man im Ergebnis eine Handvoll Bücher, von denen nur ein einziges Buch Begriffe der Wirtschaftlichkeit im Titel führt. Dieses Buch mit dem Titel „Kosten und Nutzen der Sicherheit von IT-Systemen“ ist das Ergebnis einer Expertenrunde, die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) am 30.06.1999 durchgeführt wurde. Im Auftaktdiskurs dieser Expertenrunde wurden zwei grundlegende Feststellungen gemacht:

- „Wirtschaftlichkeit als Beurteilungsgröße für Sicherheit spielt eine eher untergeordnete Rolle.“
- „Budgeting für IT-Sicherheit ist unter Unternehmensführungs- und Controlling-Aspekten in bezug auf das Budgetingverhalten und die -qualität höchst kritikwürdig.“ ^[2]

Diese beiden Feststellungen belegen, dass die Wirtschaftlichkeit im IT-Sicherheitssektor noch nicht etabliert ist. Zu diesem Ergebnis kommen auch verschiedene Studien, die neben der Etablierung von IT-Sicherheit auch deren Wirtschaftlichkeit hinterfragen.

Zur Sicherstellung der Wirtschaftlichkeit kann ein Controlling eingeführt werden, welches ein möglichst gutes Kosten/Nutzen-Verhältnis in dem Bereich der IT-Sicherheit gewährleisten soll. Dieses ist nicht ganz einfach, weil die IT-Sicherheit in ihrer Ausgestaltung ein komplexes Netz aus Maßnahmen ist, die ergriffen werden, um die IT-Systeme des Unternehmens vor Bedrohungen zu schützen. Bisher wurden für die Umsetzung der IT-Sicherheit die technische und die wirtschaftliche Seite getrennt betrachtet. Diese Trennung hatte zur Folge, dass in der IT-Sicherheit unwirtschaftlich gearbeitet wurde, und das viele notwendige Sicherheitsmaßnahmen aufgrund von Kosten- und Zeitdruck nicht oder nur teilweise durchgeführt wurden. Damit ein gutes Kosten-/Nutzen-Verhältnis erreicht werden kann, ist es notwendig, für die IT-Sicherheit ein planvolles und wirtschaftliches Vorgehen zu etablieren. Deshalb muss die Wirtschaftlichkeit und somit das IT-Sicherheitscontrolling in den IT-Sicherheitsprozess integriert werden.

Die Integration ist das größte Problem des IT-Sicherheitscontrolling und deshalb Hauptgegenstand dieser Arbeit. Dazu werden in Kapitel 2 zunächst Grundlagen geschaffen, die für die Integration wichtig sind, während die eigentliche Integration des IT-Sicherheitscontrolling in Kapitel 3 vorgenommen wird. In Kapitel 4 wird auf ausgewählte Problemstellungen des IT-Sicherheitscontrolling eingegangen, die sich aus der Integration der Wirtschaftlichkeit ergeben.

Wichtig zum Verständnis dieser Arbeit ist das Wissen, dass der Begriff IT-Sicherheitscontrolling existiert, es aber noch keinen bekannten Fall der Umsetzung gibt. Deshalb besitzt diese Arbeit einen Grundlagencharakter. Auf weiterführende Problemstellungen, die im Rahmen dieser Arbeit nicht mehr behandelt werden können, wird im Kapitel 5 hingewiesen.

2. Grundlagen des IT-Sicherheitscontrolling

Um das Ziel dieser Arbeit erreichen zu können, bedarf es zunächst einer Auseinandersetzung mit dem Begriffspaar Wirtschaftlichkeit und IT-Sicherheit. Dieses Begriffspaar stellt den Kern des IT-Sicherheitscontrolling dar und wird im Abschnitt 2.1. behandelt. In den Abschnitten 2.2. und 2.3. wird das IT-Sicherheitscontrolling genauer beschrieben.

2.1 Wirtschaftlichkeit und IT-Sicherheit

Als Teil der IT-Abteilung fällt die Sicherheit immer wieder aus dem Augen-merk der Verantwortlichen, da diese unter großem Kosten- und Zeitdruck stehen. Getrieben von der schnellen Entwicklung auf dem Hard- und Softwaremarkt und den sich damit erschließenden Möglichkeiten der IT-Nutzung, wird die Etablierung von angepassten Sicherheitssystemen zur Quick-and-Dirty-Lösung. Durch die meistens eher knapp kalkulierten Budgets der IT-Abteilung und der schlechten Vorhersagbarkeit der Kostenentwicklung (Kostenabweichungen von über 100 % sind keine Seltenheit) bleibt kein Spielraum für ein Sicherheitsbudget. Es wird somit eine Wirtschaftlichkeit ausgewiesen, die real nicht existiert. Zu diesem Ergebnis kam auch der Kongress „Informationstechnologie und Sicherheitsökonomie“:

„ ... dass über 60 Prozent der Befragten kein Budget für Sicherheit haben, obwohl diese Gruppe angibt, durchschnittlich ca. 5,8 Mio. DM für die IT-Sicherheit aufzuwenden. (Dies sind durchschnittlich 11,2 Prozent der IT-Ausgaben.) Die Befragten hingegen, die ein Budget für die IT-Sicherheit haben, geben im Durchschnitt ca. 3,6 Mio. DM aus. (Dies sind durchschnittlich 6,4 Prozent der IT-Ausgaben.) Die Ausgaben werden in den meisten Unternehmen nicht exakt berechnet, sondern geschätzt.“^[3]

Wegen des mangelnden Auseinandersetzung mit dem Sicherheitsbegriff wird im Folgenden die Wirkung der IT-Sicherheit auf den Unternehmenserfolg erläutert.

2.1.1 Sicherheit als Schutz der Unternehmenswerte

Die Information gilt als eine der wichtigsten Ressourcen im Unternehmen. Ihre Wichtigkeit für das Unternehmen braucht hier nicht erläutert werden; da sei auf entsprechende Literatur verwiesen.^[4] Doch sind die Informationen, sowie das IT-System als ihre verarbeitenden Stellen ständigen Bedrohungen ausgesetzt:

- Bedrohungen durch Hardwarefehler (z.B. defekte RAID-Controller)
- Bedrohungen durch Softwarefehler (z.B. eine fehlerhafte Datenbank)
- Bedrohungen durch Bedienungsfehler (z.B. versehentliches Löschen von Daten)
- Bedrohungen durch äußere Wirkungen (z.B. Stromausfall)
- Bedrohungen durch Naturgewalten (z.B. Hochwasser)
- Bedrohungen durch Angriffe (z.B. Wirtschaftsspionage)
- Bedrohungen durch Konfigurationsfehler (z.B. Übertaktung des Prozessors)

Kommt es zum Notfall, bedeutet dieses für das Unternehmen hohe Kosten. Diese Kosten entstehen durch die Reparatur und die Wiederherstellung des IT-Systems. Durch die Abhängigkeit von dem IT-System kann ebenfalls der gesamte Wertschöpfungsprozess gelähmt oder sogar zum Stillstand gebracht werden. Deshalb zieht ein Notfall nicht nur Kosten, sondern auch Umsatz-verluste und Konventionalstrafen nach sich. Der gesamte Verlust, der sich bei einem Notfall ergibt, wird durch die 2 folgenden Aspekte verstärkt :

1. die immer stärker werdende Abhängigkeit von der IT
2. die voranschreitenden Vernetzung der Unternehmen, intern wie extern.

Um einen solchen Verlust vorzubeugen, ist es notwendig, dass für das IT-System Sicherheitsmaßnahmen getroffen werden.

2.1.2. Sicherheit als Wettbewerbsfaktor

Die Aufgaben der Wirtschaft sind heutzutage schwieriger geworden. Gründe hierfür sind die Globalisierung, kompliziertere Produkte und Harmonisierung der Wertschöpfungskette. Die Unternehmen sind auf Partnerschaften und Kooperationen angewiesen, um betriebswirtschaftliche Systeme wie Supply Chain Management (SCM) umzusetzen oder gemeinsam ein Produkt zu entwickeln.^[5] Schließt sich ein Unternehmen mit anderen Unternehmen zu Netzwerken, virtuellen Unternehmen oder Kooperationen zusammen, werden auch die verschiedenen IT-Systeme miteinander gekoppelt oder zumindest vertrauliche Informationen ausgetauscht. Zum Anfang einer solchen Zusammenarbeit muss das Unternehmen also den zukünftigen Partnern ver-trauen können. Niemand wird zusammenarbeiten oder wichtige Informationen austauschen mit einem Unternehmen, dessen IT-System nicht richtig funktioniert oder aus dessen Informationen leicht entwendet werden können.

Ohne IT-Sicherheitssystem werden sich also schwerlich ein oder mehrere Partner finden, die eine engere Bindung eingehen wollen. Systeme wie SCM lassen sich ebenfalls nicht aufbauen, da das Vertrauen in die Partner fehlt.

Im Prozess der Kooperation kann die IT-Sicherheit in zwei Weisen wirken:

1. Je besser die IT-Sicherheit ist, desto schneller werden sich andere Unternehmen auf Kooperationen einlassen. Das Vertrauen in die IT des Partners ist größer.

2. Gerade bei instabilen Kooperationen kann es vorkommen, dass das Vertrauen in die Partner ausgenutzt wird. So können sich Partner-unternehmen über die IT Zugang auf Informationen verschaffen, die nach der Kooperation gegen den vorherigen Partner eingesetzt werden. Hier gilt: Vertrauen ist gut, Kontrolle ist besser.

Daraus folgt, dass ein Unternehmen mit guter IT-Sicherheit eine bessere Position bei der Bildung von Kooperationen einnimmt. Die damit verbundenen Möglichkeiten ergeben Wettbewerbsvorteile und mindern das Risiko.

Nachdem die Wirkung der IT-Sicherheit auf den Unternehmenserfolg erläutert wurde, wird im nächsten Abschnitt der Begriff „IT-Sicherheitscontrolling“ näher erläutert.

2.2 Begriff des IT-Sicherheitscontrolling

Um den Begriff IT-Sicherheitscontrolling herzuleiten, muss zunächst einmal der Begriff Controlling geklärt werden. Nun ist es nicht ganz leicht, den Begriff Controlling in kurze, präzise Worte zu fassen, da bis dato noch keine allgemeingültige Definition vorliegt. Es gibt viele voneinander abweichende Versuche, den Begriff Controlling festzulegen. Ein paar Beispiele sollen dies verdeutlichen:

- „Controlling lässt sich ... als ein Konzept der Unternehmensführung durch Planung, Information, Organisation und Kontrolle bezeichnen.“^[6]
- „Controlling ist als informationsversorgendes System zur Unterstützung der Unternehmensführung durch Planung, Kontrolle, Analyse und Ent-wicklung von Handlungsalternativen zur Steuerung des Betriebs-geschehens zu verstehen.“^[7]
- „In einer formalen Betrachtungsweise sind die wesentlichen Ziele des Controlling die Unterstützung der Planung, die Koordination einzelner Teilbereiche sowie die Kontrolle der wirtschaftlichen Ergebnisse.“^[8]

In seinem Forschungspapier vom Dezember 2001 spricht J. Weber vom „Controlling als Rationalitätssicherung“ und versucht so die allgemein gängigen Definitionen auf ihren Kern zurückzuführen. Als Basis dient hierfür eine spezielle Führungsperspektive:

„Führung wird durch eigenständige Ziele verfolgende ökonomische Akteure (insb. Manager) vollzogen, die hierfür kognitive Fähigkeiten besitzen.“^[9]

Die Möglichkeit eines Rationalitätsverlustes bei Entscheidungen sieht er vor allem in den individuell begrenzten kognitiven Fähigkeiten des Managements. Um einem solchen Rationalitätsverlust vorzubeugen, wird das Controlling eingesetzt, welches das Management mit Informationen versorgt und deren Entscheidungen kritisch durchleuchtet. Dazu wird das Controlling als die Verbindung der 3 Funktionen:

- Planungsfunktion
- Kontrollfunktion und
- Informationsversorgungsfunktion

betrachtet. Hinzu kommt, neben diesen Funktionen, eine umfassende Koor-dinationsfunktion.^[10]

Gerade bezogen auf die Informationstechnologie ist ein solcher Rationalitäts-verlust kaum zu vermeiden, da die Entwicklungsgeschwindigkeit in diesem Sektor sehr hoch und die Umsetzung eher langwierig ist. Somit ist ein Controlling in diesem Sektor nach diesem Ansatz unabdingbar. Für die weiteren Ausführungen wird dieser Ansatz benutzt, weil er am besten die Situation der IT im Unternehmen widerspiegelt: Das IT-Controlling muss die Unternehmensführung vor Fehlanschaffungen und falschen Plänen für die betriebliche IT bewahren, da die Unternehmensführung unmöglich über sämtliche Entwicklungen in der IT-Branche ausreichend informiert sein.

Die Entwicklung eines speziellen Controllings für die besondere Problem-stellung der IT-Sicherheit steht allerdings noch an ihrem Anfang. Somit tun sich Problemfelder auf, die teilweise schon beim IT-Controlling gelöst wurden, für die IT-Sicherheit allerdings noch neu aufgerollt oder zumindest angepasst werden müssen.

2.3. Organisatorische Einbettung des IT-Sicherheitscontrolling

Eine grundlegende Frage im Controlling ist die Stellung des Controllings, und damit des Controllers im Unternehmen. Nur über eine Aussage scheint in der Literatur Konsens zu herrschen: Das Controlling ist eine Stabstelle. Doch wie wird diese Stelle in die Organisation eingebettet, wie wird sie ausgestattet und welche Befugnisse braucht sie zur Ausführung ihrer Tätigkeiten?

Aufschluss darüber kann das IT-Grundschutzhandbuch, welches vom BSI erstellt wird, geben. Allerdings wird dort von einem IT-Sicherheitsbeauftragten gesprochen. Folgende Abbildung aus dem GSHB zeigt grob die Stellung des IT-Sicherheitsbeauftragten im Unternehmen:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-1: Aufbauorganisation des IT-Sicherheitsmanagement

Als die Aufgaben des IT-Sicherheitsbeauftragten werden angegeben:

- Mitwirkung im gesamten IT-Sicherheitsprozess
- Erstellung der IT-System-Sicherheitleitlinie(n)
- Koordination der Erstellung des IT-Sicherheitskonzepts
- Koordination der Erstellung der Teilkonzepte
- Erstellung des Realisierungsplans für IT-Sicherheitsmaßnahmen
- Initiierung und Überprüfung der Realisierung,
- Verfassen von Berichten für das IT-Sicherheitsmanagement-Team und die Leitungsebene
- Sicherstellung des Informationsflusses
- Feststellung und Untersuchung evtl. auftretender sicherheitsrelevanter Zwischenfälle^[11]

Bezogen auf die hier verwendete Controllingdefinition können diese Aufgaben unter den 4 Funktionen des Controllings zusammengefasst werden:

- Planungsfunktion
- Erstellung der IT-System-Sicherheitleitlinie(n)
- Erstellung des Realisierungsplan für IT-Sicherheitsmaßnahmen
- Initiierung der Realisierung
- Koordinationsfunktion
- Koordination der Erstellung des IT-Sicherheitskonzepts
- Koordination der Erstellung der Teilkonzepte
- Sicherstellung des Informationsflusses
- Kontrollfunktion
- Überprüfung der Realisierung
- Feststellung und Untersuchung evtl. auftretender sicherheits-relevanter Zwischenfälle
- Informationsfunktion
- Verfassen von Berichten für das IT-Sicherheitsmanagement-Team und die Leitungsebene.

Übrig bleibt die Aufgabe „Mitwirkung im gesamten IT-Sicherheitsprozess“. Diese Aufgabe ist aber die Voraussetzung für die Erfüllung der 4 Funktionen des Controllings.

Nach diesem Schema aufgeteilt, deutet alles darauf hin, dass es sich bei dem propagierten IT-Sicherheitsbeauftragten um einen Controller handelt. Wird das Aufgabenfeld um einen essentiellen Aspekt, dem Wirtschaftlichkeitsaspekt, erweitert, ist der Übergang vom IT-Sicherheitsbeauftragten zum IT-Sicherheitscontroller gegeben.

Der IT-Sicherheitscontroller soll nicht direkt die Leitung über eine Gruppe ausführen, dieses obliegt dem Management der einzelnen Teams. Dieses Management soll der er durch die Erfüllung seiner Funktionen unterstützen. Zur Erfüllung seiner Funktionen benötigt der IT-Sicherheitscontroller Beratungs- und Koordinationsbefugnisse.

Problematisch wird es, wenn die Stellung des Controllers von anderen Akteuren der IT-Sicherheit nicht anerkannt oder ignoriert wird. So etwas kann auch meist nicht mit klar definierten Kompetenzen und Aufgabenfeldern beseitig werden. Dann muss es eine Stelle, meistens die Unternehmensleitung, geben, die disziplinarisch gegenüber diesen Akteuren tätig wird.

Für die konkrete Ausstattung des IT-Sicherheitscontrolling in das Unternehmenssystem kann und sollte keine allgemeingültige Aussage getroffen werden. Hier ist jedes Unternehmen selbst aufgefordert, eine Lösung zu finden, da jedes Unternehmen eine spezielle Struktur aufweist.

3. IT-Sicherheitsprozess

Nachdem das IT-Sicherheitscontrolling näher erläutert wurde, wird nun auf Basis des GSHB der Sicherheitsprozess erläutert und kritisch bewertet. Anschließend wird das IT-Sicherheitscontrolling in den Sicherheitsprozess integriert.

3.1. IT-Sicherheitsprozess nach Grundschutzhandbuch

Die Realisierung eines adäquaten IT-Sicherheitsniveaus stellt einen sehr komplexen Sachverhalt dar. Wie auch bei der Etablierung des IT-Systems müssen komplexe Pläne entworfen, Maßnahmen abgestimmt und in das Unternehmen eingebettet werden. Notwendig ist also ein planmäßiges Vorgehen. Diese Vorgehensweise wird Sicherheitsprozess genannt. Am Beispiel der Etablierung eines Sicherheitsprozesses wird nun der Sicherheitsprozess erläutert und kritisch durchleuchtet.

Im GHSB wird der Begriff „Sicherheitsprozess“ wie folgt festgelegt:

„(...) wird durch die Behörden- bzw. Unternehmensleitung ein gesteuerter IT-Sicherheitsprozess initiiert, der die Voraussetzungen für die durchdachte Gestaltung sowie sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen gewährleistet.“^[12]

Aus dieser Perspektive ist der Sicherheitsprozess eine strukturelle Vorgehensweise, die die Umsetzung von Sicherheitsmaßnahmen ermöglichen und fördern soll, und somit zur Verbesserung der IT-Sicherheit beiträgt. Das BSI schlägt hierfür 7 Schritte vor, die sequentiell abgearbeitet werden sollen.

3.1.1. Etablierung des Sicherheitsprozesses

Schritt 1: Erstellung einer IT-Sicherheitsleitlinie

Zuerst wird von der Unternehmensleitung eine Art Grundsatzpapier erstellt, das IT-Sicherheitsleitlinie oder IT-Sicherheitspolitik genannt wird. In diesem Grundsatzpapier wird die allgemeine Stellung des Unternehmens zur IT-Sicherheit festgelegt. Die Sicherheitspolitik ist nun zu operationalisieren und somit in Sicherheitsziele zu überführen. Sind Sicherheitspolitik und Sicherheitsziele formuliert, müssen sie unter den Mitarbeitern publiziert werden.

Schritt 2 :Auswahl und Etablierung einer geeigneten Organisations-struktur für die IT-Sicherheit

Zur Umsetzung der Sicherheitspolitik und somit zur Erreichung der Sicherheitsziele bedarf es einer geeigneten Aufbauorganisation. Es müssen verantwortliche Stellen geschaffen, Kompetenzen verteilt und Vorgehensweisen zur Umsetzung festgelegt werden. Dabei ist der spezielle Charakter der IT-Sicherheit zu berücksichtigen.

Schritt 3: Erstellung einer Übersicht über vorhandene IT-Systeme

Bei der IT-Sicherheit geht es nicht nur darum, wie etwas geschützt wird, sondern auch was geschützt werden soll. Dazu wird eine Übersicht über die gesamte IT eines Unternehmens benötigt. Da inzwischen die meisten Systeme untereinander vernetzt sind, reicht es allerdings nicht aus, sich Übersicht mittels Inventarisierungslisten zu verschaffen. Zusätzlich wird ein Ver-netzungsplan benötigt, der aufzeigt, wie die einzelnen Systeme miteinander verbunden sind. Das Ergebnis dieses Schrittes ist ein Plan, der Aufschluss über das zu sichernde Objekt gibt.

Schritt 4: Festlegen der Vorgehensweise für die Erstellung des IT-Sicherheitskonzepts

Das IT-Sicherheitskonzept stellt das zentrale Dokument für die IT-Sicherheit dar. Es enthält alle notwendigen Informationen, die zur Herbeiführung einer Entscheidung für eine konkrete Sicherheitsmaßnahme benötigt werden. Damit ein solches Sicherheitskonzept erstellt werden kann, ist es notwendig, viele Fachkräfte zu koordinieren und viele Informationen zu ermitteln. Deshalb muss eine für alle Beteiligte bindende Vorgehensweise festgelegt werden.

Schritt 5: Umsetzung der IT-Sicherheitsmaßnahmen

Nachdem das IT-Sicherheitskonzept ermittelt und die Sicherheitsmaßnahmen aus ihm abgeleitet wurden, sind die Maßnahmen zu implementieren. Dabei ist vor allem auf die Wechselwirkungen mit dem IT-System zu achten. Um eine adäquate Umsetzung gewährleisten zu können, sollte ein Realisierungsplan aufgestellt werden, in dem erfasst ist,

- wer für die Umsetzung einer Maßnahme verantwortlich ist,
- welche Priorität die umzusetzenden Maßnahme besitzt,
- bis wann die Maßnahme umzusetzen sein soll,
- welcher Stelle die vollzogene Umsetzung der Maßnahme zu melden ist,
- welche Ressourcen (Mitarbeiterkapazitäten, Raumbedarf, Kosten) bereitzustellen sind.

Schritt 6: IT-Sicherheit im laufendem Betrieb

Nach erfolgter Umsetzung der Sicherheitsmaßnahmen ist die IT-Sicherheit in den „Alltag“ im Unternehmen zu etablieren. Dazu müssen die Mitarbeiter geschult und für die IT-Sicherheit sensibilisiert werden.

Schritt 7: Aufrechterhalten des sicheren Betriebs

Die Sicherheitsmaßnahmen sollen nicht nur direkt nach ihrer Implementierung für ein erhöhtes Sicherheitsniveau sorgen, das Sicherheitsniveau soll dauerhaft realisiert werden. Dazu müssen die Sicherheitsmaßnahmen regelmäßig kontrolliert und aktualisiert werden.

3.1.2. Kritische Bewertung

Diese Schritte eignen sich vor allem, wenn ein geeignetes IT-Sicherheitssystem etabliert werden soll, wo bisher noch keinerlei Anstrengungen in Sachen IT-Sicherheit unternommen worden sind. Problematisch ist an dieser Vorgehens-weise jedoch der sequentielle Charakter. Bei großen IT-Systemen kann der Durchlauf der ersten 5 Schritte Jahre in Anspruch nehmen. Es besteht die Gefahr, dass ein Mammutplan entsteht, der nie richtig umgesetzt wird und währenddessen für aktuelle Probleme der IT-Sicherheit Quick-and-Dirty-Lösungen implementiert werden, die die Umsetzung des Plans weiter erschweren. Eine weitere Verzögerung des Plans könnten durch Investitions-summen und Kosten zustande kommen. Die Aufwandsschätzung bei IT-Systemen ist sehr ungenau. Dieser Schätzfehler potenziert sich bei großen Plänen und kann zu sehr hohen Summen führen. Somit kann die Genehmigung des Plans vom Management verzögert oder sogar verweigert werden. Wird der Plan dennoch genehmigt, treten weitere Schwierigkeiten auf:

1) In den seltensten Fällen stehen genügend Ressourcen für eine solche Mammutaktion im Unternehmen zur Verfügung.
2) Der Koordinationsaufwand kann ein nicht mehr zu realisierendes Maß erreichen.
3) Bei zu vielen Änderungen an den IT-Systemen zur gleichen Zeit wird die Fehlersuche äußerst problematisch.

Als letzten Kritikpunkt wird hier die Kontrolle bzw. die Verbesserung des IT-Sicherheitssystems angesprochen. Diese beschränkt sich auf den letzten Schritt. Die Kontrolle macht es aber mitunter erforderlich, dass das Sicherheitskonzept überarbeitet, die Organisationsstruktur verändert und neue Sicherheits-maßnahmen implementiert werden. Rückschritte sind aber nicht vorgesehen und somit würde die Aufrechterhaltung des sicheren Betriebs zu Flickwerk werden.

3.1.3 Aufspaltung des Sicherheitsprozesses

Zur Verbesserung der Vorgehensweise wird hier vorgeschlagen, den Sicherheitsprozess in 2 getrennte Bereiche einzuteilen:

- einen grundlegenden Bereich, der langfristig ausgerichtet ist
- einen repetierenden Bereich, der einen Regelkreis aus Planung, Durchführung und Kontrolle umfasst.

Der grundlegende Bereich umfasst die Sicherheitsleitlinie und deren Erstellung sowie die Organisationsstruktur der IT-Sicherheit. Dieser Bereich ist dadurch gekennzeichnet, dass die Festlegung ihrer Komponenten schon vor der Planung und Durchführung von Sicherheitsmaßnahmen erfolgt. Wie bereits erwähnt, gelten diese Vorgaben langfristig. Sie determinieren somit den Handlungsspielraum der IT-Sicherheit im Unternehmen. Änderungen sollten in diesem Bereich nur selten und unter strengster Kontrolle vorgenommen werden, da sonst die Gefahr besteht, dass von dem Ziel der Sicherung der IT zugunsten anderer betriebswirtschaftlicher Zielstellungen abgewichen wird.

Auf diesem Bereich baut dann das IT-Sicherheitsmanagement und –controlling auf. Sie sind das Wesen des repetierenden Bereichs. In diesen Bereich fallen die Schritte 4-7.

Die Erstellung einer Übersicht über die IT-Systeme (Schritt 3), wird im Rahmen dieser Arbeit als Aufgabe des IT-Management angesehen und als gegeben vorausgesetzt. Ist eine derartige Übersicht nicht verfügbar, so ist die Erstellung vom IT-Management zu fordern. Damit eine Erstellung nicht jedes Mal, wenn auf sie zurückgegriffen werden muss, von Nöten ist, sollte das IT-Management diese Übersicht regelmäßig überarbeiten und Änderungen rechtzeitig an das IT-Sicherheitsmanagement weiterleiten.

Die Schritte 4-7 können in die 3 Phasen Planung, Durchführung und Kontrolle eingeteilt werden. In der Planungsphase wird das Sicherheitskonzept erarbeitet, wenn nötig angepasst, und in einen Maßnahmenplan umgesetzt. Die Durchführung der Maßnahmen beinhaltet die Implementierung und alle begleitenden Maßnahmen, wie z.B. Mitarbeiterschulung, sowie die Gewähr-leistung des Dauerbetriebs der Maßnahmen. Die ständige Kontrolle aller Sicherheitsmaßnahmen gibt Aufschluss darüber, ob das angestrebte Sicherheitsniveau erreicht wurde bzw. dauerhaft erreicht wird. Wird das angestrebte Sicherheitsniveau nicht erreicht, wird ein Feed Back an die Planung gegeben und der Regelkreis beginnt erneut.

In der folgenden Abbildung wird der Ansatz noch einmal verdeutlicht.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3-1: Ansatz zur Einteilung des Sicherheitsprozesses in zwei getrennte Bereiche

In dieser Abbildung sind die beiden Bereiche farblich unterschieden. Die helleren Elemente stellen den grundlegenden Bereich dar, der den Rahmen für den repetierenden Bereich (dunkle Elemente) bestimmt. Der repetierende Bereich wird in der Betriebswirtschaftslehre auch Management- oder Führungsprozess genannt.^[13] Er ist deshalb Gegenstand des IT-Sicherheits-management und somit des IT-Sicherheitscontrolling. Der grund-legende Bereich ist Gegenstand der Unternehmensleitung. Seine Elemente werden in dem Kapitel 2.3. (Organisationsstruktur) bzw. im Kapitel 3.2.2. (Sicherheitsleitlinie) kurz angesprochen.

Unter Berücksichtigung der Wirtschaftlichkeit wird im nächsten Abschnitt der repetierende Bereich des Sicherheitsprozesses genauer betrachtet.

3.2. Einbettung des IT-Sicherheitscontrolling

In zahlreichen Literaturquellen werden Vorgehensweisen für die Umsetzung der Sicherheit in einem Unternehmen skizziert.^[14] Leider beschränken sich die Angaben meistens auf einzelne Problemstellungen, wie z.B. die Umsetzung der Sicherheitsleitlinie in einen Maßnahmenplan. Außerdem werden die Problem-stellungen meist nur von der technischen oder der organisatorischen Seite durchleuchtet, die Wirtschaftlichkeit verkommt in nahezu allen Publikationen zu einem nicht weiter verfolgten Nebensatz. Viele Sicherheitsbestrebungen scheitern aber gerade wegen einer unwirtschaftlichen Durchführung und verschrecken das Management für weitere Sicherheitsbestrebungen. Deshalb wird in diesem Abschnitt ein Ansatz konstruiert, der das IT-Sicherheits-controlling in den Sicherheitsprozess integriert.

3.2.1 Beschreibung des Ansatzes

Mangelnde Wirtschaftlichkeit macht sich vor allem im Bereich der Planung bemerkbar. Deshalb wird hier zunächst der Bereich Planung (umrandete Elemente in Abb. 3-2) genauer eingeteilt.

Das BSI schlägt für die Planung die Elemente Sicherheitskonzept und Maßnahmenplanung vor. Zur Hilfestellung bei der Erstellung des Sicherheits-konzepts wird eine Sicherheitsanalyse vorgeschlagen^[15], die den Ist-Zustand des bisherigen IT-Sicherheitssystems und somit dessen Unzulänglichkeiten ermitteln soll. Da die direkte Umsetzung des Sicherheitskonzepts, wie bereits im vorigen Abschnitt erläutert, zu sehr großen Maßnahmenplänen und den damit verbundenen Schwierigkeiten führt, wird hier vorgeschlagen, das Sicherheitskonzept sukzessiv umzusetzen. Dazu wird das Sicherheitskonzept zuerst in eine Sicherheitsstrategie zerlegt, die auf eine Periode ausgelegt ist. Mittels einer Sicherheitsanalyse kann die Sicherheitsstrategie von Periode zu Periode neu angepasst werden.

Zur Verbesserung der Wirtschaftlichkeit bzw. der Wirtschaftlichkeitskontrolle werden 3 neue Elemente der Planung hinzugefügt:

- das Sicherheitsbudget
- die Nutzenanalyse und
- die Kostenanalyse.

Einen Überblick über diesen Ansatz gib die folgende Abbildung:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3-2:Wirtschaftlichkeit im Sicherheitsprozess

Die Organisationsstruktur wird hier nicht mehr explizit angesprochen. Ihre Aufgabe ist es vielmehr, die Ergebnisse dieses Abschnittes den einzelnen Akteuren der IT-Sicherheit zuzuweisen.

Diese Darstellungsform wurde aus mehreren Gründen gewählt:

1. Es soll eine Allgemeingültigkeit erhalten bleiben. Eine Verfeinerung dieser Einordnung würde eine Entscheidung für ein (Sub-)System und gegen ein anderes bedeuten. Aus diesem Grund bedeuten auch die Pfeile nur „steht in Beziehung zu“.
2. Eine zu starre und fest definierte Struktur würde die Flexibilität einschränken und somit die Aussagekraft vermindern.
3. Es werden bewusst Oberbegriffe verwendet, um einheitliche Aussagen treffen zu können. Für den Begriff Sicherheitsstrategie wird z.B. in der Literatur auch Sicherheitspolitik, Sicherheitsrichtlinie oder sogar der Begriff Sicherheitsleitlinie verwendet.

3.2.2. Begriffsklärung

Zum besseren Verständnis werden zunächst die einzelnen Oberbegriffe erläutert, bevor auf die Erläuterung des Ansatzes eingegangen wird.

Sicherheitsanalyse

Mit der Sicherheitsanalyse soll die Wirksamkeit der bestehenden Sicherheits-maßnahmen in ihrem Zweck, die unternehmerischen Werte (hier: Informationen) zu schützen, überprüft werden. Ziel der Sicherheitsanalyse ist es, Schwachstellen im IT-Sicherheitssystem aufzudecken und Gegenmaß-nahmen einzuleiten.

Sicherheitsleitlinie

Die Sicherheitsleitlinie wird zur Zeit in der Praxis stark diskutiert. Während einige Ansätze einen konkreten Plan mit technischen und organisatorischen Maßnahmen umfassen, beschränken sich andere Ansätze auf die verbale Formulierung der Stellung des Unternehmens zur Sicherheit. Im GSHB wird die Sicherheitsleitlinie sehr umfassend formuliert:

„Die IT-Sicherheitsleitlinie definiert das angestrebte IT-Sicherheitsniveau, mit dem die Aufgaben durch die Organisation erfüllt werden. Die IT-Sicherheitsleitlinie beinhaltet die von der Organisation angestrebten IT-Sicherheitsziele sowie die verfolgte IT-Sicherheitsstrategie. Sie ist somit Anspruch und Aussage zugleich, dass das IT-Sicherheitsniveau auf allen Ebenen der Organisation erreicht werden soll.“^[16] Diese Ansicht wird hier nicht geteilt, da die Leitlinie einen grundlegenden Charakter besitzt und von allen Mitarbeitern ohne größere Schwierigkeiten verstanden werden sollte. Die Sicherheitsstrategie sowie die Sicherheitsziele sollten hingegen veränderbar sein. Sie müssen nur von den am Sicherheitsprozess direkt beteiligten Akteuren verstanden werden. In der Definition des BSI wird implizit davon ausgegangen, dass jeder Mitarbeiter des Unternehmens Kenntnisse in den Disziplinen Informatik und Betriebswirtschaftslehre bzw. Wirtschafts-informatik besitzt.

In dieser Arbeit wird unter der Sicherheitsleitlinie ein Aussagensystem verstanden, in dem die allgemeine Stellung der Sicherheit im Unternehmen festlegt wird. Aus ihr wird die Sicherheitsstrategie abgeleitet. Festgelegt wird die Sicherheitsleitlinie durch das Top-Management. Eine gute Sicherheitsleitlinie zeichnet sich dadurch aus, dass sie den Anforderungen der IT-Sicherheitsproblematik gerecht wird, und dass sie in die gleiche Richtung wie die Unternehmenspolitik zeigt.

Sicherheitskonzept

Das Sicherheitskonzept ist eine formale Beschreibung der notwendigen Maßnahmen zur Sicherung der IT und des Zusammenwirkens dieser Maßnahmen. Da nicht alle Teile des IT-Systems einen gleich hohen Schutz benötigen, ist im Sicherheitskonzept ebenfalls festzuhalten, welche IT-Systeme welchen Schutz benötigen. Um den benötigten Schutz der einzelnen Systeme zu ermitteln, ist eine Schutzbedarfsermittlung, wie sie in dem Kapitel 2.2 des GHSB beschrieben ist, notwendig.

Wirtschaftliche ist es ebenso notwendig, den Schutzbedarf für die Teile des IT-Systems, im folgenden vereinfachend Teil-IS genannt, zu ermitteln. Der Grund hierfür ist in der von dem Schutzbedarf abhängigen Kostenentwicklung zu finden. Während der Grundschutz noch sehr kostengünstig ist, steigen die Kosten überproportional zu dem Schutzbedarf an. Im GSHB wird dieser Zusammenhang graphisch so dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3-3: Aufwand-Nutzen-Relation für IT-Sicherheit ^[17]

Um den Ermittlungsaufwand zu verringern ist die Definition von Schutzklassen sinnvoll, in die die einzelnen Teil-IS im Zuge der Strategiefindung eingeordnet werden können.

[...]

^[1] www.vlb.de

^[2] BSI; Dr. Voßbein UIMC, Auftaktdiskurs, 1999

^[3] BSI; Dr. Vossbein UIMC, Sicherheitsökonomie, 2000

^[4] z.B. Mertens, P; Bodendorf, F.; Picot, A.; Schumann, M., Grundzüge der Wirtschaftsinformatik, 6. Aufl., 2000; S. 4-5

^[5] vgl.Götze, U.; Mikus, B.; Management, 1999; S.150-155

^[6] Bramsemann, R.; Controlling, 1978; S.18

^[7] Serfling, K., Controlling, 1983; S.17

^[8] Reichmann, Th., Controlling, 1990; S.3

^[9] Weber, J., Controlling, 2001; S.4

^[10] Weber, J., Controlling, 2001; S.9-16

^[11] BSI, GSHB, 2001; Folie M 2.193

^[12] BSI, GSHB, 2001; Folie M 2.191

^[13] Götze, U.; Mikus, B., Strategisches Management, 1999; S.9

^[14] vgl. Paintmeyer, T., Einbettung, 1999; S.30-52, anders aber Strauß, C., Sicherheits- management, 1991; S.94-146

^[15] BSI, GSHB, 2001; Folie M 2.195

^[16] BSI, GSHB, 2001; Folie M 2.192

^[17] BSI, GSHB, 2001; Folie M 2.192