Informationssicherheit ist Chefsache

Damit sich Informationssicherheit konsistent durch das gesamte Unternehmen ziehen kann, sollten die wesentlichen Vorgaben nicht aus der Zuständigkeit einer irgendwo untergeordneten Spezialabteilung kommen. So eine Abteilung wird es schwer haben, ihre legitimen und oft als lästig wahrgenommenen Vorgaben für ein stimmiges Sicherheitskonzept im gesamten Unternehmen mit der nötigen Durchsetzungskraft umsetzen zu können. Hierfür braucht es den unmissverständlichen Rückhalt einer Stelle im Unternehmen, deren Weisungen üblicherweise von niemanden in Frage gestellt werden: die Geschäftsleitung.

Nun muss die Geschäftsleitung nicht persönlich alle Sicherheitskonzepte selbst schreiben, Mess- und Kontrollpunkte definieren oder regelmäßig Audits durchführen. Diese Tätigkeiten können selbstverständlich auf Spezialisten (intern oder extern) delegiert werden – die Verantwortung dafür bleibt jedoch bei der Geschäftsleitung.

Damit dieser Schnitt (Verantwortung versus Umsetzung) verbunden mit der notwendigen Autorität funktionieren kann, sehen Managementsysteme (wie die ISO 27001) eine Mehrschichtigkeit vor. Von ganz oben wird eine Leitlinie erlassen. Hier dokumentiert die Geschäftsleitung unmissverständlich ihr Commitment zum Thema Informationssicherheit und legt wesentliche Eckpunkte fest (Sicherheitspolitik).

Die Leitlinie gibt somit einen Rahmen vor, innerhalb dessen konkretere Dokumente (Richtlinien) erlassen werden. Diese Richtlinien setzen wiederum konkrete Standards, an denen die einzelnen Fachabteilungen sich ausrichten können. Wie sie dies tun (sollen), muss nicht in den Richtlinien stehen.

Beispiel: Eine Richtlinie fordert beim Zutritt zum Gebäude eine sog. ‘Vereinzelung’ der Personen. Niemand, der in Besitz eines Ausweises ist, soll unbemerkt eine fremde Person mit hineinnehmen können (z. B. durch das Aufhalten einer über Code-Karten gesicherten Tür). Wie die hierfür zuständige Abteilung Facility-Management diese Forderung umsetzt, ist nicht beschrieben; hier hat das Facility-Management im Rahmen des wirtschaftlich Machbaren alle Freiheiten. Denkbar sind spezielle Türen mit einem zusätzlichen Drehkreuz oder Wachpersonal mit Hunden oder, oder, oder.

Wichtig bei den Richtlinien ist die Messbarkeit der Standards / der Forderungen. Nur so weiß die betroffene Fachabteilung, wann sie ihr Ziel erreicht hat. Und nur so kann im Rahmen von Audits geprüft werden, ob die Sicherheitsziele des Unternehmens tatsächlich erreicht werden.

Die implementierte praktische Lösung wird dann gewöhnlich noch in Arbeitsanweisungen beschrieben, die üblicherweise in Eigenregie der Fachabteilungen gepflegt werden – denn niemand kennt sich in den operativen Details besser aus, als die jeweilige Fachabteilung. Adressat dieser Dokumente sind die Mitarbeiter, die mit oder am beschriebenen System arbeiten.

Die Ausgestaltung der Arbeitsanweisung hat über die vorgeschalteten Richtlinien einen klaren Kompass, welche Standards zu erreichen sind. Und die Richtlinien orientieren sich wiederum an der Leitlinie.

Es empfiehlt sich, den Aufbau der Hierarchie allen Beteiligten transparent zu machen. Im Grunde ist das Ganze mit einer Matroschka vergleichbar (diese russischen Puppen, die im Bauch eine kleinere Puppe haben, die dann im Bauch wieder eine noch kleinere Puppe haben…). Jedes Stück Anweisung ist Teilmenge eines darüberliegenden Systems. So kann es gelingen, dass ein zu erzielendes Sicherheitsniveau nicht in einer Abteilung besonders hoch und an anderer Stelle entspannt niedrig ist. Der hierachische Aufbau sorgt für Konsistenz und spart Kosten. Denn ein System ist immer nur so sicher wie sein schwächstes Element. Alles was darüber hinausgeht, ist im Zweifel unwirtschaftlich.