Der folgenden Artikel beschreibt wie ein Cybersecurity Management aufgebaut werden kann, sodaß die bereits installieren Sicherheitsmaßnahmen regelmäßig überprüft und gleichzeitig an die sich verändernde Situationen innerhalb und außerhalb des Unternehmens angepasst werden.
Verantwortlichkeiten klären
Sicherheitsziele müssen vom Management getrieben und bewusst verfolgt werden (Top-Down). Andere Ansätze aus der Belegschaft sind sicherlich gut und sollten weiter verfolgt werden. Sie müssen allerdings überwacht und mittelfristig zentral gesteuert werden. Die meisten IT-Abteilungen verfolgen oft bereits Sicherheitsziele, allein schon aus Eigeninteresse heraus. Diese sind in den meisten Fällen jedoch ausschließlich von knappen Budgets oder Performance-Anforderungen getrieben. IT-Administratoren stellen den IT-Betrieb u.a. durch Backups, Firewalls und Antivirus-Lösungen sicher. Häufig fehlt Ihnen der Überblick über die Geschäftsziele der Unternehmensleitung und geben deshalb möglicherweise sogar Geld für Lösungen in den falschen Bereichen aus. Die Unternehmensführung muss Verantwortliche benennen die nicht direkt in der IT-Abteilung arbeiten. Je nach Größe des Unternehmens bietet es sich an in einzelnen Geschäftsbereichen Funktionen zu benennen die einerseits für die IT-Sicherheit von einzelnen Produktionsanlagen zuständig sind und außerdem direkt in die Freigabe von Änderungen an Prozessen oder Produktion involviert sind. Sie können an eine zentrale Stelle (den Sicherheits-Manager) berichten der seinerseits direkt der Unternehmensleitung unterstellt sein muss.
Budgetfrage klären – wieviel sind Ihre Kronjuwelen wert?
Selbstverständlich muss ein Unternehmen auch nach dem Installieren von Sicherheitsmaßnahmen weiterhin Gewinn machen. Es ist eine Balance herzustellen zwischen den Kosten die bei einem Ausfall oder Kompromittieren der Produktion entstehen könnten und den Kosten die solch einen Vorfall verhindern sollen. Doch wo liegt diese magische Marke? Der Vertrieb gibt Auskunft über die Einnahmen die einzelne Produkte im Unternehmen erwirtschaften. Diese Einnahmen gilt es natürlich zu sichern. Dabei spielen einerseits die im Unternehmen vorhandenen Assets eine Rolle (Server, Konstruktionspläne, Immobilien) sowie die im Fluss befindlichen Werte (fahrende LKWs, Daten und Emails). Eine Faustregel über notwendige Budgets im Verhältnis zum Unternehmensumsatz gibt es nicht. Klar ist dass die Kosten durch Schäden mit weniger IT-Sicherheitsmaßnahmen steigen. Das Sicherheitsniveau sollte steigen mit mehr Ausgaben für IT-Sicherheitsmaßnahmen. Beide Kurven treffen sich in einem Schnittpunkt den es zu finden gilt.
Risikoansatz wählen – qualitativ nach BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in seinem Standard 100-3 eine deterministische Risikoanalyse. Diese erfasst die Risiken qualitativ und stellt somit eine beschreibende Darstellung dar. Eintrittswahrscheinlichkeiten und Schadensklassen werden definiert und bilden die Grundlage um letztendlich eine vergleichende Risikodarstellung zu erhalten. Das Ergebnis hilft dabei den Maßnahmenplan zu priorisieren damit Sicherheitsmaßnahmen zuerst zur Begrenzung der kritischsten Risiken eingeführt werden.
Assetregister erstellen – Systeme und Prozesse erfassen
Eine Risikoanalyse ermittelt die Gefährdung für einzelne Prozesse oder Technologien. Daher muss zwingend ein sog. Assetregister (Inventar) in dem alle wichtigen Komponenten des Unternehmens verwaltet werden aufgebaut und gepflegt werden. ITIL spricht hierbei von einem Configuration-Management-System (CMS) welches in einer Datenbank die Configuration-Items (CI) verwaltet. Unternehmen die bereits über einen etablierten Change-Prozess Veränderungen im Unternehmen überwachen, greifen üblicherweise bereits auf solch eine Datenbank zurück. Andere Unternehmen, die keine Inventar-Datenbank bisher aufgebaut haben, können auf andere Datenquellen zurück greifen wie z.B. auf die Verwaltung von Desktop-Systemen die von einem Server IP-Adressen zugeteilt bekommen (DHCP). Alternativen bieten sich auch durch Zugriff auf ein Inventarisierungssystem welches zur Erfassung und Abschreibung von Wirtschaftsgütern Verwendung findet.
Wichtig ist dass diese Datenbank es ermöglich die Wirtschaftsgüter des Unternehmens über einen einzigartigen Schlüssel zu finden. Sofern hierin sogar ganze Systeme oder Prozesse verwaltet werden, bietet dies den Vorteil eine Verbindung zwischen den Geschäftsprozessen und der darunter liegenden IT Infrastruktur herstellen zu können. Somit lassen sich Gefahren, die auf einzelne Elemente des Unternehmens wirken, sogar bis auf die Geschäftsebene abbilden und damit die Auswirkung auf das Geschäft ermitteln.
Lebenszyklus für Assets Einführen – in existierende Prozesse einbinden
Nun erstellt man eine erstmalige Risikoanalyse. Diese stellt natürlich noch kein umfassendes Sicherheits-Management dar. Deshalb müssen im Weiteren Automatismen eingebaut werden sodass einerseits bei jeder Änderung die Auswirkung auf das Unternehmen ermittelt werden kann und andererseits regelmäßig die äußeren sich permanent verändernden Umstände beobachtet und Ihre Auswirkungen auf das Unternehmen überwacht werden können. Um das zu erreichen kann der Sicherheits-Manager Kennzahlen von Unternehmensprozessen abfragen bzw. neue erstellen und diese in seinen regelmäßigen Reports dem Management vortragen. Eine der ersten Kennzahlen kann die Anzahl implementierter präventiver Maßnahmen sein, die in Reaktion auf identifizierte Bedrohungen der IT-Sicherheit implementiert worden sind. Andere Kennzahlen werden sich auf Sicherheitsvorfälle beziehen um die Risiken für das Unternehmen besser bewerten und die Reaktionsgeschwindigkeit erhöhen zu können. Ebenso wird die Anzahl der durchgeführten Sicherheitstests (Verwundbarkeitstests, Ausfall- und Failovertests etc.) eine wichtige Kenngröße sein.
Regelmäßig die Wirksamkeit überprüfen
Nachdem ein Sicherheits-Management installiert wurde, wird sich der Verantwortliche regelmäßig vor seinem Management rechtfertigen müssen. Den Ausgaben muss die Wirksamkeit des Sicherheits-Managements gegenüber gestellt werden. Hierzu werden gerne die Erkennungsrate von Viren/Trojanern oder Anzahl gefundener Schwachstellen in neuer Software verwendet um die Ausgaben für Sicherheitssysteme und -Prozesse zu rechtfertigen.
Viele Unternehmen gehen jedoch noch einen Schritt weiter. Die Wirksamkeit der Maßnahmen wird gemessen und damit der Reifegrad der etablierten Sicherheits-Systeme dargestellt. Es wird eine kontinuierliche Verbesserung der Maßnahmen angestrebt. Auch im Sicherheits-Management ist Automation wichtig. Sie dient zur Vereinfachung von Überwachungsmaßnahmen bei permanenter Zunahme der Komplexität von Angriffen auf das Unternehmen sowie Komplexität der Produktionsprozesse. Man bedient sich häufig des Capability Maturity Modell (CMM) der Carnegie-Mellon-Universität in Pittsburgh. Es wurde ursprünglich entwickelt um die ständig anwachsende Menge von IT-Systemen und der damit verbundenen steigenden Fehlerrate Herr zu werden. Die Reife (Maturität) wird in fünf Stufen gemessen von „nicht dokumentiert und chaotisch“ (1) über „definiert und standardisiert“ (3) bis „optimierend“ (5). Ziel ist es nicht unbedingt bis zur höchsten Reife zu kommen, denn das ist nur für die wesentlichen Prozesse im Unternehmen sinnvoll. Der angestrebte Reifegrad wird zuvor als Zielprofil definiert um anschließend die Prozesse kontinuierlich diesem anzunähern.
Zusammenfassung
In diesem Artikel wird erläutert wie man ein Sicherheits-Management für ein mittelständiges Unternehmen aufbaut. Wichtigste Aspekte hierzu sind:
- Budgetfrage muss geklärt sein
- Inventar-Liste existiert und wird zumindest jährlich überarbeitet
- Sicherheits-Management wird in existierende Prozesse im Unternehmen eingebunden
- Die Wirksamkeit wird kritisch betrachtet und Verbesserungen eingebaut.
- Das Zielprofil wird definiert und nur die für das Unternehmen wesentlichen Prozesse bis zum optimalen Reifegrad gebracht.