Kultur der Informationssicherheit
Für Sven Malte Sopha ist Informationssicherheit Führungsaufgabe und muss integraler Bestandteil der Kultur einer Organisation werden. Dabei ist auch die Zusammenarbeit aller Beteiligten in Staat, Wirtschaft und Gesellschaft gefragt. Ein Interview.
Herr Sopha, Internetkriminalität nimmt immer mehr zu und Cyberangriffe häufen sich: Wie sicher ist Deutschland?
Machen wir uns nichts vor: Das Ausspähen von Unternehmen und Organisationen wird weiter zunehmen. Cyberangriffe verfolgen meist politische oder wirtschaftliche Interessen. Die Angriffe werden immer komplexer, um die Erfolgschancen zu erhöhen. Nur in wenigen Fällen werden die Angriffe erkannt und meist auch von den Geschädigten nicht bekannt gemacht. Wie sicher Deutschland ist, ist deshalb neben der technischen Absicherung eine Frage der Sicherheitskultur.
Den Zusammenhang zwischen Sicherheit und Kultur müssen Sie uns näher erläutern.
Cybersicherheit ist ja nicht nur auf Einrichtungen des Bundes und die Regierungsnetze begrenzt. Sie ist viel alltäglicher. Jedes Bezirksamt, jedes Bürgerbüro ist gehalten, Informationssicherheit nach innen und außen, z. B. in der Kommunikation mit den Bürgern zu verwirklichen. Allein mit technologischer Absicherung ist es jedoch nicht getan. Es gilt, Sicherheit im Bewusstsein und im Handeln der Mitarbeiter, aber auch in den Prozessen und Strukturen zu verankern – Sicherheit also zum immanenten Teil der Kultur einer Organisation zu machen. Doch genau daran hapert es oft.
Wo liegt in Ihren Augen das Problem?
In vielen Organisationen wird Informationssicherheit noch immer zu sehr auf bloße IT-Sicherheit und damit ausschließlich auf die technische Dimension reduziert. Eine notwendige ganzheitliche Betrachtung findet nur gelegentlich statt. Es bedarf der konkreten Unterstützung durch die Führungsebenen. Das beginnt mit der Bereitstellung von Ressourcen bis hin zur Schaffung eines Klimas des offenen Austausches zu Sicherheitsfragen über alle Abteilungen und Hierarchiestufen hinweg. Informationssicherheit ist ein Querschnittsthema.
Im Kern geht es darum, aus einer reaktiven eine proaktive Organisation zu machen.
Wie kann Informationssicherheit konkret in Organisationen verankert werden?
Das muss man von Fall zu Fall betrachten. Im Kern geht es darum, aus einer reaktiven eine proaktive Organisation zu machen. Dafür gilt es, Prozesse und Verantwortlichkeiten vorab klar zu definieren – strategisch, taktisch, aber auch operativ. Für die Steuerung von Sicherheitsthemen hat sich zum Beispiel die Rolle des Informationssicherheitsbeauftragten bewährt, dem sinnvollerweise ein übergreifender Steuerkreis für Informationssicherheit zur Seite gestellt wird: ein Gremium, dem Vertreter aller zentralen Themenbereiche einer Behörde angehören und das Sicherheitsfragen ganzheitlich angeht. In größeren Organisationen führt die Etablierung eines CERT-Teams zu einer beschleunigten Reaktion auf Sicherheitsvorfälle. Mit dem Aufbau eines Managementsystems etwa nach dem Standard ISO 27001 oder IT-Grundschutz werden sinnvolle Rahmenbedingungen geschaffen, um die Themen Prozesse und Verantwortlichkeiten in der Organisation zu verankern. Die Rahmenbedingungen sowie die festgelegten Sicherheitsmaßnahmen sollten nicht nur dokumentiert, sondern auch gelebt, stetig überprüft und bei Bedarf angepasst werden. Wichtig dabei ist, dass alle definierten Maßnahmen zur Organisation passen bzw. bei Bedarf angepasst werden, damit diese akzeptiert werden.
Aber reicht es, Informationssicherheit allein aus der Perspektive einer einzelnen Organisation zu betrachten?
Ganz bestimmt nicht. Was wir brauchen, ist ein Bewusstseinswandel im Sinne eines übergreifenden Austauschs aller Beteiligten – von Staat, Wirtschaft, Herstellern, aber auch Bürgern. Und zwar jenseits von Absichtserklärungen: Mit dem IT-Sicherheitsgesetz hat der Staat endlich seinen Anspruch formuliert und übergeordnete Rahmenbedingungen definiert. Das kann jedoch nur einer von mehreren Bausteinen sein. Die einzelnen Themen müssen nun operationalisiert werden. Das IT-Sicherheitsgesetz, das Meldepflichten bei Sicherheitsvorfällen vorschreibt, ist dabei nur ein Aspekt. Wenn sich Unternehmen nicht daran halten, weil sie einen Reputationsverlust befürchten, ist das kontraproduktiv. Die Rahmenbedingungen müssen so geschaffen werden, dass es Mehrwerte bzw. Anreize für diesen übergreifenden Austausch gibt. Hier gibt es in meinen Augen noch Handlungsbedarf. Für eine ganzheitliche Informationssicherheit ist die Gesellschaft in ihrer Gänze gefragt. Wir alle müssen an unserer Sicherheitskultur arbeiten. Das fängt schon im Privaten an.