IT-Sicherheitsbeauftragte sind keine Sheriffs

vPierre Compliance, Datenschutz, DevSecOps, Sicherheit Leave a Comment

Ein Sicherheitsbeauftragter kann nur so gut sein wie der Rückhalt, den er im Unternehmen erfährt. Dies ist meine Leitthese für den vorliegenden Text, in dem ich ganz klar eine Lanze für die hunderte von Sicherheitsbeauftragten breche, die ich im Laufe meiner Beraterlaufbahn kennenlernen durfte. Viele von ihnen arbeiteten in der Finanzbranche. Ob Bank, Versicherung oder Kapitalverwaltungsgesellschaft (KVG), alle haben Blut, Schweiß und Tränen in die Waagschale geworfen, um die Informationssicherheit ihrer Organisation zu gewährleisten.
Aktuell und spätestens seit Verlautbarung des Entwurfs für Kapitalverwaltungsaufsichtliche Anforderungen an die IT, kurz KAIT, hat die BaFin einen Spot auf diese Berufsgruppe geworfen. Die Bundesanstalt fordert die Berufung einer fachkundigen, zuständigen Person innerhalb einer Kapitalverwaltungsgesellschaft, eines internen Informationssicherheitsbeauftragten. Ihm fällt die Aufgabe zu, Informationssicherheit mindestens nach Stand der Technik zu gewährleisten. Um die ihm aufgetragenen Schutzziele zu erreichen, muss der interne Sicherheitsbeauftragte, der ISB, Richtlinien aufsetzen und um ihre Durchsetzung kämpfen.

Sisyphus im Netz

Aus meiner Beobachtung heraus kann ich verraten, dass mich die Arbeit so manchen Sicherheitsbeauftragten an eine wohlbekannte griechische Sage erinnert, in der der König von Korinth die Götter verärgerte und Zeit seines Lebens einen gigantischen Steinbrocken den Berg hinaufrollte. So nahe dem armen Sisyphus muss sich der verärgerte ISB fühlen, wenn ihn abtrünniges oder gleichgültiges IT-Personal im Regen stehen lässt, während Sicherheitsvorfälle und Verstöße darauf warten, berichtet zu werden. Zu denen, die es besser wissen müssten, gesellen sich Mitarbeiter, die nicht zu den Sicherheits- oder IT-Teams gehören. Sie verfügen über nur geringe Kenntnisse, was die Herausforderungen an die Informationssicherheit der Unternehmen angeht. Dementsprechend stehen ihnen die Risiken, die ihr digitales Handeln für das Unternehmen darstellen könnten, alles andere als klar vor Augen. Daher ist es unerlässlich, sie über wachsende Cyber-Bedrohungen zu informieren, um das Risiko zu verringern, dass sie Opfer eines Angriffs werden.
 
Richtlinien alleine verhindern jedoch  noch keine Fehler und der ISB kann nicht erwarten, dass ein Dokument oder ein vierteljährliches Sicherheitstraining die schlechten Gewohnheiten aller ändert oder verhindert, dass Mitarbeiter jemals in einen Phishing-Angriff geraten. Was also sollte er tun?

Auf Augenhöhe

Durch die Begrenzung von Anwendungsmöglichkeiten für Mitarbeiter, die Festlegung von Protokollen für die Verbindung zu unternehmensfremden Wi-Fi-Netzen und die Unterweisung der Mitarbeiter über die potenziellen Risiken von unzuverlässigen USB-Geräten können Finanzunternehmen Schaden begrenzen. Im Hintergrund ruft währenddessen die Geschäftsleitung zu Recht, dass zwischen Durchsetzung von Richtlinien und Unternehmensproduktivität Ausgewogenheit bestehen sollte. Das kann gelingen, wenn die Kommunikation zwischen dem ISB und dem Team, das Richtlinien befolgen soll, auf Augenhöhe stattfindet. Keine renitenten Mitarbeiter, kein selbstgefälliger Sicherheitsbeauftragter.  
 
Das Erfolgsrezept eines effektiven IT-Sicherheitsmanagements besteht darin, Verantwortungen klar zuzuweisen und über diese unternehmensweit aufzuklären. Dabei liegt die Gesamtverantwortung für das IT-Risikomanagement bei der Geschäftsführung, was die BaFin genauso sieht. Eine Aufklärung darüber aber, wie jeder einzelne Mitarbeiter sicherheitskonform handeln kann und Verantwortung für seine eigenen Aktivitäten trägt, ist die Basis für die Einhaltung von Richtlinien.

Software statt Sheriffstern

Ein Sicherheitsbeauftragter ist kein Sheriff. Er benötigt die Fähigkeit, Richtlinien bei Bedarf durchzusetzen, kann aber, auch rein wirtschaftlich betrachtet, nicht die ganze Zeit damit verbringen, Mitarbeiter zu verfolgen, die die Regeln brechen. Überhaupt kann er schlecht durchsetzen, was den Kollegen nicht bekannt ist. Sollten sich beim Lesen hier Bedenken hinsichtlich des Datenschutzes ergeben, so lassen Sie mich diese ausräumen:

Es gibt  ausgeklügelte Sicherheitswerkzeuge, die Einblick in die Aktivitäten der Mitarbeiter geben, ohne dass der ISB gegen den Datenschutz verstößt oder den Betriebsrat auf den Plan bringt.
 
So habe ich beispielsweise in meine Security-Suite SEAL Kit auf einfache Bayes Filter (ein rekursives, probabilistisches Verfahren) basierende Werkzeuge integriert, die in der Lage sind, verdächtige Aktivitäten zu identifizieren, ohne in den Inhalt von E-Mails oder Dokumenten einzutauchen. Sie bilden ausschließlich das normale Verhalten jedes Mitarbeiters ab. Die Sichtbarkeit der Aktivitäten kann dazu beitragen, dass Richtlinien durchgesetzt werden und das Wahrscheinlichkeitsmaß ist in der Lage, schnell mit einer autonomen Aktion zu reagieren, wenn Richtlinien gebrochen werden. Letztendlich stellt die Transparenz sicher, dass auch leitende Angestellte, deren Handlungen die größten Auswirkungen haben können, zur Verantwortung gezogen werden.

IT-Compliance

Ein Sicherheitsbeauftragter berichtete mir kürzlich im persönlichen Gespräch, dass er in den offenen Kommunikationswegen zwischen  Mitarbeitern und Sicherheitsbeauftragtem den größten Vorteil sieht, den die Sichtbarkeit seines Netzes mit sich brachte. Seit seine Kollegen wissen, dass ihr Netzverhalten überwacht wird, erwarten sie bei Richtlinienverstößen eine direkte Rückmeldung via E-Mail. Sie erwarten zu Recht, dass ihnen jemand die Risiken erklären und um ihre Unterstützung in der Zukunft bittet. Mein Gesprächspartner beschrieb die Sichtbarkeit als Hilfe, um eine “Kultur der Compliance” in seiner Organisation zu schaffen.
Wenn sich ein gelebtes Verantwortungsgefühl für die Informationssicherheit unter allen Mitarbeitern etabliert, können sich Richtlinien, die früher als störend empfunden wurden, zu etwas entwickeln, das alle respektieren und umsetzen. Nur dann werden Sicherheitsrichtlinien nicht mehr als Regeln betrachtet, die dazu bestimmt sind, gebrochen zu werden, sondern als Regeln, die sicherstellen, dass ihre Organisation besser geschützt wird. Der interne Sicherheitsbeauftragte kann sich dann in Ruhe strategischen IT-Sicherheitsthemen zuwenden.


Links

Leave a Reply

Your email address will not be published. Required fields are marked *