Zusammenarbeit zwischen IT- und Fachabteilungen verbessern
Den Kollegen verstehen
Fach- und IT-Abteilungen reden auch in Fragen der Informationssicherheit oft aneinander vorbei, viele Abläufe und Zuständigkeiten sind kaum dokumentiert. Wenn die eine Hand nicht weiß, was die andere tut, klaffen überall Sicherheitslücken.
Gegenseitiges Unverständnis für die Belange und Anliegen der jeweils anderen Partei prägt in vielen Organisationen die Zusammenarbeit zwischen IT- und Fachabteilungen. Aufgrund digitalisierter Geschäftsprozesse und der damit einhergehenden Abhängigkeit von der Technik dürfte ein gedeihliches Zusammengehen entscheidend sein für die Handlungsfähigkeit von Institutionen aller Branchen.
Außerdem wird der Aufbau von Managementsystemen zur Informationssicherheit zur Pflicht mit der Einführung des „Gesetzes zur Steigerung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz, siehe „Alle Links“). Es gilt für alle Institutionen „mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.
Da der Aufbau und Betrieb solcher Systeme finanzielle und personelle Ressourcen bindet, stellt sich die Frage, ob die Anwender an anderer Stelle davon profitieren können. Das wäre der Fall, wenn sich dadurch die Kommunikation und Kooperation zwischen IT- und Fachabteilungen verbessern würde. Denn idealerweise trägt eine fruchtbare Zusammenarbeit dazu bei, dass Unternehmen gut funktionieren. Der damit einhergehende wirtschaftliche Erfolg kommt letztlich allen zugute. Die im Folgenden aufgeführten Faktoren beeinflussen den Arbeitsalltag jedes Angestellten und damit indirekt auch den von Teams und Abteilungen.
Eine aktive und offene Informationspolitik fördert das Vertrauen der Mitarbeiter in die Leitungsebene, stärkt das Sicherheitsgefühl und damit die Verbundenheit mit dem Arbeitgeber. Beschäftigte erkennen in der Regel schnell, ob die von oben bereitgestellten Informationen für sie Relevanz besitzen und ob sie ernst gemeint sind. Entsprechend viel oder wenig Aufmerksamkeit schenken sie solchen Hinweisen. Aufnahmebereitschaft ist bei Sensibilisierungsmaßnahmen zu Themen der Informationssicherheit unerlässlich. Nachvollziehbare, verständliche und grafisch aufbereitete Organisationsstrukturen bieten Orientierungshilfe. Man weiß dann um den eigenen Verantwortungs- und Aufgabenbereich und kann seine Anliegen an die zuständigen Personen richten, ohne sich lange durchfragen zu müssen.
Alles muss immer wieder auf den Prüfstand
Jede Institution handelt auf Basis von Prozessen, deren Effizienz maßgeblich ist für den Erfolg bei der Leistungserbringung und für die Handlungssicherheit der Mitarbeiter. Daher sollten alle hier angesiedelten Tätigkeiten regelmäßig auf den Prüfstand gestellt und kontinuierlich verbessert werden. Dazu müssen alle Primär- und Sekundärtätigkeiten definiert und ausreichend dokumentiert sein. Die Beschreibung sollte mindestens folgende Attribute umfassen: Ziel/Inhalt, Zuständigkeit/beteiligte Rollen, vorangestellter Prozess/Input und nachfolgender Prozess/Output. Ziel/Inhalt, Zuständigkeit/beteiligte Rollen, vorangestellter Prozess/Input und nachfolgender Prozess/Output.
Beschäftigte können anhand aussagekräftiger und schlüssiger Stellenbeschreibungen einschätzen, was man von ihnen erwartet. Sie sollten – entweder für funktionale Rollen oder für einzelne Personen – den jeweiligen Verantwortungs- und Aufgabenbereich festlegen und zu anderen Rollen und Personen abgrenzen. So fallen Lücken bei der Zuordnung von Aufgaben und Kompetenzen eher auf.
Ziel der Informationssicherheit ist das Sichern schutzbedürftiger Informationen jeglicher Art und Herkunft. Ein Informationssicherheitsmanagementsystem (ISMS) umfasst alle Regelungen zum Planen, Einleiten, Steuern und Kontrollieren von Maßnahmen zum Aufrechterhalten und Steigern des Sicherheitsniveaus. Damit ein solches System erfolgreich arbeiten kann, müssen drei Voraussetzungen gegeben sein:
Die Gesamtverantwortung liegt bei der Leitungsebene. Um dauerhaft ein angemessenes Sicherheitsniveau zu gewährleisten, ist es notwendig, Schnittstellen zum ISMS in alle zentralen Geschäftsprozesse zu integrieren. Ein solch übergreifendes Vorgehen lässt sich nur mit Unterstützung von oben umsetzen.
Informationssicherheit funktioniert nicht ohne aktive und zentrale Steuerung. Dazu gehört, eine Sicherheitsstrategie und damit verbundene Ziele zu beschließen. Ohne diese Maßnahmen lassen sich die Aufgaben weder sinnvoll priorisieren noch umsetzen. Die im Folgenden dargelegten Prozesse zeigen exemplarisch, wie der Aufbau und Betrieb eines ISMS die Kommunikation zwischen den Abteilungen fördern kann.
Die Schutzbedarfsfeststellung (SBF) ist der Prozess, der die Schutzbedürftigkeit von Informationen bezüglich Vertraulichkeit, Verfügbarkeit und Integrität ermittelt. Auf dieser Basis definiert der Informationssicherheitsbeauftragte (ISB) Maßnahmen, die die Sicherheit der zu schützenden Objekte erhöhen. Sie beziehen sich sowohl auf Anwendungen, IT-Systeme und Netzwerke als auch auf Räume und Gebäude. Um ihren Schutzbedarf einschätzen zu können, muss der ISB unter anderem die Informations- beziehungsweise Prozessverantwortlichen zum Charakter der in einem Fachprozess erhobenen, gespeicherten und verarbeiteten Informationen befragen.
Zudem ist es wichtig, die Schnittstellen zwischen Prozessen, Anwendungen und IT-Systemen zu erkennen und zu verstehen. Voraussetzung dafür sind auch hier klare Organisationsstrukturen und Abläufe. Nur so ist es möglich, die Ansprechpartner zu finden, die verlässliche Aussagen zum Schutzbedarf eines Zielobjekts treffen können. IT-Abteilungen sind dazu meist nicht in der Lage. Allerdings verstehen Administratoren eher als Prozessverantwortliche aus Fachabteilungen, wo Informationen zusammenfließen und welche Abhängigkeiten zwischen den Anwendungen und damit zwischen den Fachprozessen bestehen.