Informationssicherheit: Von „ISMS“ bis „Informationssicherheitsbeauftragter“

„Wenn es Regenschirme gibt, kann man nicht mehr risikofrei leben: Die Gefahr, dass man durch Regen nass wird, wird zum Risiko, das man eingeht, wenn man den Regenschirm nicht mitnimmt. Aber wenn man ihn mitnimmt, läuft man das Risiko, ihn irgendwo liegenzulassen.“
(Niklas Luhmann)

Ich beschäftige mich nun seit mehreren Monaten nebenher und seit ein paar Wochen intensiver mit der normativ-organisatorischen Seite von Informationssicherheit. Dabei fiel mir auf, dass dieses „Arbeitsfeld“ zwar weidlich beackert wird, es aber nahezu unmöglich ist, ein paar Grundfragen einfach mal so zu recherchieren. Das liegt vor allem daran, dass die allermeisten „Informationsangebote“ entweder

• von Behörden bzw. passionierten „Normenreitern“ kommen, also entsprechend eher die Standards wiedergeben als sie erklären oder
• etwas verkaufen sollen.

Hintergrund meines Interesses: Ich bin designierter „Informationssicherheitsbeauftragter“ (im Folgenden: ISB) meines Hauptarbeitgebers. Und als solcher demnächst auch TÜV-zertifiziert. Einige der Themengebiete sind mir aber nicht ganz neu, sowohl aus Projekten im Hauptjob als auch von Nebenberuflichem wie digital-danach.de.

Zur besseren Strukturierung dieses Wissensgebiets befrage ich mich hier nun kurz selbst. Das Folgende sind freilich ausschließlich meine privaten Gedanken — das muss man ja dazusagen, wenn man über potenziell arbeitsrelevante Inhalte bloggt.

Worum geht es bei „Informationssicherheit“ und „Informationssicherheitsmanagement“ (ISM) eigentlich?

Ich teile das in meinem Kopf in zwei Bereiche: einerseits in den der tatsächlichen „Sicherung“ von physischen oder digitalen Informationen, also etwa durch

• Zutrittskontrollen,
• Brandschutz,
• Sensibilisierung,
• Backups,
• Verschlüsselung,
• Passwortrichtlinien.

Andererseits in einen Bereich der Dokumentation und der Compliance, also einen „Checklisten“-Bereich.

„ISM“ befasst sich aus meiner Wahrnehmung eher mit dem zweiten Block: Man managt, wie man mit Sicherheit umgeht und macht Häkchen in eine Liste. Das heißt nun natürlich nicht, dass sich nicht aus dem ISM Dinge ergeben, die der tatsächlichen Sicherheit dienen — aber vorrangig geht es darum, Sicherheitsbemühungen zu dokumentieren. Dabei fallen hoffentlich praktische Lücken auf; aber der Fokus liegt auf dem „Management“.

Fefe fasst das Problem polemisch in Bezug auf Zertifizierungen zusammen:

Ich erzähle ja schon seit Jahrzehnten, dass Security-Zertifizierungen nicht nur wertlos sondern sogar ein Indikator für schlechte Security sind. Wer das macht, kümmert sich nicht um Security sondern um Checkboxen und Compliance-Listen.

… das heißt natürlich im Umkehrschluss auch nicht, dass eine fehlende Zertifizierung ein Ausweis von Sicherheit ist. Ein Dilemma.

Ein praktisches Beispiel, das mir einfällt: Anti-Viren-Software. Diese Software ist meist selber inhärent unsicher, außerdem vergrößert sie als umfassend berechtigte Software zwingend die Angriffsfläche. In Checklisten ist sie aber vorgeschrieben … was tun?

Diese ganze Erkenntnis hilft freilich in der Praxis nicht, denn wie soll anderweitig in endlicher Zeit überprüft werden, dass man einem Dienstleister oder Zulieferer vertrauen will …? Und genau dafür gibt’s Zertifizierungen.

Was tut ein ISB?

Schon diese Frage ist nicht klar zu beantworten, denn im Gegensatz etwa zum Datenschutzrecht und seinem Datenschutzbeauftragten gibt es keine gesetzliche Ernennungspflicht für Informationssicherheitsbeauftragte. Und von den beiden wichtigsten „Regelwerken“ — siehe unten — schreibt auch nur eine einen ISB vor, nämlich der „BSI Grundschutz“. Dort ist einiges definiert, u.a. die folgenden Aufgaben (ich habe die Fachbegriffe gefettet):

• den Sicherheitsprozess zu steuern und zu koordinieren,
• die [Unternehmens-] Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
• die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
• Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
• der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
• sicherheitsrelevante Projekte zu koordinieren,
• sicherheitsrelevante Vorfälle zu untersuchen sowie
• Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

In Kürze: Der ISB soll „ein Informations-Sicherheits-Management-System (ISMS) aufbauen bzw. pflegen“. Was das alles konkret bedeutet, muss man individuell absprechen. Alle Leit- und Richtlinien sollen schließlich dazu dienen, Unternehmensziele abzusichern — daher geht das nicht abstrakt.

Wichtig scheint zu sein, den ISB auch formal zu bestellen. (Hier eine Vorlage, die aber eher für Behörden oder Werke geeignet ist.) Dabei steigt natürlich mit den (etwa Weisungs-) Befugnissen auch die Verantwortlichkeit und damit die Haftung — daher sollte man sich ggf. damit begnügen, beratend tätig zu sein.

Wer eignet sich als ISB?

Das BSI schreibt:

Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch.

Davon abgesehen werden IT-Sec- und Kommunikationsskills vorgeschlagen, aber es gibt keine „Pflichtenliste“.

Welche „Normen“ gibt es für Informationssicherheit und in welchem Verhältnis stehen sie zueinander?

Hier wird es kompliziert(er). Im Wesentlichen gibt es zwei Normen:

• die internationale ISO 27001 und
• den (deutschen) BSI-Grundschutz mit den Standards BSI 200-1 bis 200-4; eine Übersicht gibt es hier.

Aber natürlich spielen andere Gesetze, Normen, Vorgaben usw. eine Rolle.

• Diverse Gesetze und Vorgaben (vom Aktienrecht bis zu KRITIS) regeln, wer welche Pflichten zur Compliance mit o.g. Normen hat – aber auch mit weiteren Normen, die Informationssicherheit berühren, etwa NIS2 oder DORA.
• Verwandte ISO-Normen, z.B. die 31073 zum „Risk Management“, sollte man auf dem Schirm haben.
• Einen groben Überblick gibt es hier beim österreichischen IKT-Sicherheitsportal.

Außerdem sind wir mit der ISO 27001, die gerade einmal ca. 30 Seiten lang ist, auf wenig konkretem Terrain. Ein kleines bisschen konkreter wird es bei den Maßnahmen („Controls“) im Annex A (erklärende Übersicht bei DataGuard). So eine „Control“, also Sicherheitsmaßnahme, kann man sich anhand des folgenden Beispiels vielleicht besser vorstellen:

A 5.7 „Threat Intelligence“: Information relating to information security threats shall be collected and analysed to produce threat intelligence.

Das ist natürlich maximal abstrakt. Deswegen gibt es dann die ISO 27002, die das ganze erläutert.

Der BSI-IT-Grundschutz soll ein ISMS aufzubauen helfen, das dann auch ISO 27001-zertifizierbar ist. Und genau um dieses Zertifikat geht es vielen, die sich mit dem ganzen IS(MS)-Thema befassen. (Schon verwirrt? Ja, ging und geht mir ähnlich.)

Wer es vollständig mag: Vom BSI gibt es ein „Kompendium“ mit schlappen 860 Seiten. Im Gegensatz zur ISO-Norm aber zumindest frei im Web verfügbar.

Hat das was mit Datenschutz zu tun?

Ja und nein. Einerseits ist der Datenschutz ein Sub-Feld des Informationsschutzes; andererseits haben wir ja schon gelesen, dass beides nicht in einer Hand liegen sollte. Datenschutz-Dokumentationen wie Technische und Organisatorische Maßnahmen (TOMs) und Verarbeitungsverzeichnisse sind aber sehr gute Grundlagen für den Aufbau eines ISMS.

Theorie: Was steckt da dahinter?

Einerseits natürlich die zunehmende Digitalisierung — mehr Angriffsfläche erfordert quasi ein Wettrüsten mit (Gelegenheits-) Kriminellen. Aber ab und an stößt man, insbesondere im Zusammenhang mit europäischen Normen (also sowas wie NIS2 und DORA), auf den ideologischen Überbau eines „Cyberkriegs“ oder „Cyberwar“. Zwar schreibt die Wikipedia:

There is significant debate among experts regarding the definition of cyberwarfare, and even if such a thing exists.

Diese Erkenntnis aber wird das Wettrüsten zwischen Staaten nicht stoppen. In einer Welt der Putins, Jinpings und nun auch Trumps kann man sich als EU halt auch nicht so richtig verstecken … Ergo lagern supranationale und nationalstaatliche Akteure die Verteidigungs-Aufrüstung an auf ihrem Grund tätige Unternehmen aus. (Die dänische Aufsichtsbehörde rät wohl (in Sachen Datenschutz) bereits dazu, sich eine Ausstiegsstrategie aus amerikanischen Diensten zu überlegen. Klingt eigentlich nach einem Gewinn …)

Ein Problem an bürokratischen IT-Normen bleibt natürlich, um nochmal Fefe zu zitieren:

So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der „IT-Security“ in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen „Informationssicherheitsmanagement“. Nee, klar.

Ob uns das also den Cyberwar gewinnt …? Andererseits wüsste ich nicht, was darauf hindeutet, dass Unternehmen mehr Security machen würden, wenn sie weniger Security-Doku machen müssten. Vermutlich bräuchten wir einfach sehr viel mehr Haftung für IT-Murks.

Praxis: Womit fange ich an?

Das werde ich in den nächsten Wochen und Monaten herausfinden und melde mich dann wieder. Die Grundfrage ist aber natürlich immer: Was will man als Unternehmen erreichen — Sicherheit für konkrete Prozesse, bestimmten Gefährdungslagen begegnen, Zertifizierung, Kompatibilität bzw. Compliance mit einer anderen Anforderung, Dokumentation für eigene Entscheidungen? Daraus leitet man dann konkrete „Schutzziele“ und daraus wiederum Maßnahmen ab, setzt sie um, dokumentiert sie und passt sie laufend an. Sounds easy …

Bonus: Weitere Literatur, Lektüren, Blogs etc.

Für weitere Tipps bin ich sehr dankbar!

Generelle Security-Ressourcen, die man auch für sein Privatleben nutzen kann

• Fefe (weil man den einfach lesen muss): https://blog.fefe.de/
• Kuketz („kritisch und verständlich“): https://www.kuketz-blog.de/
• Schockwellenreiter (eher Infos zu Endanwendy-Apps, aber oft unterhaltsam): https://kantel.github.io/#category=Security

Eher spezifischere Fachinformation

• Heise Security
• „Cyber Defense Agency“ der USA
• „Security Insider“
• Zeitschrift „IT-Sicherheit“
• Security Advisories des BSI (-> jede Menge Meldungen!)

PS: Das Luhmann-Zitat am Anfang passt natürlich perfekt auf „Informationssicherheit“. Es gibt keine Gefahren mehr, nur noch Risiken, die man managen kann – und sei es, indem man nichts tut, aber darüber nachgedacht hat.