Am 10.02.2022 war Christopher Stradomsky, Informationssicherheitsexperte Audits/Zertifizierungen bei der datenschutz cert GmbH, zu Gast beim ersten lmbit B3S Krankenhaus-Stammtisch. Seinen Impulsvortag zum Thema „Informationssicherheit – Ein ganzheitlicher Ansatz“ können Sie sich in voller Länge als Video bei YouTube ansehen.
Kurzfassung des Impulsvortrages:
Im Vortag von Christopher Stradomsky geht es darum, Informationssicherheit in Unternehmen und Organisationen ganzheitlich zu betrachten und das betrifft natürlich insbesondere das Informationssicherheits-Managementsystem (ISMS). Oft ist das Wissen über Informationssicherheit auf die für das ISMS verantwortlichen Personen – meist in der IT-Abteilung – begrenzt und dringt gar nicht nach außen zu den anderen Mitarbeitenden durch. Warum eine fehlende ganzheitliche Betrachtung (Zusammenspiel zwischen technischer Lösung, Anwendung/Bedienung, Sensibilisierung der Mitarbeitenden) oft fatale Folgen haben kann, schildert Stradomsky anschaulich in seinem Vortrag anhand von verschiedenen Beispielen aus der Praxis. Dabei nennt er auch wichtige Fragen im Zusammenhang mit der Informationssicherheit, die in Unternehmen und Organisationen (immer wieder) gestellt werden sollten.
Wo beginnt eigentlich Informationssicherheit in einem Unternehmen, einer Behörde, einer Organisation etc.? Bei der Sensibilisierung der Mitarbeitenden? Stradomsky zeigt hier Beispiele aus der Presse der vergangenen Jahre über Fälle, in denen Mitarbeitende alte Hardware (z. B. Laptops, Festplatten) entsorgt bzw. zu diesem Zweck verkauft haben, ohne, dass die sich darauf befindlichen (personenbezogenen) Daten vorab gelöscht wurden. Kein Einzelfall und leider auch immer noch ein aktuelles Thema. Was bei den Lesern einer solchen Nachrichtenmeldung noch für ein Schmunzeln sorgt, finden die Betroffenen sicher weniger lustig.
Mitarbeitende im Umgang mit personenbezogenen Daten (Umfang, Speicherung, Zugang, Löschung etc.) zu sensibilisieren und auch den Faktor Anwendungs-/Bedienungsfehler ausreichend zu berücksichtigen, ist ein sehr wichtiger Punkt der ganzheitlichen Betrachtungsweise. Eigentlich beginnt diese aber schon bei der Kabelverlegung, also bei der Planung und Umsetzung der IT-Infrastruktur. Ja, auch dabei unterlaufen (unglaubliche) Fehler. Direkt gefolgt von recht eigenwilligen „Kühlkonzepten“, um eine Überhitzung im Serverraum und damit einen möglichen Brand zu verhindern. Hier zeigt Stradomsky in seinem Vortrag Beispielbilder, die einen nur kopfschüttelnd zurücklassen. Aber auch die unbeabsichtigte Preisgabe von Daten durch Mitarbeitende können für Unternehmen und Organisationen zum Problem werden.
Potenzielle Schwachstellen in der Informationssicherheit werden oft übersehen, wenn ein Prozess nicht von allen Seiten betrachtet wird: Mal liegt der Fokus auf der technischen Lösung und der Faktor Mensch wird vergessen – oder anders herum. Nur wer die gesamte Prozesskette durchdenkt, wird Fehler aufdecken können. Auch gilt es, einmal festgelegte Prozesse (z. B. Zutrittskontrollen) im Blick zu behalten und kontinuierlich zu überprüfen. Dabei sollten sich die Verantwortlichen die Frage stellen: Sind die Mechanismen, die einmal etabliert wurden, eigentlich noch wirksam oder sollten sie aktualisiert werden?
Vertrauen ist gut, Kontrolle ist besser! So lautet ein bekanntes Sprichwort. Mit Blick auf die Mitarbeitenden geht es in der Informationssicherheit jedoch auch darum, dass sich alle angewöhnen, nicht blind auf die (verwendeten oder neuen) IT-Systeme zu vertrauen, sondern auch mal zu hinterfragen: Wozu dient das oder wer hat das so eingerichtet? Nur so können Fälle von z. B. Spionage festgestellt werden.
Angreifer nutzen das schwächste Glied in der Sicherheitskette aus! Ist ein Unternehmen bzw. eine Organisation technisch hervorragend aufgestellt, dann liegt der Fokus der Angreifer auf den Benutzern. Umgekehrt können die Mitarbeitenden noch so sensibilisiert sein für Cyberattacken o. Ä., wenn die Technik veraltet und unsicher ist. Neben Angriffen von außen, kommen natürlich auch Bedienfehler im Arbeitsalltag vor. Hier sollten im Vorfeld alle möglichen Szenarien (angefangen z. B. bei der Passworteingabe für den PC am Arbeitsplatz) durchgespielt werden. Welche Fehler können durch Verwender vorkommen, welche Probleme (nach der falschen Eingabe wird bspw. der Zugang gesperrt) folgen daraus und wie sieht es dann mit der Schadensminimierung aus?
Fehler in der Anwendung und Bedienung der IT kommen öfter vor – wichtig ist es daher, proaktiv damit umzugehen. Sowohl durch entsprechende technische Vorkehrungen als auch durch eine Sensibilisierung der Mitarbeitenden. Und in diesem Zusammenhang nennt Stradomsky noch einen wichtigen Punkt für einen ganzheitlichen Ansatz in der Informationssicherheit: die Zielgruppenorientierung. Die besten Regeln und Schulungsmaßnahmen nützen im Alltag wenig, wenn sie inhaltlich nicht verstanden werden oder aber der Sinn der Regel für die Anwender nicht klar erkennbar ist. Schulungen und Regelwerke zur Informationssicherheit müssen die Mitarbeitenden dort abholen, wo sie stehen und die Relevanz für das eigene Handeln muss deutlich werden. Nur so können die Maßnahmen auch zum Erfolg führen, d. h. für mehr Sicherheit sorgen.
Ein ISMS einzuführen ist ein Projekt, das ein Projektmanagement erfordert und auf Ganzheitlichkeit ausgelegt sein sollte: Das bedeutet in der Umsetzung, alle Abteilungen einzubeziehen, auch das schwächste oder kleinste Glied in der Kette zu berücksichtigen (bspw. Prozesse bis zur Ebene der Auszubildenden zu durchdenken) und technische Lösungen zur Informationssicherheit so bedienerfreundlich wie möglich zu gestalten. Dass auch große Unternehmen oder öffentliche Einrichtungen so ihre Probleme mit der Informationssicherheit haben – als Beispiel nennt Stradomsky u. a. Sicherheitslücken in der elektronischen Patientenakte –, bedeutet nicht, dass man diesen Zustand hinnehmen sollte. Im Gegenteil! Und gute Lösungen für Sicherheitsprobleme darf man sich auch gerne zum Vorbild nehmen, um es selbst besser zu machen.