Mobile-Menu

Keynote zur ISX IT-Security Conference 2023 Security-Reporting für KMU

Ein Gastbeitrag von Jannik Christ Lesedauer: 7 min |

Anbieter zum Thema

Fujitsu Technology Solutions GmbH
FTAPI Software GmbH
valvisio international AG

Vor allem in kleineren und mittleren Unternehmen (KMU) steht die Leitungsebene vor der Herausforderung, trotz der kurzlebigen, technologiegetriebenen Innovationszyklen im IT-Security-Kontext fundierte Entscheidungen treffen zu können. Abhilfe schaffen kann ein Security-Reporting, das die Brücke zwischen Management und der IT schlagen kann.

ISX-Keynote-Sprecher Jannik Christ unterstützt Unternehmen und Konzerne im Bereich der Informationssicherheit mit dem Schwerpunkt auf Security Management.
ISX-Keynote-Sprecher Jannik Christ unterstützt Unternehmen und Konzerne im Bereich der Informationssicherheit mit dem Schwerpunkt auf Security Management.
(Bild: Christ Security)

Wesentlich für ein erfolgreiches Security-Reporting sind die passenden Rahmenbedingungen. Zu den wichtigsten Voraussetzungen, um die Brücke von der IT-Sicherheit erfolgreich ins Management zu schlagen, sind die dafür notwendigen Rollen und Verantwortlichkeiten. Als Dreh- und Angelpunkt fungiert der Informationssicherheitsbeauftragte (ISB).

Bei der Besetzung der Rolle des ISB sollten Sie sicherstellen, dass der Mitarbeiter über eine fundierte Ausbildung sowie Erfahrung im Bereich der Informationssicherheit verfügen sollte. Nicht zu unterschätzen sind in diesem Kontext auch die Anforderungen an die kontinuierliche Weiterbildung. Das dynamische Umfeld in der Informationssicherheit bedarf der regelmäßigen Aktualisierung des eigenen Wissensstandes und einem regelmäßigen Erfahrungsaustausch.

Eine für das Security-Reporting essenzielle Eigenschaft Ihres ISB ist, ob dieser sowohl die Sprache Ihres Business als auch Ihrer Technik sprechen kann. Der ISB muss den Spagat vom technischen Detail ins Management schlagen. Daher sollte eine der Grundanforderungen sein, dass Ihr ISB über fundierte Kenntnisse in der IT, aber auch in betriebswirtschaftlichen Zusammenhängen verfügt.

Unternehmer, welche die Rolle des ISB aufgrund der hohen Anforderungen an das Profil und den damit einhergehenden Aus- und Weiterbildungskosten nicht intern besetzen möchten, können einen externen ISB beauftragen. Neben einer umfangreichen Ausbildung verfügt dieser über eine hohe Marktnähe aufgrund des Einblicks in mehrere Unternehmen gleichzeitig. Gerade für kleinere und mittlere Unternehmen kann daher der externe ISB die richtige Wahl sein.

Gremien zusammenstellen

Um die Brücke erfolgreich schlagen zu können, ist jeder ISB auf die Unterstützung aus dem Management und aus der operativen Tätigkeitsebene (z.B. von den Systemadministratoren) angewiesen. Entsprechend sollte es für beide Parteien entsprechende Gremien geben, die als Austauschplattform und gleichzeitig als Schnittstelle zum ISB dienen.

Empfehlenswert sind hier vor allem zwei Gremien:

  • Steuerungskreis: Der Steuerungskreis verfügt über das Mandat der Geschäftsführung, die Leitlinie mit den strategischen Vorgaben zur Informationssicherheit im Unternehmen umsetzen zu dürfen. Die hierzu notwendigen Aktivtäten umfassen das Erlassen von Vorgabedokumenten wie Richtlinien und Verfahren sowie die Definition und die Besetzung der zur Umsetzung notwendigen Rollen und Verantwortlichkeiten. Der Steuerungskreis ist damit die oberste Entscheidungsebene zur Informationssicherheit im Unternehmen.
  • Arbeitskreis: Der Arbeitskreis ist deutlich operativer und damit näher am tatsächlichen Geschehen in den einzelnen Bereichen. Der Arbeitskreis sollte Teilnehmer aus allen relevanten Fachbereichen, vor allem auch der Informationstechnik umfassen. Die Teilnehmer erarbeiten auf Basis der Entscheidungen des Steuerungskreises (z.B. erlassene Vorgaben in Form von Richtlinien) konkrete technische und organisatorische Maßnahmen, die in den jeweiligen Bereichen zur Erfüllung der Anforderungen umzusetzen sind. Durch den Austausch im Arbeitskreis kann sichergestellt werden, dass bereichsübergreifend eine möglichst einheitliche Umsetzung der Maßnahmen erfolgt und Synergien erkannt und genutzt werden.

Eine gemeinsame Sprache finden

In den oben benannten Gremien wird grundsätzlich eine verschiedene Sprache gesprochen. Der Steuerungskreis besteht primär aus Managementmitgliedern und ist daher vor allem auf Geschäftsrisiken aus und meist wenig technisch veranlagt. Im Arbeitskreis sitzen vor allem Mitglieder aus der operativen Tätigkeitsebene, welche vor allem über das Detailwissen verfügen (z.B. zur eingesetzten Technologie wie der Firewall, Netzwerken, Endpunktesicherheit etc.).

Der intensive Austausch in den Gremien ist wesentlich und bedarf dem notwendigen Tiefgang, um Themen ausreichend diskutieren zu können. Eine Vermischung aus Diskussionen der Managementebene und der operativen Ebene ist dabei zu vermeiden. Stattdessen ist der Vermittler zwischen Steuer- und Arbeitskreis der ISB, welcher die Sprache beider Gremien sprechen muss. Wichtig ist, dass der ISB nicht einfach Übermittler ist, sondern die ihm vorliegenden Informationen auf einen gemeinsamen Nenner bringen muss. Der gemeinsame Nenner zwischen Steuer- und Arbeitskreis ist das Risikomanagement.

Durch die Überführung der beispielsweise sehr technischen Informationen aus dem operativen Arbeitskreis in konkrete Geschäftsrisiken gelingt es dem ISB, Initiativen in den richtigen Geschäftskontext zu setzen und dem Management so den korrekten Rahmen zur Entscheidungsfindung zu bieten. Je nach Reifegrad eines Risikomanagements in der Organisation empfiehlt es sich zusätzlich, nicht nur von geringen und hohen Informationssicherheitsrisiken zu berichten. Gerade für das Management wesentlich sind mögliche Chancen, die sich durch das bewusste Eingehen einzelner Risiken ergeben können. Ein Beispiel hierfür kann eine noch unerprobte, neue Technologie sein, welche dem Unternehmen einen deutlichen Wettbewerbsvorteil verschaffen würde, sicherheitstechnisch aber noch Fragen aufwirft. Ein Verhältnis aus Risiko und Chance ist in diesen Fällen deutlich interessanter für das Management als die reine Information über Eintrittswahrscheinlichkeit und Schadenshöhe durch eine mögliche Sicherheitsverletzung.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Unternehmen, die das Security-Reporting risikobasiert unter Abwägung von Chancen betreiben, können sich enorme Wettbewerbsvorteile verschaffen. Statt die Digitalisierung unter dem Deckmantel der Sicherheit zu behindern, können Unternehmen so kalkulierte Risiken eingehen und damit den Unternehmen, welche potenzielle Geschäftsfelder aufgrund der möglichen Unsicherheiten noch gänzlich meiden, einen Schritt voraus sein.

Wichtige Kennzahlen definieren

Das regelmäßige Berichtswesen im Bereich der Sicherheit sollte durch Kennzahlen geprägt sein, welche relevant für die jeweilige Zielgruppe sind. Nicht selten geschieht es, dass dem Management eine Menge an Messberichten und Leistungsdaten offeriert wird, beispielsweise zu festgestellten Angriffsversuchen oder neu bekanntgewordenen Schwachstellen. Ein gutes Security-Reporting wird dadurch geprägt, dass jede Zielgruppe (beispielsweise können die Adressatenkreise der Steuerungskreis und Arbeitskreis sein) mit den passenden Informationen zum richtigen Zeitpunkt beliefert werden.

Für den Arbeitskreis sind vor allem Kennzahlen zur Effektivität der technischen und organisatorischen Maßnahmen essenziell. Diese Kennzahlen sind sehr detailliert und auf konkrete Anwendungsfälle bezogen. Einige Beispiele können zusätzlich sein:

  • Detektierte Sicherheitsvorfälle im Betrachtungszeitraum
  • Leistungsfähigkeit von technischen Maßnahmen (z.B. Filtertechniken)
  • Anzahl an neuen Schwachstellen im Betrachtungszeitraum
  • Abdeckungsrate der Endpoint-Security-Lösung im Clientumfeld
  • Anzahl an nicht mehr supporteten Betriebssystemen im Client- und Serverumfeld
  • Auswertungen über kritischen Netzwerkverkehr (z.B. durch veraltete Protokolle)

Während die Mitarbeiter im operativen Tätigkeitsfeld diese Kennzahlen im Detail verstehen und mit diesen arbeiten müssen, sind diese für das Management oft gänzlich ungeeignet. Der Informationsgehalt aus einer Kennzahl auf dieser Ebene lässt sich nämlich kaum für strategische Entscheidungen auf Managementebene nutzen.

An dieser Stelle kommt erneut der ISB zum Tragen, welche die operativen Kennzahlen gemäß dem kleinsten gemeinsamen Nenner – dem Risikomanagement – in einen für das Management verständlichen Geschäftskontext setzen muss. Erst nach Interpretation durch den ISB erhalten die operativen Kennzahlen einen Informationsgehalt, der für das Management verständlich ist und damit als Ausgangsbasis für eine sinnvolle und zielführende Entscheidungsfindung dienen kann.

Beispiele für Kennzahlen, die das Management interessieren, sind:

  • Return on Security Investment (Sicherheitsgewinn im Verhältnis zu den Kosten)
  • Anzahl der Risiken, die den Risikoappetit der Organisation übersteigen
  • Anzahl an Risiken pro Risikohöhe (Risikolandschaft der Organisation)
  • Risikobehandlungsmaßnahmen, die operative Einschränkungen verursachen
  • Risiken in kritischen Prozessen der Wertschöpfungskette
  • Kosten für die Behandlung von Risiken knapp über dem aktuellen Risikoappetit

Fazit

In vielen kleineren und mittleren Unternehmen besteht Optimierungspotenzial bezüglich des Security Reportings. Gerade KMU müssen hierzu oft noch die Voraussetzungen schaffen, indem essenzielle Verantwortlichkeiten wie die des ISB mit den entsprechenden Kompetenzen erst noch besetzt werden müssen. Für Unternehmen, bei denen sich eine Vollzeitstelle für den ISB nicht lohnt oder welche von den Erfahrungen eines Externen profitieren möchten, können mit einem Externen ISB schnell und wirksam Abhilfe schaffen.

Der ISB als Bindeglied zwischen operativen und strategischen Gremien sorgt durch das Etablieren einer gemeinsamen Sprache – dem Risikomanagement – für grundlegenden Mechanismen, um Entscheidungen schneller und zielgerichteterer treffen zu können. Durch Kennzahlen, die zielgruppenorientiert definiert und berichtet werden, lassen sich Entscheidungsbedarfe begründet adressieren und in den richtigen Geschäftskontext setzen.

Einem Blindflug durch das dynamische Umfeld der IT-Sicherheit, der Unternehmen durch Fehlinvestitionen (z.B. in unnötige Technologien, Projekte oder Maßnahmen) teuer zu stehen kommen kann, kann durch ein professionelles Security-Reporting wirksam vorgebeugt werden.

Über den Autor: Jannik Christ begann seine berufliche Laufbahn in der IT einer Großbank in Frankfurt am Main, bevor er sich später mit seiner eigenen Firma, der CHRIST Security GmbH, selbstständig machte. Mit seiner Firma unterstützt er heute Unternehmen und Konzerne im Bereich der Informationssicherheit mit dem Schwerpunkt auf Security Management. In der Rolle des Externen CISOs betreut er unter anderem Milliardenkonzerne in Deutschland, Österreich und der Schweiz. Sein Beratungsansatz besteht dabei aus risikoorientierten Sicherheitsprogrammen, welche die Informationssicherheit als Enabler für neue Geschäftsanforderungen und Innovation im Unternehmen verankern. Hierzu verfügt er über zahlreiche, weltweit renommierte Zertifizierungen im Bereich der Informationssicherheit und ist Mitglied in anerkannten Vereinen und Verbänden.

Über die ISX IT-Security Conference: Die ISX 2023 findet am 28. Juni in Hamburg, am 4. Juli in Mainz und am 6. Juli in München statt. Für Anwender ist die Teilnahme an der ISX kostenfrei. IT-Dienstleister nehmen mit dem Zugangscode ISX23-SEI zum reduzierten Preis von 75 Euro (inkl. MwSt.) teil.

► Mehr Infos zur ISX IT-Security Conference

 

 

(ID:49578723)

Weiterführende Inhalte