
Sindex, Bern
Treffpunkt der Schweizer Technologiebranche
2. bis 4. September
www.sindex.ch
Bild: Archiv
Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden.
Das Vorgehen orientiert sich nach dem folgenden Kreislauf (Bild 1):
Vorbereitung – Plan
Jedes Unternehmen verfolgt Ziele. Im Bereich der Informationssicherheit könnten dies beispielsweise folgende sein:
Um die Ziele auch zu erreichen beziehungsweise nicht zu gefährden, müssen mögliche Risiken identifiziert werden. Diese Risiken können von Extern auf das Unternehmen einwirken, aber auch in den eigenen Reihen auftreten. Idealerweise werden diese in einem Workshop erarbeitet, zusammengetragen und anschliessend bewertet. Bei der Bewertung werden die Eintretenswahrscheinlichkeit, wie auch die Auswirkungen betrachtet. Hier empfiehlt es sich, eine Matrix mit einer geraden Anzahl Feldern zu definieren, beispielsweise 4x4 (Bild 2). Für die Auswirkungen könnten folgende Abstufungen beigezogen werden:
Auswirkung vernachlässigbar
Die Schadensauswirkungen sind gering und können vernachlässigt werden.
Auswirkung begrenzt
Die Schadensauswirkungen sind begrenzt und überschaubar.
Auswirkung beträchtlich
Die Schadensauswirkungen können beträchtlich sein.
Auswirkung existenzbedrohend
Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmass erreichen.
Nach Einschätzung der Auswirkungen ist es notwendig, die Eintrittswahrscheinlichkeit eines solchen Risikos festzustellen, zum Beispiel die Wahrscheinlichkeit, dass eine Bedrohung die Schwachstelle des betreffenden Wertes ausnutzen könnte:
Die Risiken werden in die Matrix übertragen. Dabei gelten folgende Bewertungen:
Umsetzung von Massnahmen – Do
Bei den roten Risiken, wie auch bei den nicht akzeptierten orangen Risiken, werden Massnahmen zur Reduktion des Risikos geplant. Dies können Massnahmen aus dem Anhang A der ISO-Norm 27001 sein oder aus dem Grundschutz-Kompendium des BSI. Die ISO-Norm adressiert 114 umzusetzende Massnahmen. Das BSI hat seine Massnahmen in zehn übergeordnete Bausteine unterteilt. Im Detail wird beschrieben, was zu tun ist. Das Kompendium ist aus den ehemaligen Grundschutz-Katalogen entstanden. Im Internet kann das PDF noch heruntergeladen werden. Auf über 5000 Seiten werden diverse Gefahren und Massnahmen erläutert.
Kontrolle ist besser – Check
Aus den Massnahmen, aber auch aus akzeptierten Risiken, werden Kontrollen abgeleitet. In definierten Abständen wird überprüft, ob die Massnahmen korrekt umgesetzt wurden und das erwünschte Resultat ermöglichen. Ergänzend können Penetration-Tests, das heisst ein simulierter Hacker-Angriff oder Sicherheitsprüfungen, das heisst eine Kontrolle möglicher Schwachstellen von Systemen, Netzwerken und Verbindungen durchgeführt werden. Die Resultate ermöglichen, neue Risiken zu erkennen, wie auch der Neubewertung bestehender Risiken. Damit die Kontrollen bewertet werden können, sollten KPIs (Key Performance Indicator), eine Art Leistungskennzahl, abgeleitet werden. Sind die Resultate im grünen Bereich, ist alles in Ordnung. Sollten aber orange oder rote Ergebnisse erzielt werden, ist Handlungsbedarf notwendig. Die Massnahme funktioniert noch nicht korrekt und muss korrigiert werden.
Das Rad dreht weiter – Act
Bei den Kontrollen, vor allem auch bei Audits, fallen Dinge auf, die verbessert werden können. Gerade auch von externen Spezialisten werden neue Ideen und Möglichkeiten vorgeschlagen. Diese sollten notiert, geprüft und falls passend, umgesetzt werden.
Das nachfolgende Beispiel zeigt die Zusammenhänge auf:
Fazit
Durch ein systematisches Vorgehen kann die Informationssicherheit stetig verbessert werden. Jedes Unternehmen möchte ihre Prozesse und Dienstleistungen zeitnah und sicher betreiben. Diesem Ziel stehen Risiken im Wege, die bewertet und behandelt werden müssen. Gefahren werden durch Massnahmen auf ein akzeptables Niveau reduziert. Die stetige Kontrolle gewährleistet, dass die getroffenen Schritte auch den gewünschten Effekt erzielen. Damit entschieden werden kann, ob eine Kontrolle auch genügt, werden Kriterien (KPIs) definiert. Die Auswertung ermöglicht damit Rückmeldungen auf die Risiken und verbessert so das gesamte System. Mit diesem systematischen Vorgehen kann das Unternehmen auch in Zukunft sicher agieren und zeitnah auf veränderte Risiken mit passenden Massnahmen reagieren.
ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch
Branchentreffpunkt für Medizintechnikunternehmen
9. und 10. September
www.medtech-expo.ch
Die Fachmesse für Industrieautomation
10. und 11. September
www.automation-wetzlar.de
Weltleitmesse für Fügen, Trennen, Beschichten
15. bis 19. September
www.schweissen-schneiden.com