Sicher ist sicher? Wie hoch ist der Preis für Interaktion in der Informationstechnologie?
Sicherheit in der IT wird groß geschrieben.
Zumindest ist das so in der Außendarstellung der
Unternehmen. Man kann das jedoch bei manchen
Unternehmen vergleichen mit einem Placebo oder einer
Kamera bzw. Alarmanlage an der Außenwand, die gar
nicht angeschlossen ist, aber trotzdem abschrecken
soll. Es gibt vielleicht Zertifikate aus dem ISO-Umfeld
(Normfamilie ISO/IEC 27001) oder ein Testat
über IT-Sicherheit oder sichere Internetsysteme,
etwa ausgestellt durch den TÜV. Aber ob diese
halten, was sie versprechen, zeigt sich immer erst
in einem Schadensfall oder bei der konkreten Abwehr
eines Sicherheitsvorfalls. Es hängt meist an den
internen Prozessen, wie mit IT-Sicherheit umgegangen
wird, oder am Ideenreichtum und der Technik der
potenziellen Eindringlinge bzw. Saboteure. Die
besten Sicherheitsprozesse und die beste Technik
z.B. im Bereich Intruder Detection (externe
Sicherheit) oder Identity und Access Management
(interne Sicherheit) nützt nichts, wenn diese
Prozesse nicht in den Abläufen und den Köpfen der
Mitarbeiter verankert sind. Oder aber solange die
Mitarbeiter bewusst Gefährdungspotenzial
hervorrufen. Der Verkauf von Kundendaten im
Callcenter-Bereich ist ein Beispiel aus neuerer
Zeit. Datenpannen im Bereich eCommerce
(Visa-Kundendaten), Cloud Computing (Amazon Web Services)
oder Online Communities (Sony) haben uns außerdem
aufhorchen lassen.
Was steckt vor allem in letztgenanntem Fall hinter
der Verwundbarkeit der Unternehmens-IT? Es ist die
Möglichkeit der Interaktion zwischen Kunden
und Firmen oder zwischen Firmen untereinander. In
Zeiten des sogenannten Web 2.0, des Business Process
Management und des Supply Chain Management haben die
Firmen ihre ansonsten geschlossenen und
abgeschotteten Systeme nach außen geöffnet. Das
haben alle getan und es zog sich wie eine Lawine im
Zeitalter des Internets über die Welt. Dieser
Umstand lässt sich nicht mehr zurückdrehen und macht
die Unternehmen nun verwundbar. Dazu kommen die
immer schon dagewesenen Gefährdungspotenziale von
Sabotage durch Mitarbeiter oder der Geheimnisverrat.
Aber was ist hier eigentlich der wirklich zu
schützende Wert? Und wie hoch ist der Preis, den
diese Öffnung der IT nach außen bzw. diese
Interaktionsmöglichkeit fordert?
Die Daten des Unternehmens: Das ist das zu
schützende Gut!
Und darauf zielen die meisten Compliance-Regelungen
ab. Die Technik oder materielle Vermögenswerte
(IT-Assets wie Server oder Netze) sind hier nicht an
erster Stelle zu nennen. Stamm- und Bewegungsdaten
machen den Kern jeder Firma aus. Sind sie einmal
gelöscht, verändert oder nicht mehr authentisch, ist
das Überleben der Firma nicht gesichert. Server und
Netzwerke kann man "on scratch" mit mehr oder
weniger Aufwand wiederherstellen, die Daten nicht.
Deren Echtheit, Unverfälschtheit und ein
Compliance-konformer Umgang müssen an erster Stelle stehen. Im
Bereich der Regelungen ist zuallererst das
Bundesdatenschutzgesetz (BDSG) zu nennen. Seit den
Änderungen im Jahre 2009 z.B. für den Bereich der
Auftragsdatenverarbeitung wird dort in § 9 BDSG eine
dedizierte Dokumentation der Datensicherheit
gefordert. Im Bereich Outsourcing ist diese auch zum
Vertragsbestandteil zu machen. Es muss nun im
Bereich der Prozesse und der Technik nachgerüstet
und dokumentiert werden, um den Kreis der
"Betroffenen" (in der Regel Kunden und Mitarbeiter)
und deren Daten zu schützen. Der Preis dafür steigt
sicherlich gegenüber dem früheren Niveau von
Sicherheitsmanagement und Datenschutz in
abgeschotteten Systemen. Aber die Firmen müssen ihn
zahlen, sonst droht statt Interaktion Isolation. Die
Platzierung von kompetenten Datenschutz- und
Sicherheitsbeauftragten ist da nur das mindeste
Mittel. Datenschutz ist ohne (Daten-)Sicherheit
nicht zu erreichen.
Weitere Normen mit Sicherheitsanforderungen finden
sich unter anderem in der Abgabenordnung und den
darauf erlassenen Grundsätzen ordnungsmäßiger
DV-gestützter Buchführungssysteme (GoBS). Weiterhin
sind das Signaturgesetz und die Gesetze zur
Telekommunikation und zu Telemedien zu nennen. Es
geht dort entweder um die Authentizität, d.h. die
Echtheit der Daten oder aber um den Nachweis der
Datenverarbeitung nur durch die Berechtigten. Hieran
hat der Gesetzgeber ein Interesse, nicht am Erhalt
der Wettbewerbsfähigkeit der Firmen oder deren
Reputation. Regulierte Branchen wie die Banken oder
der Pharmabereich haben darüber hinaus noch weiter
gehende IT-Compliance-Regeln zu beachten.
Um im Spannungsfeld Handlungsfähigkeit,
Wirtschaftlichkeit, Sicherheit und Ordnungsmäßigkeit
einen angemessenen Schutz von Daten bzw.
Informationen und - nachgeordnet - von IT-Ressourcen
zu erreichen, ist ein Überblick über diese
Ressourcen und die spezifischen Werte der dort
verarbeiteten Daten für das Unternehmen nötig. Erst
mit diesen Angaben lässt sich ein funktionierendes
IT-Sicherheitsmanagement aufbauen, das die
vorhandenen Sicherheitsressourcen optimal nutzt,
fehlende bei Bedarf ergänzt und insbesondere dem
Datenschutz Rechnung trägt.
Ziel eines Sicherheitsmanagements und des
Datenschutzes muss es sein, den Daten- und
Ressourcenverantwortlichen (ja, die müssten in den
Unternehmen spezifisch festgelegt werden, sonst ist
niemand "accountable") eine Orientierungshilfe zu
geben, um ermitteln zu können, welche Werte oder
welche potenziellen Schäden in welcher Höhe für das
Unternehmen in der in ihrer Verantwortung liegenden
Ressource bzw. in den betreffenden Daten stecken.
Der Schutzbedarf sowie die damit verbundenen
Sicherheitsmaßnahmen machen sich daran fest. Die
Einstufung von Schadenshöhen bzw. die Zuordnung zu
Schadensklassen ist von den Daten- bzw.
Ressourcenverantwortlichen im Rahmen eines
Sicherheitsanalyseprozesses vorzunehmen.
Sicher ist sicher. Die Beiträge dieser Ausgabe
liefern Ihnen wertvolle Tipps, diese Sicherheit zu
erreichen. Aber Sie müssen ein Versprechen Ihren
Kunden, Mitarbeitern und Aufsichtsbehörden gegenüber
abgeben: Die Sicherheit wird bei uns nicht nur groß
geschrieben, sondern ist auch nachhaltig und
überprüfbar. Das macht den Unterschied aus, und das
erreichen Sie nur durch Prozesse, Technik und Rollen
bzw. Verantwortlichkeiten. Viel Erfolg, Sie werden
ihn brauchen und ohne ihn letztlich nicht überleben
können.
Jürgen DierlammRechtsanwalt / Principal Management Consultantmicrofin Unternehmensberatung GmbHKaiser-Friedrich-Promenade 59a61348 Bad Homburgj.dierlamm@microfin.dewww.microfin.de
Einwurf
von Jürgen Dierlamm
Sicher ist sicher? Wie hoch ist der Preis für Interaktion in der Informationstechnologie?
Sicherheit in der IT wird groß geschrieben. Zumindest ist das so in der Außendarstellung der Unternehmen. Man kann das jedoch bei manchen Unternehmen vergleichen mit einem Placebo oder einer Kamera bzw. Alarmanlage an der Außenwand, die gar nicht angeschlossen ist, aber trotzdem abschrecken soll. Es gibt vielleicht Zertifikate aus dem ISO-Umfeld (Normfamilie ISO/IEC 27001) oder ein Testat über IT-Sicherheit oder sichere Internetsysteme, etwa ausgestellt durch den TÜV. Aber ob diese halten, was sie versprechen, zeigt sich immer erst in einem Schadensfall oder bei der konkreten Abwehr eines Sicherheitsvorfalls. Es hängt meist an den internen Prozessen, wie mit IT-Sicherheit umgegangen wird, oder am Ideenreichtum und der Technik der potenziellen Eindringlinge bzw. Saboteure. Die besten Sicherheitsprozesse und die beste Technik z.B. im Bereich Intruder Detection (externe Sicherheit) oder Identity und Access Management (interne Sicherheit) nützt nichts, wenn diese Prozesse nicht in den Abläufen und den Köpfen der Mitarbeiter verankert sind. Oder aber solange die Mitarbeiter bewusst Gefährdungspotenzial hervorrufen. Der Verkauf von Kundendaten im Callcenter-Bereich ist ein Beispiel aus neuerer Zeit. Datenpannen im Bereich eCommerce (Visa-Kundendaten), Cloud Computing (Amazon Web Services) oder Online Communities (Sony) haben uns außerdem aufhorchen lassen.
Was steckt vor allem in letztgenanntem Fall hinter der Verwundbarkeit der Unternehmens-IT? Es ist die Möglichkeit der Interaktion zwischen Kunden und Firmen oder zwischen Firmen untereinander. In Zeiten des sogenannten Web 2.0, des Business Process Management und des Supply Chain Management haben die Firmen ihre ansonsten geschlossenen und abgeschotteten Systeme nach außen geöffnet. Das haben alle getan und es zog sich wie eine Lawine im Zeitalter des Internets über die Welt. Dieser Umstand lässt sich nicht mehr zurückdrehen und macht die Unternehmen nun verwundbar. Dazu kommen die immer schon dagewesenen Gefährdungspotenziale von Sabotage durch Mitarbeiter oder der Geheimnisverrat. Aber was ist hier eigentlich der wirklich zu schützende Wert? Und wie hoch ist der Preis, den diese Öffnung der IT nach außen bzw. diese Interaktionsmöglichkeit fordert?
Die Daten des Unternehmens: Das ist das zu schützende Gut!
Und darauf zielen die meisten Compliance-Regelungen ab. Die Technik oder materielle Vermögenswerte (IT-Assets wie Server oder Netze) sind hier nicht an erster Stelle zu nennen. Stamm- und Bewegungsdaten machen den Kern jeder Firma aus. Sind sie einmal gelöscht, verändert oder nicht mehr authentisch, ist das Überleben der Firma nicht gesichert. Server und Netzwerke kann man "on scratch" mit mehr oder weniger Aufwand wiederherstellen, die Daten nicht. Deren Echtheit, Unverfälschtheit und ein Compliance-konformer Umgang müssen an erster Stelle stehen. Im Bereich der Regelungen ist zuallererst das Bundesdatenschutzgesetz (BDSG) zu nennen. Seit den Änderungen im Jahre 2009 z.B. für den Bereich der Auftragsdatenverarbeitung wird dort in § 9 BDSG eine dedizierte Dokumentation der Datensicherheit gefordert. Im Bereich Outsourcing ist diese auch zum Vertragsbestandteil zu machen. Es muss nun im Bereich der Prozesse und der Technik nachgerüstet und dokumentiert werden, um den Kreis der "Betroffenen" (in der Regel Kunden und Mitarbeiter) und deren Daten zu schützen. Der Preis dafür steigt sicherlich gegenüber dem früheren Niveau von Sicherheitsmanagement und Datenschutz in abgeschotteten Systemen. Aber die Firmen müssen ihn zahlen, sonst droht statt Interaktion Isolation. Die Platzierung von kompetenten Datenschutz- und Sicherheitsbeauftragten ist da nur das mindeste Mittel. Datenschutz ist ohne (Daten-)Sicherheit nicht zu erreichen.
Weitere Normen mit Sicherheitsanforderungen finden sich unter anderem in der Abgabenordnung und den darauf erlassenen Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Weiterhin sind das Signaturgesetz und die Gesetze zur Telekommunikation und zu Telemedien zu nennen. Es geht dort entweder um die Authentizität, d.h. die Echtheit der Daten oder aber um den Nachweis der Datenverarbeitung nur durch die Berechtigten. Hieran hat der Gesetzgeber ein Interesse, nicht am Erhalt der Wettbewerbsfähigkeit der Firmen oder deren Reputation. Regulierte Branchen wie die Banken oder der Pharmabereich haben darüber hinaus noch weiter gehende IT-Compliance-Regeln zu beachten.
Um im Spannungsfeld Handlungsfähigkeit, Wirtschaftlichkeit, Sicherheit und Ordnungsmäßigkeit einen angemessenen Schutz von Daten bzw. Informationen und - nachgeordnet - von IT-Ressourcen zu erreichen, ist ein Überblick über diese Ressourcen und die spezifischen Werte der dort verarbeiteten Daten für das Unternehmen nötig. Erst mit diesen Angaben lässt sich ein funktionierendes IT-Sicherheitsmanagement aufbauen, das die vorhandenen Sicherheitsressourcen optimal nutzt, fehlende bei Bedarf ergänzt und insbesondere dem Datenschutz Rechnung trägt.
Ziel eines Sicherheitsmanagements und des Datenschutzes muss es sein, den Daten- und Ressourcenverantwortlichen (ja, die müssten in den Unternehmen spezifisch festgelegt werden, sonst ist niemand "accountable") eine Orientierungshilfe zu geben, um ermitteln zu können, welche Werte oder welche potenziellen Schäden in welcher Höhe für das Unternehmen in der in ihrer Verantwortung liegenden Ressource bzw. in den betreffenden Daten stecken. Der Schutzbedarf sowie die damit verbundenen Sicherheitsmaßnahmen machen sich daran fest. Die Einstufung von Schadenshöhen bzw. die Zuordnung zu Schadensklassen ist von den Daten- bzw. Ressourcenverantwortlichen im Rahmen eines Sicherheitsanalyseprozesses vorzunehmen.
Sicher ist sicher. Die Beiträge dieser Ausgabe liefern Ihnen wertvolle Tipps, diese Sicherheit zu erreichen. Aber Sie müssen ein Versprechen Ihren Kunden, Mitarbeitern und Aufsichtsbehörden gegenüber abgeben: Die Sicherheit wird bei uns nicht nur groß geschrieben, sondern ist auch nachhaltig und überprüfbar. Das macht den Unterschied aus, und das erreichen Sie nur durch Prozesse, Technik und Rollen bzw. Verantwortlichkeiten. Viel Erfolg, Sie werden ihn brauchen und ohne ihn letztlich nicht überleben können.
Jürgen Dierlamm Rechtsanwalt / Principal Management Consultant microfin Unternehmensberatung GmbH Kaiser-Friedrich-Promenade 59a 61348 Bad Homburg j.dierlamm@microfin.de www.microfin.de