Ein Mitarbeiter erhält eine an ihn persönlich adressierte Mail in der ihm ein befreundeter Geschäftspartner das Profil eines interessanten Kandidaten für eine offene Stelle im Anhang zusendet. Der Mitarbeiter öffnet den Anhang der Mail und das Schicksal nimmt seinen Lauf. Schrittweise verschlüsselt die im Anhang enthaltene Ransomware alle Dateien in den Laufwerken. Geistesgegenwärtig schaltet der Mitarbeiter seinen Computer sofort aus, als er dies bemerkt und meldet den Sicherheitsvorfall an die Hotline. Die Mitarbeiter in der IT-Security des Unternehmens erkennen rasch die kritische Lage und schützen die kritischen Daten und IT-Anwendungen vor einer weiteren Verschlüsselung. Hierzu müssen jedoch für den Geschäftsbetrieb kritische IT-Anwendungen zeitweise außer Betrieb genommen werden. Daher wird umgehend das Business Continuity Management (BCM) informiert und der Krisenstab des Unternehmens alarmiert. Über das BCM werden die Notfallpläne für den Ausfall der IT-Anwendungen in den betroffenen Fachbereichen in Kraft gesetzt. Der Krisenstab erhält alle Informationen zur aktuellen Lage aus den Fachbereichen und steuert die interne und externe Kommunikation. Schließlich ist dieser Sicherheitsvorfall nach dem kürzlich in Kraft getretenen IT-Sicherheitsgesetz durch das Unternehmen meldepflichtig. Die von der Verschlüsselungsattacke betroffenen Daten können aus der letzten Sicherung wiederhergestellt werden und nach einem Tag läuft der Betrieb wieder im Normalbetrieb.

Dies ist ein fiktives Beispiel auf der Basis realer Begebenheiten. Viele Unternehmen hat Ransomware auf dem falschen Fuß erwischt und Geschäftsprozesse mussten ohne die essentiellen IT-Anwendungen „zu Fuß“ durchgeführt werden. Zu den betroffenen Unternehmen und Organisationen zählen unter anderem auch Unternehmen der Kritischen Infrastrukturen wie Krankenhäuser oder aber auch (Sicherheits-) Behörden.

Das Beispiel zeigt, dass für die Sicherstellung der Verfügbarkeit der geschäftskritischen Prozesse und Services eines Unternehmens auf einem gut funktionierenden Zusammenspiel verschiedener Disziplinen basiert. In diesem Beispiel arbeitet das Informationssicherheitsmanagement eng mit dem Business Continuity Management (BCM) und dem Krisenmanagement zusammen. Das Informationssicherheitsmanagement hat die Verfügbarkeit der Daten und Anwendungen im Fokus, das Business Continuity Management die Geschäftsprozesse und Services des Unternehmens. Das Krisenmanagement übernimmt die Steuerung der Lage sowie die interne und externe Kommunikation und dient somit als Bindeglied und Steuerungseinheit über alle Bereiche. Weitere Disziplinen mit engen Anknüpfungspunkten sind das Risikomanagement, Facility Management für die Sicherheit der Gebäude und geschäftskritischen Räume im Rahmen des Objektschutzes, der Datenschutz sowie die Arbeitssicherheit. Wirken alle Disziplinen zielgerichtet zusammen, um die Widerstandsfähigkeit des Unternehmens gegen innere und äußere Störungen zu erhöhen, spricht man von „Resilienz“. Ein enges Zusammenwirken aller dieser Disziplinen zur Schaffung einer resistenten Organisation ist erforderlich, da jede Disziplin für sich über einen „blinden Fleck“ verfügt. Das Business Continuity Management hat die Sicht auf die Geschäftsprozesse und deren Absicherung gegen Ausfälle. Die für die Durchführung der Geschäftsprozesse zwingend erforderlichen IT-Anwendungen und Daten werden durch die Disziplinen IT Service Continuity Management, Informationssicherheit sowie Datenschutz betrachtet. Die Gebäude und Räume mit den kritischen IT- und Technikkomponenten sind in der Verantwortung des Facility Managements. Die IT hat jedoch oftmals nur die offiziellen IT-Anwendungen im Blick. Der blinde Fleck der IT umfasst in den Fachbereichen erstellte IDV-Anwendungen sowie die sogenannte „shadow IT“ bestehend aus Web-Anwendungen und Cloud-Diensten (Bsp. Cloudspeicherlösungen wie Dropbox). Das Business Continuity Management kann diesen blinden Fleck der IT schließen, indem im Rahmen der Business Impact Analyse alle kritischen Ressourcen für den Geschäftsprozess betrachtet werden. Hierzu gehören selbstverständlich auch die IDV-Anwendungen und die „Schatten-IT“.

Nur wenn in allen diesen Disziplinen ein einheitliches Verständnis darüber herrscht, welches die kritischen Unternehmensressourcen sind und wie diese übergreifend abzusichern sind, werden die Investitionen in die Sicherheit auch effizient und effektiv sein. Kritischer Erfolgsfaktor für die Schaffung der Resilienz sind daher die Schnittstellen zwischen diesen Disziplinen.

Häufig arbeiten diese Disziplinen noch in ihren eigenen „Silos“, gefördert durch separate Begrifflichkeiten, unterschiedliche Standards und nicht zuletzt unterschiedliche Ausbildungen und Charaktere der Menschen.

Bei den Standards geht die Entwicklung hin zu integrierten Managementsystemen – die Realität hinkt dieser Entwicklung leider noch oftmals weit hinterher. Dies führt zu großen Ineffizienzen: hohe Investitionen in die Sicherheit an der einen Stelle werden durch gravierende Lücken an anderer Stelle ad absurdum geführt. Was nutzt der hohe Aufwand in den Schutz vor Viren und Malware durch eine Firewall von aussen, wenn (Innen-) Täter Schadsoftware ganz einfach über einen USB-Stick in das Netz bringen können oder keinerlei Notfallpläne für den Ausfall kritischer Geschäftsprozesse existieren.

Dabei ist muss ein vernünftiger Basisschutz nicht aufwändig und teuer sein. Gerade mittelständische Unternehmen haben bei der Sicherung ihrer Informationswerte noch einen hohen Nachholbedarf. Dieser muss mit begrenzten Mitteln und Ressourcen abgearbeitet werden. Die Augen zu verschließen oder jetzt die „Keule auszupacken“ sind jeweils der falsche Weg. Pragmatisch Schritt für Schritt muss die Resilienz des Unternehmens erhöht werden – gleichmäßig in alle Richtungen. Hierbei müssen insbesondere auch die Mitarbeiter auf diesem Weg mitgenommen werden und für die Sicherheitsthemen sensibilisiert werden. Das Beispiel zu Beginn dieses Beitrags hat dies gezeigt.

Zu den elementaren Schritten hin zu einer angemessenen Unternehmenssicherheit gehören die nachfolgenden Prozessschritte:

1. Identifikation der Informationswerte des Unternehmens mit einem hohen oder sehr hohen Schutzbedarf.

Im Rahmen der Business Impact Analyse (BIA) im BCM und der Schutzbedarfsfeststellung im ISMS werden die Informationswerte des Unternehmens mit ihrem Schutzbedarf identifiziert. Zu diesen Informationswerten zählen die Geschäftsprozesse, Mitarbeiter, IT-Anwendungen, IT-Systeme, IT- und Netzwerkkomponenten, Gebäude mit der Gebäudetechnik sowie Dienstleister und Lieferanten.

2. Risikoorientierte Umsetzung der Maßnahmen zum Schutz der Informationswerte, die für das Unternehmen hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität einen besonders hohen Schutzbedarf aufweisen (die sogenannten „Kronjuwelen“ des Unternehmens)
3. Umsetzung der Maßnahmen zur Realisierung eines angemessenen Basisschutzes für die anderen Informationswerte
4. Erstellung von Notfallplänen für den Ausfall kritischer Geschäftsprozesse und Implementierung eines Krisenmanagements
5. Sensibilisierung der Mitarbeiter für die Maßnahmen zum Schutz der Informationswerte
6. Aktualisieren, Überprüfen, Testen und Üben der Maßnahmen und Pläne.

Insbesondere der laufenden Überprüfung der Maßnahmen kommt eine besondere Bedeutung zu. Gefährdungen für die Sicherheit der Informationswerte wandeln sich, neue Technologien können neue Schwachstellen mit sich bringen und schließlich schaffen Tests und Übungen das notwendige Training, um mit Sicherheitsvorfällen professionell umgehen zu können.

Alle diese Maßnahmen können Sie nicht vor dem Eintreten eines Sicherheitsvorfalls oder Notfalls schützen, doch Sie werden diese kritischen Situationen beherrschen können und „schnell vor die Lage kommen“ wie Krisenmanager dies auszudrücken pflegen.

(Dieser Beitrag wurde ursprünglich von haemmerle-consulting auf 3GRC veröffentlicht).