Informationssicherheit in deutschen Unternehmen

Der Status der Informationssicherheit in deutschen Unternehmen ist außergewöhnlich. Er ist außergewöhnlich gut in wenigen großen Unternehmen. Er ist außergewöhnlich schlecht in vielen anderen Unternehmen, und das trotz milliardenschwerer Investitionen seit den neunziger Jahren in die IT-Sicherheit, aufgrund des damaligen Siegeszuges des Internet. Wenn es nicht am Geld liegt, woran liegt es dann?

Spätestens seit dieser Zeit haben die Unternehmen IT-Sicherheit als Position auf ihrem Organigramm stehen. Wir befinden uns in Zeiten einer Renaissance des leidigen Jammerns der Informationssicherheitsbeauftragten, die nicht verstehen möchten, dass die Chefetage ganz oben den Unterschied zwischen Informationssicherheit und IT-Sicherheit bzw. IT-Security nicht kennt oder erkennt – ohne alle über einen Kamm scheren zu wollen, doch in den meisten Fällen verhält es sich immer noch derart. Gejammert wurde seitens der Informationssicherheit schon des öfteren in den neunziger Jahren wegen trivialerer Themen als heutzutage.  

In einem internationalen Vergleich mit den USA, England, Japan, Australien, Singapur und Israel verhält es sich mit dem Abschneiden in der Informationssicherheit ähnlich wie mit dem Abschneiden unserer Schüler bei der Pisa-Studie. Ist das so, weil der Exportweltmeister Deutschland kein schützenswertes Gut hat, weil unsere Automobilindustrie nur Schrott in die Länder exportiert, Pharma außer Aspirin nichts zu bieten hat, der Transrapid demnächst sowieso nur noch kopiert in Shanghai vom Flughafen in die Stadt schwebt, und der A380 nur als Modell existiert?  Mit Sicherheit nicht. Liegt es am Personal? Nur zu einem gewissen Teil, doch selbst Quereinsteiger in die Informationssicherheit geben nach einiger Zeit ihr Bestes. Wo bekommen Unternehmen Personal in der Informationssischerheit her, die eierlegende Wollmilchsäue sind? Die wirklich guten sind rar und meistens nicht bezahlbar, also hole ich mir einen Unerfahrenen, der kann das bestimmt auch alles… eine Zeit lang, bis etwas passiert. Die, die alle Plattformen abdecken und sich im Rechtlichen und Organisatorischen auch noch gut auskennen, sieht man nicht allzu oft.

Unsere Wirtschaft boomt, und wir haben Top-Unternehmen. Die Firmen sind gewachsen und mit ihnen die Risiken. Gewachsen ist leider auch das immer leidige Thema Informationssicherheit, das sich anfangs auf Firewalls und Virenscanner beschränkt hat. Leidig, da man teuere Spezialisten benötigt und hohe Ausgaben hat – “Opportunitätskosten” drücken sich auch manche aus – leidig, weil es sehr oft keinen interessiert, und es deshalb in den meisten Fällen “mitläuft”. Und so sollte es doch auch sein. “Sicherheit sollte so einfach wie die alltäglichen Dinge des Lebens sein, so mein guter Freund und Partner Klaus Schmidt.” Doch wenn man die Informationssicherheitsbeauftragten nicht mit notwendigen Mitteln, Werkzeugen, Ressourcen und Enforcement ausstattet, bleiben wir weit davon entfernt und als Gesamtwirtschaft unter den letzten der genannten Länder im Praxistest Informationssicherheit. Wie soll man eine Rechtsvorschrift im Unternehmen durchsetzen, wenn man wie viele Informationssicherheitsbeauftragten nichts zu sagen hat, doch für das Thema verantwortlich wird? Unternehmensführer gebühren denjenigen, die ihr heiligstes Gut zu schützen wissen, in den meisten Fällen nicht genügend Vertrauen, geschweige denn Budget, wie paradox?  

Aus IT-Sicherheit wurde Informationssicherheit. Dieser Sprung war ein Weitsprung für die IT-Security-Szene und deren Experten, während Geschäftsführer und Vorstände im Kopf lediglich eine Grätsche gedanklich nachvollzogen haben. Ich möchte ganz ausdrücklich nicht alle über einen Kamm scheren. Doch etwa 80 Prozent, so eine eigene kleine Studie, bei der 400 Informationssicherheitsbeauftragte aus kleinen, mittleren und großen Unternehmen befragt wurden, könnten dem Thema wesentlich mehr Beachtung schenken. Es wurde zum Ende hin immer schlimmer, und ich war froh, dass ich nicht 4000 befragt hatte, Gauss sei Dank, leider etwas erschreckend.

Die ureigene Aufgabe der lediglichen Administration von Firewalls und Virenscanner wurde seit den neunziger Jahren ein klitzes kleines bißchen erweitert: Hinzugekommen sind nur die ganzheitliche Netzwerksicherheit, Systemsicherheit, Anwendungssicherheit, User Security Awareness, Business Continuity und Disaster Recovery, Applikationsentwicklungssicherheit, Sicherheit der Inhalte, personelle Sicherheit, das IT-Risikomanagement, die organisatorische Sicherheit und die rechtliche Sicherheit – und hier nur ein wenig KonTraG, GDPdu, GobS, SOX 404, Euro-SOX, eDiscovery-Schutz und Gerichtsverwertbarkeit von Daten etablieren, und etwa 12 bis 15 weitere Regulierungen je nach Branche.

Hinzu kommen Aufgaben wie der Sitz des Informationssicherheitsbeauftragten im Unternehmensausschuss für Unternehmenssicherheit, im Datenausschuss, im IT-Ausschuss, und man bedient den Herrn oder die Frau Datenschutzbeauftragte(n) mit technischer Unterstützung in Sachen IT-Security, wenn der oder die Verantwortliche für Informationssicherheit das Amt nicht ohnehin schon besetzt. Ein bißchen Audit muß man dazu noch betreuen. Für den Fall der Fälle muss man forensische Analyse und Datenwiederaufbereitung beherrschen. Das Ganze bitte methodisch nach Standards und wenn möglich als zertifizierter Informationssicherheitsbeauftragter. Kein Problem für die IT-Sicherheitsbeauftragten, sie streiten sich nur ein wenig mit der Rechtsabteilung, ob nunmehr sie oder ihre Kollegen für die eine oder andere Compliance-Thematik verantwortlich sind, ansonsten läuft alles nach Plan.

Nach einem neulich bei Infosec.org veröffentlichten Bericht verdienen IT-Sicherheitsbeauftragte in naher Zukunft mehr als IT-Leiter. Derzeit liegen die beiden Positionen in US-Großunternehmen pro Jahr nur noch etwa 20.000 US-Dollar auseinander, im Schnitt 170.000 zu 150.000 Dollar. Durchhalten, sehr geehrte Damen und Herren Beauftragte für Informationssicherheit. Nach den ganzen Prognosen, die man liest, berichten bald die IT-Leiter an die Informationssicherheitsbeauftragten. Das wäre prima, dann könnte man in besagten Fällen (ohne alle über einen Kamm zu scheren) viele Probleme von Anfang an vermeiden.

In deutschen Unternehmen sieht es wie folgt aus: Informationssicherheitsbeauftragte berichten an den IT-Leiter. Andere berichten an einen Senior Vize President für Infrastruktur beziehungsweise für IT-Governance – was in meinen Augen völlig falsch ist. Andere wiederum berichten an einen Rechenzentrumsleiter. Ganz andere an einen Teamleiter für verschiedenste Aufgaben in der IT. Manche berichten an ähnliche Positionen in der Finanz – doch meistens ist es der CFO, die wenigsten berichten an eine Rechtsabteilung, immer mehr an die Konzernsicherheit, wenn es diese vor Ort gibt. Es gibt zugegebenermaßen einen positiven Trend, das Thema wenigstens im Corporate Risk Management anzusiedeln, ebenso in der Finanz. Das ist auch gut.

Wenn Unternehmensführer sich nicht ganz sicher sind, wie sie es machen sollen und wo sie ihren Informationssicherheitsbeauftragten “hin(be)richten” lassen sollen, dann lesen sie Gartner, FAZ, die Welt oder die Süddeutsche – da steht es drin. Manche Zeitungen haben mittlerweile Beilagenteile, die sich mit den Themen beschäftigen. Die Journalisten selbst, haben meist wenig Ahnung und holen sich die Informationen durch Interviews von Spezialisten. “Käseblättchen” für Informationssicherheit werden den Unternehmen mittlerweile von den Verlagen im Dauerabo für Umsonst angeboten, oder die KES wird nicht freigegeben, weil sie zu teuer sein soll. Blödsinn. Und da in dem Wörtchen Informationssicherheitsbeauftragter dem Namen nach Information steckt, landet dieser natürlich in der IT, wo auch sonst? Informationssicherheitsbeauftragte, die Glück haben, berichten an einen Vorstand und haben ein Sechser im Lotto, wenn sie an einen Vorstand oder wenigstens Mitglied des Vorstands berichten, der für Unternehmenssicherheit verantwortlich ist.

Informationssicherheitsbeauftragte haben meistens kein Budget, das sie eigenverantwortlich verplanen können, das macht der CIO, auch wenn er selten Zeit für das Thema hat und bei wichtigen Entscheidungen dann sehr oft nie zu erreichen ist – oder auf einmal ist das vorher so groß aussehende Budget doch andersweitig verbraten. Es gibt wichtigere Dinge, sehr geehrte Damen und Herren. Wichtige Sicherheitslücken bleiben so lange erhalten, bis wieder Budget vorhanden ist, und ist man ein Jahr ohne Schaden mit den Lücken ausgekommen, schafft man das auch zwei Jahre und mehr. Mit ihren Dienstautos würden CIO’s oder IT-Leiter das nicht machen.

Technik, die dabei hilft, Gesetzeskonformität zu erzielen, wird nicht oder erst Jahre danach gekauft, meistens wenn sie schon wieder veraltet ist, und wenn der Druck des Entscheiders mittlerweile so groß ist, weil es schon jeder um ihn herum eingesetzt hat, und sogar sein Vorgesetzter davon Wind bekommen hat. Dazu kommt, dass man dann für die Technik ein Vielfaches mehr bezahlt, als wofür man sie am Anfang hätte bekommen können. “Ist ja nicht mein Geld”. Up-to date halten sich IT-Mitarbeiter in der Raucherecke, und Vorstände in den VIP Lounges an jedem Flughafen.

Die eierlegenden Wollmilchsäue in punkto Personal in der IT-Abteilung, die die Aufgabe manuell durchführen könnten, für das man eine Software benötigen würde, hat man zu Zeiten von Diäten beim Personalausbau schon lange nicht mehr. Gespart wurde in den letzten sieben Jahren, und Profite wurden erhöht zu Lasten von Arbeitsplätzen. In Großunternehmen haben ganze regionale Bereiche auf der Welt keinen Business-Continuity-Plan und keine Disaster-Recovery-Pläne für die IT, große, mittlere und kleinere nicht, so die Umfrage. Durch die Wirtschaftskrise ist die Situation noch schlimmer geworden. Bitten versuchen Sie mir das zu erklären, wie das mit KonTraG und einer AG vereinbar ist, wenn die halbe AG auf Sand gebaut ist? Und wenn sie vorhanden sind, dann nicht aktuell und schon gar nicht getestet. Virenscanner-Updates wurden eingestellt, weil ein Lokationsleiter für IT meinte, er könne das Geld für Virensignatur-Aktualisierungen einsparen, man habe doch schließlich einen Virenscanner, zum Trotze des Administrators.

Das IT-Risikomangement, die Erhebungen, Auswertungen und die daraus resultierenden Bewertungen sind in den meisten Unternehmen schlichtweg gelogen. Nach KonTraG würden die Vorstände solcher Unternehmen mit ihrem Privateigentum haften und ihren Job verlieren, lieber Aufsichtsrat. Doch wer soll dann all unsere Top-Unternehmen leiten? Und dann ist da noch das Thema, dass die Herren und Damen eigentlich soviel ernten, dass sie es sich leisten könnten, vier Jahre oder länger arbeitslos zu sein, und für ihre Fehlentscheidungen doch noch die eine oder andere Versicherungspolice in der Tasche haben, die vom Unternehmen getragen wird, abgesehen von der Abfindung, die sie kassieren, wenn man sie wegloben möchte schlichtweg nach dem Motto – Sie waren uns immer ein liebenswerter CEO, doch diesmal versuchen wir es ohne Sie (z.B. Mehdorn)– und das, um es ein wenig ins lächerliche zu ziehen, sehr oft unzertifiziert. Eine Versicherung, mit der Fehlentscheidungen in der Informationssicherheit kompensiert werden bei Vorständen? Cool. Also weg mit dem IT-Sicherheitsbeauftragten. In philosophischer Konsequenz sind Sie nun versichert, Herr oder Frau Informationssicherheitsbeauftragte(r), indirekt direkt, aber nur, wenn Sie den Fehler nicht selbst machen. Sie sind der Experte im Thema, auch wenn ein anderer für Sie entscheidet, also müssen Sie dafür gerade stehen. Das ist fast so schlimm wie die Prozesse, die in Spanien gegen das Doping im Radrennsport geführt wurden.    

Es wird in naher Zukunft eine ganze Prozesslawine auf Vorstände nach KonTraG zukommen. Die Bankenkrise zeigt es, wenn auch sehr zögerlich. Es wird auch massiv im Datenschutz geprüft werden. Ich sehe es täglich und meine, dass erheblich mehr Unternehmen verantwortungsbewußter mit dem Thema Datenschutz umgehen sollten.

Versicherer scheuen sich, den Ausfall von IT-Service im Land zu versichern. Ganz wenige Gesellschaften bieten das noch an, sehr eingeschränkt in der Haftung, nach vorheriger Prüfung der Produkte des Unternehmens, und zu extrem teueren Konditionen für Hersteller und Dienstleister. Eigentlich versichern Versicherer nur noch Büros mit Schreibmaschinen, in denen nichts hergestellt wird und in denen keine aktive Dienstleistung stattfindet. Ist wie beim ultimativen Mieter, den man sucht. Unverheirateter nichtrauchender Wochenendheimfahrer der keine Tiere mag und keine Kinder hat, zu 15 Euro / Quadratmeter. Warum nur? Bestimmt nicht weil das Thema Informationssicherheit prima umgesetzt wurde? Bei Mittelständlern fehlt es an allen Ecken und Enden an IT-Sicherheit und Datenschutz, “kein Problem …das macht mein Neffe, der kennt sich mit dem PC besser aus als ich…”.  habe ich in meiner Umfrage schon gehört. Ich habe vor zwei Wochen mit einem Informationssicherheitsbeauftragten gesprochen, der ein Jahresbudget von 5 Millionen Euro hatte bei 26.000 Mitarbeitern im Unternehmen. Das war wie Weihnachten.

Jeden Tag klingelt bei meiner Sekretärin das Telefon. ”Guten Morgen” so ein Unternehmen am Telefon, “wir haben ein Problem. Korruption, Wirtschaftsspionage, Informationsabflüsse, Datenklau”. “Welches davon bitte?”, so die Sekretärin?. “In der Reihenfolge”, so die Anruferin. Natürlich rufen erst einmal die Anwälte an, die im Kontakt zwischen der Gesellschaft und den Vorständen stehen. Diskretion bitte, man könnte ja die Versicherung in Anspruch nehmen müssen.

In einem Großunternehmen mit Sitz in 100 Ländern sind an der Informationssicherheit duchschnittlich etwa 120 Leute direkt beziehungsweise indirekt Voll- oder Teilzeit mit der Aufgabe beschäftigt. Wer nun meint, das wäre zu viel, der irrt sich gewaltig, oder sollte bei sich im Unternehmen den Status checken.120 ist die absolute Zahl. Dazu zählen auch die Administratoren und Dienstleister. 20 Personen aus der Informationssicherheit sind wiederum hauptberuflich in das Thema involviert, die im Unternehmen wieder mit etwa 15 Personen aus anderen Abteilungen thematisch konkurrieren. Das könnte besser koordiniert werden. Dazu zählen Mitarbeiter der Rechtsabteilung, Personal, Datenschutz, Compliance, Physische Sicherheit, Betriebsrat, etc. Keine Funktion in der IT hat so viele Querschnittsfunktionen wie die Informationssicherheit – und nicht zu unterschätzen, der Datenschutz. Kein anderer muss mit so vielen Leuten direkt kommunizieren. Und doch wird der Stelle nicht genügend Einfluss bemessen. Wir könnten im internationalen Vergleich wesentlich besser abschneiden, wenn dem Thema mehr Interesse und Ernsthaftigkeit beigemessen würde. “Wenn es mein Informationssicherheitsbeauftragter nicht alleine schafft, dann besorge ich mir einen Corporate Compliance Officer”, so ein Vorstand. Das mag gut sein, doch wen stellen Sie danach ein, sehr geehrter Herr Vorstand?  

Nicht alle nehmen das Thema richtig ernst? Überall, wo Arbeitnehmer im Unternehmen alles doppelt und dreifach machen, wird der Rotstift angesetzt. Bei dieser Thematik nicht. Wie kommt es? Schläft unser Gesetzgeber? Schauen sich Aktionäre Vorstände genauer an? Ist das Thema seit jeher unterbesetzt? Gibt es einen Führerschein für Unternehmensführung? Gibt es in Zukunft beim Aktienkauf ein Rating der Aktie in Bezug auf die etablierte Informationssicherheit? Beim Kredit nach Basel II gibt es das schon. MaRisk macht das auch. Warum wohl? Sind Banken schlauer als Normalverbraucher?

Wer den Artikel bis hierher gelesen hat und immer noch zweifelt, möge bitte von vorne beginnen. So schaut es in vielen Ecken bei uns aus. Das sehen die Kunden nicht, wenn Hochglanzwerbung über den Bildschirm für das Unternehmen und dessen Produkte oder Dienstleistung wirbt. Die Sicherheitsbeauftragten sehen es täglich.

Und dabei könnte alles so einfach sein. Ganzheitliche Unternehmenssicherheit heißt das Zauberwort. Security Governance, nicht IT-Governance. Die IT ist viel zu mächtig in den Unternehmen, und es wird ihr und dem CIO vorallem viel zu viel Macht beigemessen, was ein IT-Leiter gar nicht alles leisten kann. Logisch hängen 90 Prozent und mehr der Geschäftprozesse von der IT ab. Na und? Die meisten CIOs gehören von Themenbereichen entlastet. Das grenzt bei manchen schon daran, dass ein Unternehmen im Unternehmen geführt wird. Und andere machen ihren Job wirklich vorbildlich.

Heute klappt es bei jedem Hausbau besser als in jedem IT-Projekt, immer noch, trotz Projekt-Management-Methoden. Die wurden eingesetzt, um Schäden zu minimieren, die in Projekten durch nicht vorhandene Planung entstanden sind. In meinen Augen in vielen Konzernen pro forma, damit der Vorstand seinem Vorstand zeigen kann, dass bei ihm alles standardisiert ist. Operation gelungen, Patient tot. Wer genauer auf die Daten in solchen Systemen schaut, der merkt schnell, dass alles eine Farce ist. Die Daten sind nicht akkurat, die Informationen nicht aktualisiert, die Zahlen mehr geschätzt als korrekt, aber Hauptsache, man hat eine Schnittstelle zu SAP FI, dann nehmen das auch alle ab, im speziellen die Wirtschaftsprüfer. Wer soll das denn auch alles noch machen in der IT?

Risiken zentral und zielgerichtet konsolidieren. Den IT-Leiter entlasten, und ihn mit einem Standbein in die IT aus der Unternehmenssicherheit durch den Informationssicherheitsbeauftragen unterstützen. Die gesamte Compliance-Thematik ausserhalb der IT regeln und in der IT umsetzen lassen. Den Informationssicherheitsbeauftragten stärken und ihm die Anerkennung zukommen lassen, die ihm gebührt. Ein wirkliches 4-Augenprinzip zwischen Systemmanagement und Informationssicherheitsmanagement, und dabei ganz nebenbei auch …SO WIE ES GELEHRT WIRD…. Nur daraus wird Qualität entstehen, der Fortbestand eines Unternehmens gesichert, Verfügbarkeit etabliert, Integrität wird Alltag und die Vertraulichkeit bewahrt. Dazu gesellt sich ein gutes Image. Und das alles nicht nur in der Werbung, sondern ganz real, zum Anfassen. Ist das nicht erstrebenswert? Sorgen Sie dafür, lieber Herr oder Frau CEO, dass die Informationssicherheitsbeauftragten an einen Konzernsicherheitsleiter berichten, der bei Ihnen im Vorstand sitzt, denn sonst bekommt er die Risiken nicht mit. Bekommt dieser sie nicht mit, bekommen sie sie bestimmt auch nicht mit. Und das als Kettenreaktion. Eine Maßnahme, die viel Geld, Zeit und Nerven spart. Fragen Sie die, die es umgesetzt haben.

Informationssicherheit und IT-Risikomanagement müssen raus aus der IT und in der Unternehmenssicherheit etabliert werden

27.07.2010
Alexander Tsolkas