Richtig schützen IT-Sicherheitsrisiken zu Corona-Zeiten

Autor / Redakteur: Jens Westphal / Peter Schmitz

Covid-19 wirkte wie ein Katalysator für verschiedenste Digitalisierungsprozesse. Die Geschwindigkeit, mit der Anpassungen vorgenommen wurden, bringt aber auch Risiken mit sich. Es ist an der Zeit, die vielen Sofortprogramme und Interimslösungen einer kritischen Betrachtung zu unterziehen. Die Frage, wie sich Organisationen angesichts zunehmender IT-Sicherheitsrisiken ausreichend schützen können, wird immer zentraler.

Covid-19 hat die Digitalisierung beschleunigt. Viele Business-Modelle werden aber nur dann erfolgreich sein, wenn bei Planung, Umsetzung und Betrieb die IT-Sicherheit berücksichtigt wird.
Covid-19 hat die Digitalisierung beschleunigt. Viele Business-Modelle werden aber nur dann erfolgreich sein, wenn bei Planung, Umsetzung und Betrieb die IT-Sicherheit berücksichtigt wird.
(© bluedesign - stock.adobe.com)

In der Coronakrise mussten sich die Gesellschaft, die Wirtschaft aber auch Institutionen der öffentlichen Verwaltung innerhalb kürzester Zeit einschneidenden Veränderungen unterwerfen und neue – meist digitale – Formen der Zusammenarbeit entwickeln. Durch die Pandemie bedingte Anpassungen bei Geschäftsprozessen oder im IT-Betrieb und durch das Verlagern von Arbeitsplätzen ins Homeoffice entstanden aber auch neue Risiken, die aufgrund der Geschwindigkeit, mit der Anpassungen umgesetzt werden mussten, weder qualitativ noch quantitativ bewertet wurden. Dies führt zwangsläufig zu einigen strukturellen Fehlern, die auch aufgrund fehlender Sicherheitskonzepte noch nicht vollständig erkannt und behandelt wurden.

Jetzt gilt es, die eilig aus dem Boden gestampften Anwendungen, wie beispielsweise Remote-Access-Lösungen, Kollaborationsplattformen oder Cloud-Lösungen, kritisch zu analysieren. Die neuen Funktionen wurden zwar schnell geschaffen, jedoch ist es wahrscheinlich, dass die darin enthaltenen Sicherheits- oder Datenschutzprobleme sich erst in den nächsten Monaten und Jahren offenbaren werden. Den pragmatisch geschaffenen Lösungen sollten nun Konsolidierungen, Korrekturen und Optimierungen folgen.

Durch Risikoanalyse und -management krisenartigen Entwicklungen begegnen

Wenn es schnell gelingt, bereits vorhandene oder neu aufkommende Risiken zu erkennen, dann können auch präzise Maßnahmen gegen diese Risiken ergriffen werden. Zielgerichtetes Handeln ist daher wichtig, um die Situation in den Griff zu bekommen. Hierbei kann eine Risikoanalyse unterstützen, denn es ist zentral, aus der Kombination von Bedrohungen und Schwachstellen in einem dynamischen Prozess die richtigen Schlussfolgerungen zu ziehen, um daraufhin wirksame, aber auch angemessene Maßnahmen zu bestimmen.

Müssen Veränderungen an bestehenden Systemen zur Informationsverarbeitung ohne ausreichenden Planungsvorlauf vorgenommen werden, so ist es erforderlich, die dabei entstehenden Risiken zu erkennen und sehr zeitnah zu behandeln. Dabei sollten Experten hinzugezogen werden, die die technischen und organisatorischen Folgen der Veränderungsprozesse in Gänze überblicken und bewerten können. Dafür kommen spezialisierte Beratungshäuser, CERT’s oder Organisationen mit Schwerpunkt Informationssicherheit infrage. Diese sind in ihrem Tagesgeschäft ständig in Prozesse zur Bewertung und Eliminierung von Schwachstellen eingebunden und daher ideal geeignet, beim Risikomanagement zu unterstützen.

Basis ganzheitlicher Schutzmaßnahmen ist ein maßgeschneidertes ISMS

Das Thema Informationssicherheit kann letztendlich aber nur durch einen Managementprozess hinreichend gesteuert werden. Diese Erkenntnis hat sich bereits seit der Jahrtausendwende durchgesetzt. Der Prozess muss durch die Leitung einer Organisation initialisiert und überwacht werden. Auf Basis einer ständigen Neubewertung und Weiterentwicklung der Informationssicherheit ist es so möglich, auf eine sich verändernde Risikolage schnell zu reagieren.

Kern so eines Informationssicherheitsmanagementsystems (ISMS) ist es, ein nachhaltiges sowie einheitliches Informationssicherheitsmanagement und ein angemessenes Mindestsicherheitsniveau zu gewährleisten. Diese Systeme sind in vielen Organisationen heute allerdings noch nicht vorhanden oder erst so schwach ausgeprägt, dass sie faktisch wirkungslos sind. Die Auswirkungen der Coronakrise haben jedoch gezeigt, dass die Bereiche, die über ein funktionsfähiges ISMS verfügen, große Vorteile hinsichtlich ihrer Anpassungs- und Reaktionsgeschwindigkeit bei gleichbleibend hohem Sicherheitsniveau haben.

Veränderte Bedrohungslage: ISMS anpassen

Eine grundlegende Eigenschaft eines ISMS ist seine Fähigkeit zur Veränderung, Erneuerung und Berücksichtigung von Entwicklungen, die beim ursprünglichen Aufbau noch nicht abzusehen waren. Um diese Fähigkeit zu erhalten und sie zu fördern, ist es von Zeit zu Zeit erforderlich, die grundlegenden Paradigmen des ISMS zu überprüfen. Auch hier kann es wiederum sinnvoll sein, für eine begrenzte Zeit auf externes Expertenwissen zurückzugreifen, das den Blick über den eigenen Tellerrand ermöglicht und den Einsatz moderner Technologien fördert.

In den vergangenen Monaten hat sich gezeigt, dass die im Einsatz befindlichen ISMS unter Berücksichtigung der veränderten Bedrohungslage nachjustiert werden müssen. Es müssen organisationsspezifische Maßnahmen definiert werden, die eine dynamische Reaktion auf krisenartige Entwicklungen ermöglichen. Beispielsweise kann der Aufbau von Krisenreaktionsteams erforderlich sein. Auch das Vorhalten von Equipment für sicheres Remote-Arbeiten kann sich als hilfreich erweisen. Zumindest müssen Pläne erstellt und geprobt werden, die operative Prozesse in einer aufkommenden Krise erhalten oder schnell wiederherstellen können.

Risikobegrenzung durch Kosten-Nutzen-Analyse

Bei den beschriebenen Prozessen geht es also immer darum, dass Risiko möglichst minimal zu halten ohne dafür Mittel in einem Umfang aufwenden zu müssen, die den angestrebten Nutzwert übersteigen. Um diesen Weg konsequent zu verfolgen, empfiehlt sich ein standardisiertes Vorgehen, dass sich an der ISO 31000 orientiert, dabei aber notwendige Abkürzungen für schnelle Reaktionen innerhalb der Norm zulässt. Die ISO 31000 eignet sich für ein zielgerichtetes Risikomanagement, weil sie einerseits auf Vollständigkeit der Betrachtung Wert legt, andererseits aber auch Freiräume in der Ausgestaltung und Umsetzung lässt.

Darüber hinaus ist es möglich, den Risikomanagementprozess an bereits bestehende Managementsysteme anzulehnen und von Erkenntnissen zu profitieren, die bereits in der Organisation vorhanden sind. Durch diesen ganzheitlichen Top-Down-Ansatz ist es möglich, tatsächlich wirksame Risiken effizient zu erkennen. Es kommt also nicht auf eine isolierte Betrachtung von IT-Risiken an, was zum Beispiel beim Vorgehen nach ISO 27005 oder BSI 200-3 der Fall wäre. Es werden vielmehr generalisierte unternehmerische Risiken erkannt, die zwar letztlich innerhalb der IT wirksam werden, deren Bewertung jedoch nur in der gesamtheitlichen Sicht möglich ist.

Langfristige Auswirkungen der Coronakrise auf die IT-Sicherheit

Covid-19 hat die Digitalisierung beschleunigt. Dies wird sich auch nach dem Ende der Krise fortsetzen. Darüber hinaus kristallisiert sich immer mehr heraus, dass viele auf Digitalisierung beruhende Business-Modelle nur dann erfolgreich umgesetzt werden können, wenn bei Planung, Umsetzung und Betrieb die Aspekte der IT-Sicherheit berücksichtigt werden. Kein Remote-Office ist ohne verschlüsselte VPN-Verbindungen denkbar, kein Kredit kann ohne verlässliche Identifizierung online beantragt werden. Smarte Mobilität und IoT sind nicht möglich, wenn das Risiko besteht, dass unberechtigt in Prozessabläufe eingegriffen wird und dadurch möglicherweise sogar Leben gefährdet werden. Durch den rasanten Aufschwung digitaler Lösungen hat sich die bereits vorhandene Bedrohungslage durch Cyberangriffe aber auch weiter verschärft. Es liegt auf der Hand, welch große Bedeutung der Absicherung von IT-Systemen, Informationen und Daten heute und in den kommenden Jahren zukommt.

Über den Autor: Jens Westphal ist Bereichsleiter bei den msg security advisors und vorrangig in den Feldern Public Sector und Kritische Infrastrukturen tätig. Er verfügt über mehr als 20 Jahre branchenübergreifende Erfahrungen in der Beratung von Organisationen und ist ausgewiesener Spezialist für Aufbau und Betrieb von Informationssicherheitsmanagementsystemen nach ISO 27001 oder IT-Grundschutz.

(ID:47698951)