Vorwort zur zweiten Auflage

Die grundlegenden Bestandteile eines IT-Sicherheitsmanagements ändern sich nicht in ähnlich kurzen Zeiträumen, wie sich die technische Seite der IT und der IT-Security ändert. Die Schwerpunkte, die fachliche Ausgestaltung und die Prozesse bleiben davon aber nicht unbeeindruckt. Werden Daten vermehrt in Public Clouds verarbeitet, auf Mobiltelefonen gespeichert, über Chat-Apps geteilt oder im Rahmen von Industrie 4.0 in einer Größenordnung erhoben, die bislang kaum denkbar war, dann müssen sich die entsprechenden Maßnahmen der IT-Security an diese Veränderungen anpassen. Der Gesetzgeber hat parallel dazu die Aufgabe, Regelungen zu erlassen, um frühzeitig die Rahmenbedingungen festzulegen und dabei zu helfen, dem Missbrauch entgegenzuwirken. In diesem Zusammenhang werden weltweit neue Gesetze erlassen und entsprechende Kontrollgremien eingesetzt. Völlig unterschiedlich gelagerte Beispiele dafür sind die EU-Datenschutz-Grundverordnung (EU-DSGVO), das IT-Sicherheitsgesetz oder das China Cybersecurity Law. Alle diese Regelungen haben immense Auswirkungen darauf, wie Unternehmen Daten erfassen, verarbeiten, speichern oder austauschen dürfen. In der Fülle und der Bandbreite der neuen Regelungen liegt aber immer auch die immanente Gefahr, etwas falsch zu machen, weil man eben den falschen Weg gewählt hat, mit diesen Anforderungen umzugehen. Der Weg aus dieser Problematik ist es, einem Lösungsansatz zu folgen, der zum einen international bekannt und anerkannt ist und zum anderen auf einem stringenten Prozess-Modell basiert, das so angelegt ist, dass alle oben genannten Punkte abgedeckt werden können. Dieser Weg ist die Einführung eines IT-Sicherheitsmanagements auf Basis der ISO-27000-Normen-Familie unter Beachtung der datenschutzrechtlichen Bestimmungen der EU-DSGVO.

Anlass für die zweite Auflage dieses Buches sind neben dem technischen Fortschritt, der unaufhaltsam ist, die umfassenden Änderungen in den ISO-Normen, der nun europaweit vereinheitlichte Datenschutz und eine Reihe von neuen Themen, die ich in den entsprechenden Kapiteln aufgenommen habe. Dementsprechend halten Sie ein stark überarbeitetes Buch in Händen.

Ich möchte all denjenigen danken, die mir Input bezüglich neuer Gesichtspunkte gegeben haben. Dies schließt sowohl die wohlmeinende Kritik an einzelnen Punkten durch Leser als auch das Feedback meiner Studierenden und der Professoren an der Hochschule oder von Kollegen im Unternehmen mit ein. Auch wenn man sich selbst als Generalisten im IT-Sicherheitsbereich sieht, ist man nicht ganz vom Tunneldenken befreit und übersieht doch das eine oder andere Mal neue Aspekte und neue Denkansätze – obwohl sie doch so offensichtlich vor einem liegen.

Einführung

Nicht alle Wege, aber zumindest sehr viele, führen nach Rom, und wohl ebenso viele Wege führen zum Job des IT-Security-Managers. Einige Kandidaten haben schon ein paar Jahre Berufserfahrung in ähnlichen Bereichen gesammelt, haben bereits einschlägige Erfahrungen gemacht oder kommen direkt aus dem Studium, in dem sie das Thema, zumindest theoretisch, schon behandelt haben.

Andere, und damit sind wir wieder bei den vielen Wegen angekommen, die zum Ziel führen, sind Neueinsteiger oder Quereinsteiger. Vielleicht kommen sie aus der IT-Abteilung und haben zuvor Server administriert oder Softwareprojekte geleitet. In manchen Fällen waren sie davor aber auch im Controlling oder in der Unternehmensplanung tätig und haben sich mit Qualitätsaudits oder Risikomanagement beschäftigt. Diese Kollegen stehen dann häufig vor der Herausforderung, dass sie, selbst wenn sie angekommen sind (nicht in Rom selbstverständlich, sondern am Arbeitsplatz des IT-Security-Managers), die schiere Menge an Einzelthemen dann fast erschlägt.

Beiden Gruppen kann man aufrichtig versichern, dass es kaum eine Aufgabe gibt, die vielschichtiger und vielseitiger gestaltbar ist als diese. Gerade der Umfang schafft die Chance, dem Arbeitsplatz den eigenen Stempel aufzudrücken, und wenn man die Grundlagen einmal verstanden hat, fällt es schwer, sich eine spannendere Aufgabe vorzustellen. Das Gebiet der IT-Security ist nicht so alt, als dass es bereits fest ausgetretene Pfade gäbe. Vielmehr gehen die Meinungen, was denn ein IT-Security-Manager zu tun hat, weit auseinander. Damit muss sich die IT-Security-Organisation dem Unternehmen flexibel anpassen. Stetige Veränderungen, hinzukommende Verknüpfungen mit anderen Abteilungen und die laufende Kommunikation mit denen, die Daten verarbeiten, und denen, die sie verwalten, bringen einerseits Abwechslung und andererseits den Druck, laufend hinzuzulernen.

Für alle, die frisch einsteigen, schon Erfahrungen haben oder gar aus einem ganz anderen Fachgebiet heraus quereinsteigen und nun auf einfache, aber doch umfassende Art in die Thematik IT-Security eingeführt werden wollen, ist das vorliegende Buch gedacht.

Aufbau des Buches

Für eine strukturierte Vorgehensweise beim Durcharbeiten des Buches ist es sinnvoll, mit dem ersten Kapitel »Umfang und Aufgabe des IT-Security-Managements« zu beginnen. Im Grunde umreißt es das Aufgabengebiet und bringt die verschiedenen Themen in einen Zusammenhang. Ein guter Einstieg, um danach zielgerichtet diejenigen Kapitel zu betrachten, die einem selbst am interessantesten erscheinen. Aus diesem Grund sind alle Kapitel so verfasst, dass ein direkter Einstieg erleichtert wird.

Ansonsten gilt: Für ein durchgängiges Verständnis und als eine Art roter Faden ist es empfehlenswert, sich erst um Fundament und Dach zu kümmern, bevor die verschiedenen Säulen abgearbeitet werden.

Jedes Kapitel beschreibt einen zusammenhängenden Themenbereich der IT-Security. Der Aufbau bleibt dabei immer ähnlich. Obligatorische Theorie wechselt sich ab mit Tipps aus der Praxis für die Praxis, ein paar Beispielen und dazu Aufzählungen und Checklisten als Hilfestellung. Die einzelnen Themen umfassen dabei das notwendige Wissen, um den Arbeitsplatz IT-Security ausfüllen zu können, und häufig noch etwas mehr.

Die Aufgaben eines IT-Security-Managers sind vielfältig und abwechslungsreich, bauen aber immer wieder aufeinander auf. Es gibt Themen wie das IT-Risikomanagement, die in den verschiedensten Fragestellungen immer wieder auftauchen. So ist das Wissen notwendig, wie eine Risikobewertung durchgeführt wird, wenn es darum geht, Prioritäten in der Notfallvorsorge zu treffen, aber genauso auch im alltäglichen Betrieb, wenn es um die Berechtigungsvergabe oder die Entscheidung für und wider einer einzukaufenden Software geht. Aus diesem Grund wird dieses Aufgabenfeld als Teil der Dachkonstruktion in der Abbildung abgebildet.

Die weiteren Elemente des Hauses stellen die anderen Kapitel des Buches dar. Manche Themen bilden das Fundament für den gesamten Komplex, wieder andere bilden zusammen mit einem oder zwei Bereichen eine Einheit. So sind die Kapitel zum IT-Notfallmanagement und zum Verfügbarkeitsmanagement zwei Teile des übergeordneten Themas IT Business Continuity Management.

Die Wahl, die IT-Security-Organisation, die IT-Compliance, das IT-Security Incident Management und die Bildung von Awareness als Fundament zu nutzen, fiel aufgrund der Tatsache, dass es nicht möglich ist, sie immer und immer wieder mitzubetrachten. Gleichgültig, welche Maßnahme implementiert oder welche Richtlinie durchgesetzt werden soll, immer stellt sich die Frage, wie diese zu kommunizieren und zu schulen ist, wie die inneren und äußeren Anforderungen aussehen und wie die IT-Security-Organisation aufgebaut sein muss, um dies auch bewältigen zu können.

Ein Kapitel sticht etwas hervor. Das reine Praxiskapitel über die Einführung eines Information Security Management Systems (ISMS) steht etwas abseits am rechten Rand des Hauses. Diese Zuordnung soll vergegenwärtigen, dass alle im Buch behandelten Themen in irgendeiner Art und Weise Teil des ISMS sind. Die Zusammenführung und die Annäherung an die Praxis werden an dieser Stelle vertieft angegangen.

10.1  Kapitelzusammenfassung

Das IT-Risikomanagement‌ bildet den Überbau über den Gesamtkomplex IT-Security-Management. Dieses Bild soll die Tatsache betonen, dass es sich bei dieser Disziplin nicht um eine abgegrenzte Einzelaufgabe handelt, sondern um eine Methodik, die in vielen Prozessen immer wieder auftaucht.

Der Einfluss und die Methoden des IT-Risikomanagements durchziehen alle Teilbereiche des IT-Security-Managements. Für das Business Continuity Management sowie für die tägliche Arbeit und die implementierten Sicherheitsprozesse stellt es zudem eine entscheidende Grundlage dar.

Im Eingangskapitel wurde geschrieben, dass es die Frage nach dem »Wie« beantwortet. Also die Frage nach der Vorgehensweise eines Managers IT-Security. Das IT-Risikomanagement hilft bei der Quantifizierung von Risiken, bestimmt objektiv deren Gewichtung und entscheidet damit auch über die Art und Stärke von einzuleitenden Maßnahmen. Damit bildet es das bestimmende Element in vielen Entscheidungsprozessen.

Die Top-4-Fragen zum aktuellen Kapitel:

• Existiert eine Richtlinie zum IT-Risikomanagement? Wurde die dort beschriebene Vorgehensweise mit den Methoden des Unternehmensrisikomanagements abgestimmt?

• Liegen Aufzeichnungen und Dokumentationen vor, die die wichtigsten IT-Risiken für den Geschäftsbetrieb darstellen?

• Ist das erforderliche Handwerkszeug für ein IT-Risikomanagement vorhanden? Liegt eine Klassifizierungsrichtlinie vor und sind die Mitarbeiter damit vertraut? Wurden Bedrohungslisten erstellt und entsprechende Maßnahmenvorschläge vorbereitet? Werden zumindest die wichtigsten Unternehmenswerte anhand der Klassifizierungsrichtlinie klassifiziert?

• Werden IT-Prozesse auch über den Faktor Risikomanagement gesteuert?

10.2  Einführung

Das Wissen um die Risiken, denen sich ein Unternehmen und davon abgeleitet auch die IT-Abteilung, das Gebäudemanagement oder die Unternehmensplanung aussetzen, stellt die Basis für beinahe jede Entscheidung innerhalb des IT-Security-Managements dar. Nur wenn den beteiligten Parteien bewusst ist, welche Konsequenzen eine Handlung oder deren Unterlassung hat, wird es ihnen möglich sein, die richtigen Entscheidungen mit dem angemessenen Wirkungsgrad zu treffen. Das IT-Risikomanagement beschäftigt sich dabei vornehmlich mit den Risiken, die im Rahmen der Verarbeitung von Daten mithilfe von IT-Systemen auftreten können.

10.3  IT-Risikomanagement im Unternehmenskontext

In einem Unternehmen wird die oberste Stufe der langfristig angelegten unternehmerischen Planung als Unternehmensstrategie‌ bezeichnet. Sie bildet das Bindeglied zwischen der Vision des Unternehmens und den tatsächlichen betrieblichen Erforderlichkeiten. Abgeleitet von der Vision, die eine Vorstellung des Soll-Zustands in der Zukunft beschreibt, werden somit unternehmerische Tätigkeiten abgeleitet. Die Unternehmensstrategie hat dabei einen in die Zukunft gerichteten Planungshorizont. Zum Teil besteht sie aus Zielzuständen wie z.B. einer angestrebten Umsatzentwicklung und zum anderen Teil aus Richtlinien, die beschreiben, wie die Zielzustände konkret erreicht werden sollen. Dem unternehmerischen Risikomanagement fällt in diesem Umfeld die Aufgabe zu, Abweichungen von diesen Zielen zu vermeiden, indem Risiken kontrolliert begegnet wird.

Die IT-Strategie orientiert sich nun gleichfalls an der Unternehmensstrategie und die Richtlinien des IT-Risikomanagements wiederum an der IT-Strategie. Neben dieser strategischen Sicht des IT-Risikomanagements existiert auch eine operative Ebene, auf der ein Hauptteil des IT-Risikomanagements abläuft.

Die Strukturierung eines IT-Risikomanagements enthält somit die folgende Staffelung:

• Identifizierung von Risiken für das Unternehmen aus strategischer IT-Sicht

• Bewertung dieser Risiken auf kurz-, mittel- und langfristiger Basis

• Festlegung, wie mit den identifizierten Risiken umgegangen werden soll. Dies erfolgt zunächst auf strategischer und dann auf operativer, taktischer Ebene.

Das IT-Risikomanagement hat daraus abgeleitet die Aufgabe, Methoden zu entwickeln und umzusetzen. Dabei gilt es, auf operativer Ebene Risikomanagementprozesse zu koordinieren, ohne den Blick auf die strategischen Unternehmensziele zu verlieren.

Das IT-Security-Management wird sich in diesem Gesamtkontext maßgeblich um die Tätigkeiten kümmern, die einen Einfluss auf Schutzziele wie Vertraulichkeit, Verfügbarkeit oder Integrität haben. Da in diesem Fall IT-Systeme und die damit verarbeiteten Daten im Mittelpunkt stehen, wird der Manager IT-Security vor allem auf operativer Ebene arbeiten.