ISMS: Rahmenwerke für Informationssicherheit

ISMS: Rahmenwerke für Informationssicherheit

„Unser Unternehmen ist nun sicher.
Das wussten wir vorher nicht, aber jetzt fühlt es sich gut an.“

„Unser Unternehmen ist nun sicher.
Das wussten wir vorher nicht, aber jetzt fühlt es sich gut an.“

Social Engineering Sensibilisierung – Informationssicherheit: ISMS

Informationssicherheit ist wichtig: wir leben in einer Informationsgesellschaft und der Großteil aller Tätigkeiten lässt sich als Erzeugen, Übertragen und Verarbeiten von Information beschreiben – bei uns Menschen genauso wie bei unseren Maschinen. Wir sind längst in einer digitalen Welt angekommen und Informationsarbeiter geworden – beliebte Ziele für Angreifer aus dem Web.

 

Phishing & Erpressungstrojaner

Menschen gehen also ständig mit Informationen um und sind dabei als schwächstes Glied der Sicherheitskette – über Phishing oder die berüchtigte Erpresser-Mail (Ransomware) – permanent angreifbar: die Informationen selbst und die Unternehmen, die über sie verfügen, sind stets Gefahren aussetzt.

Mit einem Informations-Sicherheits-Management-System (ISMS) kann diesem Problem systematisch und nachhaltig begegnet werden – über Sensibilisierungs-Maßnahmen und Awareness Training. Die Entwicklung und Aufrechterhaltung eines konstanten Problembewusstseins, also die Stärkung der Human Firewall, die entsprechendes Handeln nach sich zieht, ist mehr als die „halbe Miete“.

Social Engineering

Sensibilisierung

Informationssicherheit

ISMS

 

Informationssicherheit ist wichtig: wir leben in einer Informationsgesellschaft und der Großteil aller Tätigkeiten lässt sich als Erzeugen, Übertragen und Verarbeiten von Information beschreiben – bei uns Menschen genauso wie bei unseren Maschinen. Wir sind längst in einer digitalen Welt angekommen und Informationsarbeiter geworden.

 

Phishing & Erpressungstrojaner

Menschen gehen also ständig mit Informationen um und sind dabei als schwächstes Glied der Sicherheitskette – über Phishing oder die berüchtigte Erpresser-Mail (Ransomware) – permanent angreifbar: die Informationen selbst und die Unternehmen, die über sie verfügen, sind stets Gefahren aussetzt.

Mit einem Informations-Sicherheits-Management-System (ISMS) kann diesem Problem systematisch und nachhaltig begegnet werden – über Sensibilisierungs-Maßnahmen und Awareness Training. Die Entwicklung und Aufrechterhaltung eines konstanten Problembewusstseins, also die Stärkung der Human Firewall, die entsprechendes Handeln nach sich zieht, ist mehr als die „halbe Miete“.

Daten-Verfügbarkeit & Informationssicherheit

Das Ziel „Verfügbarkeit“ war nie ganz leicht zu erreichen. Technische Probleme mit der Komplexität von Systemen und die Schwierigkeiten der Nutzer, diese Systeme angemessen zu benutzen, begleiten die Digitalisierung seit ihrer Erfindung.

 

Integrität von Information & Informationssicherheit

Weil sich auch andere – inzwischen die ganze Branche der  „organisierten Cyberkriminalität“ für die Information legitimer Nutzer interessieren, definieren heute eher die Schutzziele „Integrität“ und „Vertraulichkeit“ das, was wir üblicherweise als Informationssicherheit bezeichnen.
Erpressungstrojaner zeigen uns, dass die „Integrität“ von Information immer in Gefahr ist. Berichte über Datenlecks, Informationsdiebstahl und die Probleme mit der Sicherung der Privatsphäre in der digitalisierten Gesellschaft zeigen uns, dass „Vertraulichkeit“ schwierig, und die DSGVO eine gute Sache ist.

OSI-Modell: Layer 8 - 10

Das Open Systems Interconnection-Modell ist ein Referenz-Modell, das die Kommunikation zwischen den Komponenten eines Telekommunikations- oder Computersystems beschreibt.
Das Modell definiert sieben Schichten und Standardprotokolle, die die Kommunikation zwischen den Schichten sicherstellen. Jede Schicht dient der darüberliegenden Schicht und wird von der darunterliegenden bedient.

Die sieben OSI-Schichten beschreiben die Kommunikation zwischen technischen Komponenten. Für die Behandlung der Informationssicherheit ist das ein Problem, denn hier haben wir es mit einem soziotechnischen System zu tun – einem technischen System, das von Menschen in einem organisatorischen und technischen Kontext benutzt wird.

Verschiedene Autoren haben deswegen eine achte Schicht hinzugefügt: „Layer 8“ – „Nutzer“, dazu auch noch eine neunte Schicht „Organisation“ und die Schicht 10 „Gesellschaft“, die ebenfalls die Verhaltensmöglichkeiten des Benutzers steuern und beschränken.

Die Erweiterung des OSI-Modells um die Schichten 8-10 erweitert auf jeden Fall den Blick auf die Problematik der Informationssicherheit in einem soziotechnischen System – einem technischen System, das auch benutzt wird.

Ein klassischer Fall: "harmlose" Mails?

Die Zutaten für den Auslöser der Cyber-Katastrophe sind in der Regel immer dieselben: die Verkettung unglücklicher, wenn auch vermeidbarer Umstände und ein unbedachter Moment.
Cyber-Terroristen platzieren einen kleinen, unauffälligen Köder in einer E-Mail, und bei der beiläufigen Öffnung des Anhangs nimmt das Unglück seinen Lauf.

Und dann hat man draufgeklickt. Man wurde „gephished“

Die Mail kommt von einem vermeintlich vertrauten Absender – die eigene Bank oder sogar der eigene Chef! – man ist vom Tagesgeschäft ein wenig abgelenkt, öffnet erst die Mail und dann den Anhang. Dieser jedoch beinhaltet jedoch nicht den harmlosen Inhalt, den man vermutet, sondern ein kleines Programm (…), das sich entweder sofort ausbreitet und die gesamte Unternehmens-IT lahmlegt, oder aber still und heimlich ein paar Wochen wartet, um irgendwann im Hintergrund dem eigentlichen Schadprogramm Tür und Tor zu öffnen.
Was dann folgt, kann teuer werden: Lösegeldforderungen, nach deren Erfüllung die Unternehmens-IT wieder freigeschaltet wird oder aber viel Zeit, Kraft und Nerven – und nicht zuletzt viel Geld, um die Unternehmens-IT mühsam wieder zu rekonstruieren.

Und warum? Der Traum von der absoluten IT-Sicherheit.

Mangelndes Problembewusstsein, ein traumwandlerisches Sicherheitsgefühl und die üblichen Arbeitsroutinen sind die Grundzutaten, die einem Cyber-Supergau enden können, und hier setzen Cyber-Kriminelle bewußt an, um Unternehmen zu erpressen.

Menschen machen Fehler

Mitarbeiter, Nutzer – Menschen überhaupt werden in der Informationssicherheit gerne als „Weakest Link“ bezeichnet – als schwächstes Glied der Sicherheitskette. Das hat seinen Grund: Die meisten Sicherheitsvorfälle hätte es ohne die (meist unfreiwillige) Mithilfe eines Menschen nicht gegeben:

  • der Administrator hat die Firewall nicht richtig konfiguriert
  • der Benutzer hat die Patches nicht eingespielt
  • der Benutzer hat einen Mailanhang heruntergeladen und ausgeführt

Kurz: alles wäre gut, wenn sich Menschen, die mit Informationssystemen umgehen, sicher verhalten würden und bei der Administration und Benutzung keine Fehler machten – so scheint es.
Doch diese Sicht ist ein Fehler: daß Firewalls nicht richtig konfiguriert, Patches nicht eingespielt, oder unbekannten Anhänge ausgeführt werden, hat tieferliegende Hintergründe, die im Gesamt-Sicherheitskonzept der IT-Landschaft liegen.

Technik, Menschen und Prozesse als Fehlerquellen

Alle drei Instanzen können aber auch selbst zu Fehlerquellen werden – die Gefahr entsteht hier aus dem Zusammen- und gelegentlich sogar Gegenspiel der beteiligten Komponenten.
Die Gefährdungslage betreffend, ist die Größe der Organisation unerheblich – sogar kleinste Unternehmen können Opfer eines Cyberangriffs werden. Wo Menschen mit moderner Kommunikationstechnik und modernen Arbeitsmitteln (also Computern und Kommunikationsnetzwerken verschiedener Art) den Arbeitsalltag bewältigen, lauert diese Gefahr mit ihren gravierenden Folgen.

Zur Veranschaulichung

DSB und ISB

Die Beziehung zwischen dem Datenschutzbeauftragten (DSB) und und dem Informationssicherheitsbeauftragten (ISB) ist nicht immer frei von Spannungen.
Zum Beispiel denkt der ISB bei „Verfügbarkeit“ an Datensicherung, resiliente Netzwerktopologie und Abwehr von Verschlüsselungstrojanern. Der DSB hingegen denkt bei „Verfügbarkeit“ an das Recht natürlicher Personen, die Verfügbarkeit von Daten für andere zu definieren und zu kontrollieren. Wenn Daten auf Wunsch des Betroffenen gelöscht werden müssen, ist das wegen schon erfolgter Weiterverarbeitung, wegen vielfältiger Abhängigkeiten zwischen Datensätzen technisch und prozedural oft eher schwer als leicht und widerspricht auch dem operativen Ziel, jederzeit alle betriebswichtigen Daten in geeigneter Form verfügbar zu haben.

Unnötige Daten

Ein anderes Beispiel ist die Protokollierung des Verhaltens der Nutzer an den Endgeräten.
Die Informationssicherheit braucht Informationen darüber, wer, wie, wann und welche unsichere Handlung an seinem Endgerät durchgeführt hat, oder – noch besser – gerade dabei ist, sie durchzuführen. Die dazu nötige Speicherung zumindest von IP-Adressen wird den Datenschutzbeauftragten nachdenklich stimmen und sehr genau beobachten lassen, ob daraus für die Nutzer Schäden durch unrechtmäßige Verwendung personenbezogener Daten entstehen können.
Das kann zur Ansicht führen, dass Datenschutz die Informationssicherheit behindert und damit zu einer Einstellung, die den positiven Beitrag der vom Datenschutz angestrebten Datenminimierung übersieht. Daten, die nicht länger als benötigt aufbewahrt werden, müssen nicht gesichert werden. Das verbessert die Datensicherheit erheblich.

Informationssicherheit als Safe

Um die enge Verbindung zwischen Datenschutz und Datensicherheit zu verdeutlichen, kann man sich „Informationssicherheit“ als Safe vorstellen. Der Safe kann aus unzerstörbarem Material und mit Schlössern versehen sein, die niemand knacken kann. Aber wenn die Information im Safe durch ihre Verarbeitung weit verbreitet wird – wie sicher ist sie dann?

Daten-Verfügbarkeit & Informationssicherheit

Das Ziel „Verfügbarkeit“ war nie ganz leicht zu erreichen. Technische Probleme mit der Komplexität von Systemen und die Schwierigkeiten der Nutzer, diese Systeme angemessen zu benutzen, begleiten die Digitalisierung seit ihrer Erfindung.

 

Integrität von Informationen & Informationssicherheit

Weil sich auch andere – inzwischen die ganze Branche der  „organisierten Cyberkriminalität“ für die Information legitimer Nutzer interessieren, definieren heute eher die Schutzziele „Integrität“ und „Vertraulichkeit“ das, was wir üblicherweise als Informationssicherheit bezeichnen.
Erpressungstrojaner zeigen uns, dass die „Integrität“ von Information immer in Gefahr ist. Berichte über Datenlecks, Informationsdiebstahl und die Probleme mit der Sicherung der Privatsphäre in der digitalisierten Gesellschaft zeigen uns, dass „Vertraulichkeit“ schwierig, und die DSGVO eine gute Sache ist.

ISMS: Rahmenwerk für Informationssicherheits­beauftragte (ISB) & Nutzer

Das ISMS beschreibt den Stand eines Systems, wie es sein sollte. Benutzer und Bediener müssen lernen, das System regelkonform und trotzdem produktiv zu nutzen. Die technischen Komponenten sollten so gebaut sein, dass Benutzer und Bediener das System mit möglichst wenig Aufwand gut und sicher benutzen können.

Da Informationssicherheit und Datenschutz bei der Entwicklung informationstechnischer Systeme bisher keine zentrale Rolle gespielt haben, wird dem Benutzer viel an Wissen, Motivation und Aufmerksamkeit abverlangt.
Letzten Endes muss der Benutzer die Unsicherheiten des Systems als multifunktionale Firewall abfangen – und doch kann man nie sicher sein.
Deswegen sind einerseits Monitoring (im Sinne ständiger Verbesserung) die Vorbereitung auf den Notfall und andererseits regelmäßige Testung der Maßnahmen auf ihre tatsächliche Wirksamkeit unabdingbar.

Vor einem Sicherheitsvorfall will man wissen, was geschehen könnte. Nach einem Sicherheitsvorfall will man die eigentliche Ursache (die root cause) finden. Der Risikowürfel hilft in beiden Fällen.

 

 

Der Risikowürfel ist eine Methode aus der Familie der Usache-Wirkungs-Diagramme, die – wie der PDCA-Zyklus – vor allem im lean management für die strukturierte Suche nach Problemen und deren (wirklichen) Ursachen entwickelt wurden.

Wenn es zum Beispiel ein Problem mit der Vertraulichkeit bei der Verarbeitung von Urlaubsanträgen von Mitarbeitern gibt (z.B wissen zu viele Personen, welcher Mitarbeiter von wann bis wann in Urlaub ist) kann das folgende Gründe haben:

  • ein Mitarbeiter hat die Liste der Urlaubsanträge bei Facebook hinterlegt (Menschen)
  • eine Datenbank mit schlecht geregeltem Zugriff auf die Daten (Maschinen)
  • die Regel, Urlaubsanträge im Home Office am ungesicherten privaten PC zu bearbeiten (Methode)

Der Risikowürfel lenkt den Blick auf die möglichen Fehlerquellen und wie sich sie sich gegenseitig bedingen. Er legt nahe, Probleme mit Maschinen und Methoden nicht zu Problemen von Menschen zu machen. Ein Sachbearbeiter, der Sicherheitsprobleme der Technik oder organisatorischer Vorgaben heilen soll, sieht sich mit Recht überfordert und ist – wenn er Fehler macht – nur das Symptom, aber nicht der eigentliche Grund.

 

ISMS: Rahmenwerk für Informationssicherheits­beauftragte (ISB) & Nutzer

Das ISMS beschreibt den Stand eines Systems, wie es sein sollte. Benutzer und Bediener müssen lernen, das System regelkonform und trotzdem produktiv zu nutzen. Die technischen Komponenten sollten so gebaut sein, dass Benutzer und Bediener das System mit möglichst wenig Aufwand gut und sicher benutzen können.

Da Informationssicherheit und Datenschutz bei der Entwicklung informationstechnischer Systeme bisher keine zentrale Rolle gespielt haben, wird dem Benutzer viel an Wissen, Motivation und Aufmerksamkeit abverlangt.
Letzten Endes muss der Benutzer die Unsicherheiten des Systems als multifunktionale Firewall abfangen – und doch kann man nie sicher sein.
Deswegen sind einerseits Monitoring (im Sinne ständiger Verbesserung) die Vorbereitung auf den Notfall und andererseits regelmäßige Testung der Maßnahmen auf ihre tatsächliche Wirksamkeit unabdingbar.

Vor einem Sicherheitsvorfall will man wissen, was geschehen könnte. Nach einem Sicherheitsvorfall will man die eigentliche Ursache (die root cause) finden. Der Risikowürfel hilft in beiden Fällen.

 

 

Der Risikowürfel ist eine Methode aus der Familie der Usache-Wirkungs-Diagramme, die – wie der PDCA-Zyklus – vor allem im lean management für die strukturierte Suche nach Problemen und deren (wirklichen) Ursachen entwickelt wurden.

Wenn es zum Beispiel ein Problem mit der Vertraulichkeit bei der Verarbeitung von Urlaubsanträgen von Mitarbeitern gibt (z.B wissen zu viele Personen, welcher Mitarbeiter von wann bis wann in Urlaub ist) kann das folgende Gründe haben:

  • ein Mitarbeiter hat die Liste der Urlaubsanträge bei Facebook hinterlegt (Menschen)
  • eine Datenbank mit schlecht geregeltem Zugriff auf die Daten (Maschinen)
  • die Regel, Urlaubsanträge im Home Office am ungesicherten privaten PC zu bearbeiten (Methode)

Der Risikowürfel lenkt den Blick auf die möglichen Fehlerquellen und wie sich sie sich gegenseitig bedingen. Er legt nahe, Probleme mit Maschinen und Methoden nicht zu Problemen von Menschen zu machen. Ein Sachbearbeiter, der Sicherheitsprobleme der Technik oder organisatorischer Vorgaben heilen soll, sieht sich mit Recht überfordert und ist – wenn er Fehler macht – nur das Symptom, aber nicht der eigentliche Grund.

 

OSI-Modell: Layer 8 - 10

Das Open Systems Interconnection-Modell ist ein Referenz-Modell, das die Kommunikation zwischen den Komponenten eines Telekommunikations- oder Computersystems beschreibt.
Das Modell definiert sieben Schichten und Standardprotokolle, die die Kommunikation zwischen den Schichten sicherstellen. Jede Schicht dient der darüberliegenden Schicht und wird von der darunterliegenden bedient.

Die sieben OSI-Schichten beschreiben die Kommunikation zwischen technischen Komponenten. Für die Behandlung der Informationssicherheit ist das ein Problem, denn  hier haben wir es mit einem soziotechnischen System zu tun – einem technischen System, das von Menschen in einem organisatorischen und technischen Kontext benutzt wird.

Verschiedene Autoren haben deswegen eine achte Schicht hinzugefügt: „Layer 8“ – „Nutzer“, dazu auch noch eine neunte Schicht „Organisation“ und die Schicht 10 „Gesellschaft“, die ebenfalls die Verhaltensmöglichkeiten des Benutzers steuern und beschränken.

Die Erweiterung des OSI-Modells um die Schichten 8-10 erweitert auf jeden Fall den Blick auf die Problematik der Informationssicherheit in einem soziotechnischen System – einem technischen System, das auch benutzt wird.

Ein klassischer Fall: "harmlose" Mails?

Die Zutaten für den Auslöser der Cyber-Katastrophe sind in der Regel immer dieselben: die Verkettung unglücklicher, wenn auch vermeidbarer Umstände und ein unbedachter Moment.
Cyber-Terroristen platzieren einen kleinen, unauffälligen Köder in einer E-Mail, und bei der beiläufigen Öffnung des Anhangs nimmt das Unglück seinen Lauf.

Und dann hat man draufgeklickt. Man wurde „gephished“

Die Mail kommt von einem vermeintlich vertrauten Absender – die eigene Bank oder sogar der eigene Chef! – man ist vom Tagesgeschäft ein wenig abgelenkt, öffnet erst die Mail und dann den Anhang. Dieser jedoch beinhaltet jedoch nicht den harmlosen Inhalt, den man vermutet, sondern ein kleines Programm (…), das sich entweder sofort ausbreitet und die gesamte Unternehmens-IT lahmlegt, oder aber still und heimlich ein paar Wochen wartet, um irgendwann im Hintergrund dem eigentlichen Schadprogramm Tür und Tor zu öffnen.
Was dann folgt, kann teuer werden: Lösegeldforderungen, nach deren Erfüllung die Unternehmens-IT wieder freigeschaltet wird oder aber viel Zeit, Kraft und Nerven – und nicht zuletzt viel Geld, um die Unternehmens-IT mühsam wieder zu rekonstruieren.

Und warum? Der Traum von der absoluten IT-Sicherheit.

Mangelndes Problembewusstsein, ein traumwandlerisches Sicherheitsgefühl und die üblichen Arbeitsroutinen sind die Grundzutaten, die einem Cyber-Supergau enden können, und hier setzen Cyber-Kriminelle bewußt an, um Unternehmen zu erpressen.

Menschen machen Fehler

Mitarbeiter, Nutzer – Menschen überhaupt werden in der Informationssicherheit gerne als „Weakest Link“ bezeichnet – als schwächstes Glied der Sicherheitskette. Das hat seinen Grund: Die meisten Sicherheitsvorfälle hätte es ohne die (meist unfreiwillige) Mithilfe eines Menschen nicht gegeben:

  • der Administrator hat die Firewall nicht richtig konfiguriert
  • der Benutzer hat die Patches nicht eingespielt
  • der Benutzer hat einen Mailanhang heruntergeladen und ausgeführt

Kurz: alles wäre gut, wenn sich Menschen, die mit Informationssystemen umgehen, sicher verhalten würden und bei der Administration und Benutzung keine Fehler machten – so scheint es.
Doch diese Sicht ist ein Fehler: daß Firewalls nicht richtig konfiguriert, Patches nicht eingespielt, oder unbekannten Anhänge ausgeführt werden, hat tieferliegende Hintergründe, die im Gesamt-Sicherheitskonzept der IT-Landschaft liegen.

Technik, Menschen und Prozesse als Fehlerquellen

Alle drei Instanzen können aber auch selbst zu Fehlerquellen werden – die Gefahr entsteht hier aus dem Zusammen- und gelegentlich sogar Gegenspiel der beteiligten Komponenten.
Die Gefährdungslage betreffend, ist die Größe der Organisation unerheblich – sogar kleinste Unternehmen können Opfer eines Cyberangriffs werden. Wo Menschen mit moderner Kommunikationstechnik und modernen Arbeitsmitteln (also Computern und Kommunikationsnetzwerken verschiedener Art) den Arbeitsalltag bewältigen, lauert diese Gefahr mit ihren gravierenden Folgen.

Zur Veranschaulichung

DSB und ISB

Die Beziehung zwischen dem Datenschutzbeauftragten (DSB) und und dem Informations – Sicherheitsbeauftragten (ISB) ist nicht immer frei von Spannungen.
Zum Beispiel denkt der ISB bei „Verfügbarkeit“ an Datensicherung, resiliente Netzwerktopologie und Abwehr von Verschlüsselungstrojanern. Der DSB hingegen denkt bei „Verfügbarkeit“ an das Recht natürlicher Personen, die Verfügbarkeit von Daten für andere zu definieren und zu kontrollieren. Wenn Daten auf Wunsch des Betroffenen gelöscht werden müssen, ist das wegen schon erfolgter Weiterverarbeitung, wegen vielfältiger Abhängigkeiten zwischen Datensätzen technisch und prozedural oft eher schwer als leicht und widerspricht auch dem operativen Ziel, jederzeit alle betriebswichtigen Daten in geeigneter Form verfügbar zu haben.

Unnötige Daten

Ein anderes Beispiel ist die Protokollierung des Verhaltens der Nutzer an den Endgeräten.
Die Informationssicherheit braucht Informationen darüber, wer, wie, wann und welche unsichere Handlung an seinem Endgerät durchgeführt hat, oder – noch besser – gerade dabei ist, sie durchzuführen. Die dazu nötige Speicherung zumindest von IP-Adressen wird den Datenschutzbeauftragten nachdenklich stimmen und sehr genau beobachten lassen, ob daraus für die Nutzer Schäden durch unrechtmäßige Verwendung personenbezogener Daten entstehen können.
Das kann zur Ansicht führen, dass Datenschutz die Informationssicherheit behindert und damit zu einer Einstellung, die den positiven Beitrag der vom Datenschutz angestrebten Datenminimierung übersieht. Daten, die nicht länger als benötigt aufbewahrt werden, müssen nicht gesichert werden. Das verbessert die Datensicherheit erheblich.

Informationssicherheit als Safe

Um die enge Verbindung zwischen Datenschutz und Datensicherheit zu verdeutlichen, kann man sich „Informationssicherheit“ als Safe vorstellen. Der Safe kann aus unzerstörbarem Material und mit Schlössern versehen sein, die niemand knacken kann. Aber wenn die Information im Safe durch ihre Verarbeitung weit verbreitet wird – wie sicher ist sie dann?