Lehren aus Wikileaks: Aber was ist Informationssicherheit genau?

Heute ist Wikileaks aus einem guten Grund eine brandheiße Geschichte – es geschieht nicht sehr häufig, dass vertrauliche Dokumente der weltweit mächtigsten Regierung im Internet veröffentlicht werden. Und einige dieser Dokumente sind gelinde gesagt peinlich.

Ich werde mich hier nicht dazu äußern, ob die Veröffentlichung dieser Dokumente durch Wikileaks legal war oder nicht, ob die Veröffentlichung dieser Informationen aus öffentlichem Interesse hätte erfolgen müssen oder nicht, oder was mit seinem Gründer geschieht (beim Verfassen dieses Artikels war Julian Assange in Haft) usw.

Das Problem ist eher, dass ein neues Wikileaks erscheint, sobald das alte Wikileaks geschlossen werden sollte. Anders ausgedrückt: Die Bedrohung durch Weitergabe von Informationen an die Öffentlichkeit nimmt ständig zu. (Übrigens hatte Julian Assange vor dem Gang ins Gefängnis angekündigt, er werde belastende Informationen über eine große US-Bank und ihre missbräuchliche Praxis veröffentlichen.)

Ich möchte hier den Standpunkt eines Unternehmens herausstellen – was geschieht, falls wir das nächste Ziel von Wikileaks oder dessen Klon werden sollten? Wie kann die Sicherheit unserer Informationen gewährleistet und der Schaden eines solchen großen Vorfalls vermieden werden?


Einfaches Beispiel

Aber wie funktioniert Informationssicherheit in der Praxis? Nehmen wir ein einfaches Beispiel – zum Beispiel lassen Sie Ihr Notebook häufig im Auto auf dem Rücksitz liegen. Die Chancen stehen gut, dass es früher oder später gestohlen wird.

Was können sie tun, um dieses Risiko zu senken? Zunächst einmal können Sie eine Vorschrift (durch Schreiben eines Verfahrens oder einer Leitlinie) erlassen, dass Notebooks nicht in einem Auto unbeaufsichtigt zurückgelassen werden dürfen, oder dass das Auto dort geparkt werden soll, wo eine Art physischer Schutz gegeben ist. Zweitens können Sie Ihre Daten schützen, indem Sie ein starkes Passwort verwenden und Ihre Daten verschlüsseln. Außerdem können Sie fordern, dass Ihre Mitarbeiter eine Erklärung unterzeichnen, mit der sie sich rechtlich für die möglicherweise eintretenden Schäden verantwortlich erklären. Aber all diese Maßnahmen können wirkungslos bleiben, wenn Sie Ihren Mitarbeitern die Vorschriften nicht mithilfe einer kurzen Schulung erklären.

Welche Schlussfolgerungen können Sie aus diesem Beispiel ziehen? Informationssicherheit ist niemals nur eine einzelne Sicherheitsmaßnahme, sie ist immer mehrere Maßnahmen zusammen. Und die Maßnahmen sind nicht nur IT-bezogen, sondern umfassen auch organisatorische Fragen, Personalmanagement, physische Sicherheit und Rechtsschutz.

Das Problem ist: Dies war ein Beispiel eines einzelnen Notebooks, ohne bedrohtes Insiderwissen. Betrachten wir nun, wie komplex der Schutz der Informationen Ihres Unternehmen ist. Informationen sind nicht nur auf Ihren PCs gespeichert, sondern auch auf verschiedenen Servern, nicht nur in Ihren Schubladen, sondern auch auf sämtlichen Ihrer Mobiltelefone, nicht nur auf USB-Sticks, sondern auch in den Köpfen aller Mitarbeiter. Und Sie haben möglicherweise einen sehr verärgerten Mitarbeiter.

Scheint wie eine unmögliche Aufgabe? Schwer – ja, aber nicht unmöglich.

Herangehensweise

Um dieses komplexe Problem zu lösen, benötigen Sie einen Rahmen. Die gute Nachricht ist, dass es diese Rahmenbedingungen in Form von Normen bereits gibt – am stärksten verbreitet ist ISO 27001, die international führende Norm für Informationssicherheits-Managementsysteme, aber es gibt auch andere – COBIT, NIST SP 800 Series, PCI DSS usw.

Ich werde hier auf ISO 27001 konzentrieren. Ich glaube, dass Sie Ihnen beim Aufbau eines Informationssicherheitssystems eine gute Grundlage bietet, weil sie einen Katalog mit 133 Sicherheitsmaßnahmen beinhaltet und die Flexibilität bietet, nur die Maßnahmen anzuwenden, die hinsichtlich des Risikos wirklich benötigt werden. Ihre bestes Merkmal ist jedoch, dass es einen Managementrahmen für die Steuerung und Leitung von Sicherheitsproblemen definiert. Damit wird erreicht, dass Sicherheitsmanagement Teil des Gesamtmanagements eines Unternehmens wird.

Kurzum – mit dieser Norm können Sie alle in verschiedener Form vorliegenden Informationen und sämtliche Risiken berücksichtigen. Ihnen wird ein Weg aufgezeigt, um jedes potenzielle Problem sorgfältig zu lösen und die Sicherheit Ihrer Informationen sicherzustellen.

Konsequenzen für das Geschäft

Also sollten Konzerne fürchten, dass Ihre Informationen an die Öffentlichkeit kommen? Sollten sie etwas Illegales oder Unethisches tun, so sollten sie das sicherlich.

Doch wenn rechtschaffene Unternehmen ihr Geschäft schützen möchten, so dürfen sie nicht nur an Rendite, Marktanteil, Kernkompetenzen und langfristige Visionen denken. Ihre Strategie muss auch die Sicherheitsprobleme berücksichtigen, denn unsichere Informationen können wesentlich teurer als beispielsweise die fehlgeschlagene Markteinführung eines neuen Produktes werden. Mit Sicherheit meine ich nicht nur physische Sicherheit, den die reicht einfach nicht mehr aus – die heutige Technik ermöglicht Informationslöcher über viele verschiedene Wegen.

Was wir brauchen, ist ein umfassendes Konzept für die Informationssicherheit – egal, ob Sie ISO 27001, COBIT oder ein anderes Framework verwenden, solange Sie es systematisch nutzen. Und es ist keine einmalige Anstrengung, es ist ein dauerhafter Vorgang. Und ja – es ist nichts, was Ihre IT-Jungs alleine schaffen können. Es ist etwas, an dem sich das ganze Unternehmen beteiligen muss, angefangen bei der Geschäftsleitung.

Weitere Informationen zur Informationssicherheit finden Sie in diesem kostenlosen Online-Training ISO 27001 Foundations Course.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tags: #ISO 27001