Obwohl das Bewußtsein für die Notwendigkeit von IT-Sicherheitsmaßnahmen in den Unternehmen in den letzten Jahren gestiegen ist, konzentrieren sich diese immer noch sehr auf Technik und akut auftretende Probleme. Im Fokus stehen hierbei in den Medien häufig reflektierte Themen wie Virenbefall oder Hackerangriffe. Der Blick auf „das große Ganze“ findet häufig nicht statt. Eine globalere Herangehensweise bietet das IT-Security Process Landscaping.
End-to-End Digitalisierung mit Risiko
Mit der Häufung von sicherheitsrelevanten Zwischenfällen insbesondere in den vergangenen zwei Jahren ist IT-Sicherheit zu einem schillernden Schlagwort in der IT-Branche geworden. In einer Befragung der META Group berichten in diesem Zeitraum 76 Prozent aller deutschen Unternehmen von Schäden insbesondere durch Computerviren und „bösartige“ Codes. Die öffentliche Diskussion dieser Formen von Attacken auf Computer und Firmennetze hat die „Security Awareness“ bei den betroffenen Unternehmen gesteigert.
Der Zeitpunkt der Diskussion ist nicht zufällig: Im Anschluss an die flächendeckende unternehmensinterne Nutzung der Informationstechnologie haben nahezu alle Unternehmen in den vergangenen Jahren mit ihren Internetangeboten und der Nutzung des Internets durch Mitarbeiter eine bidirektionale Zugangstür für bzw. zu Kunden und Partnern geöffnet. Ein weiteres Tor wird derzeit in fast allen Branchen mit der Einführung mobiler Technologien aufgestoßen.
Damit entstehen über die gesamten geschäftlichen Kernprozesse unternehmensübergreifend Sicherheitsrisiken, die auf dem organisatorisch-technischen Zusammenspiel von Mitarbeitern, Partnern und Kunden unter Nutzung diverser Technologien und Netzen beruhen.
Besondere Risiken bestehen dabei für Unternehmen, deren Produkte selbst digitalisiert sind und damit besondere Angriffsflächen bieten. Bei Sicherheitsproblemen werden diese Unternehmen direkt in ihrem geschäftlichen Kern getroffen.
Security-Ansätze: oft technikorientiert und punktuell
Die Sicherheitsmaßnahmen von Unternehmen und auch die Anbieter von Sicherheitslösungen gehen das Thema in der Regel noch sehr technikorientiert, reaktiv und vor allem punktuell an. Der Blick ist auf einzelne Bestandteile der Bedrohungslandschaften gerichtet. Im Zentrum stehen zumeist „Mainstream“-Themen wie Viren oder Hackerangriffe oder der isolierte Blick auf einzelne unternehmenskritische Kernsysteme. Entsprechend werden zwar sinnvolle aber punktuelle Lösungen (z.B. Firewalls) eingesetzt oder Einzelmaßnahmen (z. B. Zugriffskontrollen für einzelne Systeme) ergriffen.
Eine systematische Erfassung und Bewertung von Bedrohungspotenzialen in den verteilten Geschäftsprozessen findet in der Regel nicht statt. Damit bleibt eine Vielzahl von Gefährdungsszenarien unbeachtet und Investitionen in IT-Sicherheit werden zwangsläufig oftmals an der falschen Stelle getätigt.
Die Dortmunder adesso AG hat eine Methode entwickelt, die genau hier ansetzt. Das Verfahren des IT-Security Process Landscaping benennt konkret die einzelnen gefährdeten Prozessbestandteile sowie die durch das Zusammenspiel von Menschen, Soft-/ Hardware und Netzen entstehenden möglichen Bedrohungen.
Blick durch die Geschäftsprozess-Brille: IT-Security Process Landscaping
IT-Security Process Landscaping orientiert sich an den fachlichen Geschäftsprozessen. Ziel ist es, einen Überblick über alle Bedrohungspotenziale in Form einer Threats Landscape zu erhalten, um anschließend die bestehenden IT-Security-Maßnahmen bewerten und konkrete Anforderungen an sichere Geschäftsprozesse auf den Ebenen Menschen, Netze, Software und Hardware definieren zu können. Auf diese Weise lassen sich Bedrohungen antizipativ erkennen. Gleichzeitig können bei Prozessänderungen neu entstandene Bedrohungen leicht identifiziert und entsprechende Gegenmaßnahmen eingeleitet werden.
Schutzzonen im Unternehmen
Für eine erste Bewertung von Sicherheitsrisiken und notwendigen Maßnahmen nutzt adesso zunächst die vorhandenen Informationen und Analysen des jeweiligen Unternehmens. Vor allem die Dokumentation der bestehenden IT-Infrastruktur, Beschreibungen der fachlichen Prozesse sowie die Ergebnisse bisher durchgeführter Security Audits sind als Informationsbasis von Bedeutung. Ziel ist es, sogenannte Schutzzonen im Unternehmen zu identifizieren. Diese Schutzzonen beschreiben auf noch relativ abstrakten Prozessebenen die Schutzbedürftigkeit und die Gefährdungen von Prozessen bzw. Prozessbestandteilen mit Blick auf die Vertraulichkeit, Verfügbarkeit, Integrität sowie Authentizität von Daten und Informationen. Wichtig ist, dass dabei einheitliche Kriterien für Beschreibung und Bewertung zugrunde gelegt werden.
Zur anschließenden Analyse wird das externe Security-Team von adesso herangezogen. Das Team, das sich zum einen aus IT-Experten und zum anderen aus Branchen- und Fachspezialisten zusammen setzt, verbindet die fachlichen Prozessbeschreibungen mit den Informationen aus der Dokumentation der IT-Infrastruktur. Im Ergebnis entsteht so ein erstes Gesamtbild, das als Grundlage für die weitere Analyse dient.
Für eine detailliertere Einschätzung werden anschließend die Unternehmensmitarbeiter mit einbezogen. Gemeinsam mit den IT-Experten und ggf. Datenschutz- bzw. IT-Security-Beauftragten des Unternehmens wird deshalb eine erneute Bewertung der bestehenden IT-Infrastruktur vorgenommen. Ziel ist es, externe und interne Einschätzungen abzugleichen und so zu einem Überblick über Schutzbedürftigkeit und Gefährdungen zu gelangen.
Im Fokus: der Alltag
In einem zweiten, aufbauenden Schritt werden dann ausgesuchte Fachexperten (die Process Owner) aus den einzelnen Fachabteilungen herangezogen, um die Infrastruktur-Schutzzonen gemeinsam zu analysieren. Besonderes Augenmerk wird dabei auch auf die Identifikation von Alltagsgefährdungen gelegt, also auf Bedrohungspotenzialen, die sich aus der täglichen Arbeits- und Prozessroutine der Mitarbeiter im Umgang mit sensiblen Daten und Informationen ergeben. Denn diese Gefährdungen sind in der Regel aus den formalen Beschreibungen der fachlichen Prozesse nicht ersichtlich und werden deshalb oftmals vernachlässigt. Gleichzeitig wird eine Verfeinerung der Schutzzonen vorgenommen.
Anschließend wird mit Hilfe eines teilstrukturierten Fragebogens eine Befragung ausgesuchter Mitarbeiter durchgeführt, die innerhalb der als besonders schutzbedürftig und/oder als besonders gefährdet identifizierten Prozesse agieren. Die Befragung hilft, einerseits die Alltagsgefährdungen zu spezifizieren (z. B. Austausch von wichtigen Vertragsdaten per E-Mail, um Abstimmungsprozesse zu verkürzen). Andererseits können Lücken in den vorliegendenden Beschreibungen der IT-Infrastruktur behoben (beispielsweise: welche, möglicherweise privaten Endgeräte nutzen die Mitarbeiter?) und die Bedeutung der Komponenten der IT-Infrastruktur für die Prozesse exemplarisch ermittelt werden (z. B. die tatsächliche Bedeutung und Nutzung von mobilen Endgeräten im Außendienst von Versicherungsunternehmen).
Zusammen mit den Ergebnissen des Austauschs mit den internen Experten entsteht durch die stichprobenartige Befragung ein Gesamtbild der bewerteten Schutzzonen auf Prozessebene.
Maßnahmenbewertung – IT-Security-Process-Audit
Unternehmen haben bereits heute eine Vielzahl von Sicherheitstechnologien im Einsatz und Maßnahmen zur Absicherung ihrer Systeme ergriffen. Auch werden die Maßnahmen in der Regel in festen zeitlichen Abständen im Rahmen von Security Audits erhoben und bewertet. Inwieweit die Maßnahmen allerdings aus fachlicher Prozesssicht tragen, lässt sich systematisch erst auf der Basis der erarbeiteten Schutzzonen und ihrer jeweiligen Charakterisierung ablesen. Hier zeigt sich, ob und an welcher Stelle und in welcher Qualität die ergriffenen Maßnahmen den tatsächlichen Gefährdungen in den Geschäftsprozessen gerecht werden.
Nicht immer decken sich die „Einschätzungen“ der IT-Experten in den Unternehmen mit den tatsächlichen Gefährdungen in den Geschäftsprozessen. Ein wesentlicher Grund ist, dass zum einen die Daten und Informationen, die in den fachlichen Prozessen generiert, genutzt und weiterverarbeitet werden, in der IT nicht hinreichend bekannt sind. Zum anderen gelangt deren Bedeutung und Nutzung im alltäglichen Handeln der fachlichen Akteure oft nicht in den Blick der IT-Abteilungen. Besonderer Wert wird deshalb auch auf die Bewertung der Maßnahmen vor dem Hintergrund der tatsächlich gelebten Prozesse gelegt. Fehlende Sensibilität der Mitarbeiter oder unzureichende Sicherheitsanweisungen schaffen häufig unbeabsichtigte Sicherheitslücken. Ob und inwieweit die bestehenden Maßnahmen und Instrumente den tatsächlichen Gefährdungen in den Schutzzonen entsprechen, ist Gegenstand des des IT-Security-Process-Audit.
Security Roadmap und Sicherheitsorganisation
Auf der Basis der Bewertungsergebnisse kann die eigentliche IT-Security Process Landscape erstellt werden. Diese beschreibt die mit Zeitvorgaben versehenen IT-Sicherheitsziele und die notwendigen Maßnahmen im Detail. Die einzelnen Maßnahmen werden nach Sicherheitszonen differenziert und entsprechend priorisiert. In der Regel wird man an dieser Stelle aufgrund hoher Dringlichkeit und Schutzbedürftigkeit zwischen Sofortmaßnahmen (Updates, Patches, Umkonfigurationen usw.) und mittel- bis langfristigen Maßnahmen unterscheiden. Letztere umfassen auch den systematischen Aufbau eines längerfristig tragfähigen Sicherheitsmanagements, einer dedizierten Sicherheitsorganisation. In diesem Zusammenhang ist in jedem Einzelfall zu prüfen,
– ob und in welcher Form ein interdisziplinär zusammengesetztes Security-Team für die gesamte Steuerung und Überwachung der IT-Security verantwortlich gemacht wird,
– ob Prozessverantwortliche benannt werden sollten, die für die Datensicherheit in ihren Bereichen aus fachlicher Sicht zuständig sind,
– welche Sensibilisierungs- und Schulungsmaßnahmen für Mitarbeiter durchzuführen sind, um diese in die relevanten Themen einzuarbeiten und
– wie ein Frühwarnsystem etwa durch die Anbindung an ein CERT etabliert und unternehmensintern durch geeignete Prozesse unterstützt werden kann (95% aller erfolgreichen Angriffe basieren auf Schwachstellen, die bereits bekannt sind und für die Fixes oder Patches zur Verfügung stehen! CERTS informieren darüber).
IT-Security Process Landscaping als Basis für „Security Awareness“ des gesamten Unternehmens
IT-Security ist in Zeiten einer nahezu vollständigen Digitalisierung von Geschäftsprozessen kein Thema, das im Serverraum der Unternehmen beginnt und beim Aufspielen von Antivirenprogrammen der Desktop-Systeme der Mitarbeiter endet. Sicherheitsrisiken durchziehen heute tendenziell alle Prozesse im Unternehmen und betreffen das tägliche Handeln aller Akteure. Systematisch lassen sich die Risiken deshalb auch nur aus Prozesssicht erfassen und Maßnahmen zur Gewährleistung von hohen Sicherheitsstandards nur mit Blick auf die Prozesse bewerten und umsetzen. Mit dem IT-Security Process Landscaping bietet sich hierfür eine bewährte Methode. Zugleich dient sie als Controlling-Instrument im Rahmen der Umsetzung von Maßnahmen. Sie ist Grundlage für die laufende Anpassung der Sicherheitsanforderungen im Falle von Prozessänderungen und kann von den Unternehmen als Leitfaden genutzt werden, Sicherheitsanalysen gegebenenfalls zu vertiefen und zukünftige Maßnahmen zu priorisieren. IT- und Unternehmensleitungen wird darüber hinaus die Möglichkeit gegeben, einen dokumentierten Nachweis zu liefern, dass das Thema im eigenen Unternehmen nicht stiefmütterlich und nur punktuell, sondern systematisch behandelt wird.
Darüber hinaus aber und ebenso wichtig ist, dass die Methode des IT-Security Process Landscaping selbst auch einen Prozess definiert, um im Unternehmen die IT-Security Awareness nicht nur in der IT-Abteilung sondern bei allen Prozessbeteiligten zu steigern. Und letztlich ist das eine notwendige Bedingung für sichere Geschäftsprozesse.
