IT-Sicherheit ist Teil des Krisenmanagements

Lesen Sie den originalen Artikel: IT-Sicherheit ist Teil des Krisenmanagements


IT-Sicherheit ist ein relevanter Bestandteil des Krisenmanagements..

Ein Krisenmanagement, das auch die IT-Sicherheit berücksichtigt, sollte auf plötzlich aufkommende und underwartete Risiken vorbereitet sein. Aus Risikosicht sind Krisen sehr selten, dann aber existenzbedrohend; gepaart mit dem plötzlichen Aufkommen bleiben Unternehmen nur geringe Reaktionszeiten. Diese verstärken sich insbesondere, wenn keine Vorbereitungen im Sinne eines Business Continuity- und Krisenmanagements getroffen wurden.

Aufgrund dieser kurzen Reaktionszeiten wird der Fokus bei der Behandlung auf die Eindämmung der Krise und der Wiederherstellung des Geschäftsbetriebs gelegt. Aspekte wie die Sicherheit von sensiblen Unternehmensinformationen bleiben hierbei oftmals unberücksichtigt. Einerseits werden die Informationssicherheitsaspekte bewusst ignoriert und Risiken eingegangen, da die Zeit hierfür vermeintlich nicht ausreicht. Andererseits wird der Schutz der Unternehmensinformationen schlichtweg vergessen.

IT-Sicherheit ist „systemkritisch“

Aber Informationssicherheit im Rahmen der Krisenbewältigung nicht zu berücksichtigen, kann die eigentliche Krise verschlimmern oder in die nächste Krise führen. Zudem können im Rahmen einer Krise weitere Probleme auch das endgültige Scheitern bedeuten. Wenn beispielsweise in einer Krise mit eingeschränktem Personal und verstärkter IT-Nutzung aus dem Homeoffice gearbeitet wird, kann der Ausbruch eines Krypto-Trojaners den provisorischen Notbetrieb komplett zum Erliegen bringen. Auch könnte auf die mühsame Krisenbewältigung gleich die nächste Krise folgen, wenn etwa die vertraulichen Unternehmensdaten aufgrund von Schwachstellen unbemerkt abgezogen und veröffentlicht wurden. Die internationale Norm ISO/IEC 27001 hat diesen Aspekt schon früh berücksichtigt. In ihr wurde bereits beim Versionswechsel der ersten Ausgabe (2005) zur zweiten Ausgabe (2013) das Kontrollziel „Business Continuity Management“ durch „Informationssicherheitsaspekte beim Business Continuity Management“ ersetzt. Bei letzterem gilt es sinngemäß bereits bei der Planung, Implementierung und Prüfung von Business Continuity Maßnahmen die Anforderungen an die Informationssicherheit zu berücksichtigen.

Informationssicherheit im Rahmen des Krisenmanagements berücksichtigen

In der Praxis bedeutet das, bei der Behandlung einer Krise kurz innezuhalten und die Gedanken zu sammeln. Eile und Panik können zu Schwachstellen führen. Daher müssen Vertraulichkeit, Integrität und Verfügbarkeit von Geschäftsinformationen in allen Phasen des Krisenmanagements wie im Regelbetrieb geschützt werden. Dies beginnt bereits im Rahmen der Eskalationsphase (zum Beispiel Zusammensetzung eines Krisenstabs) und wird fortgesetzt bei der Gestaltung und Durchführung der Maßnahmen zur Krisenbewältigung sowie deren Rückführung in den Regelbetrieb sowie schließlich auch in der Nachbereitungsphase. Eine Grundvoraussetzung ist es demnach, den Informationssicherheitsbeauftragten sowie auch den Datenschutzbeauftragten frühzeitig im Rahmen des Krisenmanagements und insbesondere bei der Planung von Maßnahmen einzubinden.

Bei der Planung von Maßnahmen zur Krisenbewältigung sollte dann von einem idealen Ansatz ausgegangen und anhand der aufkommenden Herausforderungen zunächst nach Alternativen gesucht und erst dann schrittweise Abstriche gemacht werden. Bei den Planungen sowie bei den Abstrichen sollten der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte unterstützen, die Risiken für Informationen aufzuzeigen und behandelnde Maßnahmen zu entwickeln. Dies betrifft nicht nur die Maßnahmen für die Informationstechnik. Auch Maßnahmen hinsichtlich des Standorts, eingesetzter oder einzusetzender Dienstleister sowie des Personals sollten bei der Bewertung berücksichtigt werden.

Ab nach Hause

Eine typische Maßnahme in der aktuellen Covid-19-Krise stellt beispielsweise das Homeoffice dar. Mitarbeiter sollen ihren Tätigkeiten aus den heimischen Räumlichkeiten nachgehen. Im Idealfall stehen den Mitarbeitern mobile Endgeräte des Unternehmens zur Verfügung, und die Mitarbeiter sind für die mobile Arbeit und den Umgang mit Informationen sowohl digital als auch analog (zum Beispiel in Papierform oder gesprochenem Wort) entsprechend sensibilisiert.

Aber insbesondere Unternehmen, die normalerweise keine Heim- oder mobile Arbeit vorgesehen haben, stehen hier vor Herausforderungen. Die Mitarbeiter sind nicht für die Heimarbeit sensibilisiert. Vertrauliche Informationen auf dem Bildschirm oder auf geschäftlichen Papierunterlagen können von Mitgliedern des Haushalts, Besuchern und je nach Wohnlage sogar Personen außerhalb (zum Beispiel Nachbarn) gelesen werden. Ebenso können vertrauliche Telefonate mitgehört werden. Hier kann der persönliche Kontakt zu den Mitarbeitern, beispielsweise täglich durch die Führungskraft, helfen, die Sensibilisierung aufzubauen. Dieser regelmäßige telefonische Kontakt kann den Mitarbeitern ein wenig Stabilität in einem flexiblen Umfeld geben.

Darüber hinaus ist die kurzfristige Beschaffung und Einrichtung mobiler Endgeräte für Unternehmen in der Regel nicht möglich. Daher wird oftmals erlaubt, mit den privaten Endgeräten zu arbeiten. Bei diesen sowie der privaten Netzwerkumgebung ist jedoch nicht sichergestellt, dass sie dem notwendigen Sicherheitsniveau des Unternehmens entsprechen. Denn nicht alle Mitarbeiter sind IT-Experten. Und selbst wenn dem so wäre, sind die Mitarbeiter sehr selten hinsichtlich ihrer privaten Umgebung an die Weisungen ihres Arbeitgebers gebunden.

Nutzung privater Endgeräte

Es kann also beispielsweise nicht davon ausgegangen werden, dass die Systeme alle aktuellen Sicherheitsupdates und einen aktuellen Virenschutz enthalten. Weiter werden die privaten Endgeräte auch von Mitgliedern des Haushalts mitgenutzt, die hinsichtlich einer Kommunikation von Weisungen gar nicht erreichbar sind. Auch kann es sein, dass Anmeldedaten zu firmeninternen Systemen auch nach der Homeoffice-Phase auf dem privaten Endgerät gespeichert bleiben.

Ein spontanes Bereitstellen von Zugriffen über private Endgeräte für alle Mitarbeiter sollte dementsprechend vermieden werden. Vielmehr sollte der Zugriff aus dem Homeoffice erst einmal geplant und schrittweise vorgegangen werden. Die Planung sollte dabei berücksichtigen, welche Mitarbeiter zeitkritische Aufgaben erledigen und welche Mitarbeiter mit sensiblen Informationen arbeiten. Im Fokus stehen entsprechend Mitarbeiter, die zeitkritische Aufgaben wahrnehmen und dabei sensible Informationen verarbeiten. Hier müssen Lösungen entwickelt werden, wie diese sicher arbeitsfähig werden. Dies könnte beispielsweise über die temporäre Übernahme von sicheren mobilen Endgeräten von Mitarbeitern ohne kritische Aufgaben und ohne Zugriff auf sensible Informationen erfolgen. Alternativ könnten gegebenenfalls auch die stationären Arbeitsrechner ins Homeoffice mitgenommen werden.

Schnell in die Cloud

In diesem Zusammenhang kann die Nutzung von Cloud-Diensten eine pragmatische Maßnahme in Krisenfällen darstellen, da die Anwendungen aus der Wolke ohne weitere technische Maßnahmen im lokalen Netzwerk einsetzbar sind. Auch ist gerade der Einsatz von Cloud-Anwendungen verlockend, da sie sofort zur Verfügung stehen und mit diversen Cloud-Anwendungen ein gemeinsames Arbeiten aus dem Homeoffice ermöglichen können.

Auch bei der Überlegung, Cloud-Anwendungen für die Verarbeitung von Firmendaten zu verwenden, sollte nicht überstürzt entschieden werden. Vielmehr sollten neben dem IT-Betrieb auch die Stakeholder aus der Informationssicherheit und dem Datenschutz in die Entscheidungsfindung einbezogen werden. Cloud-Anwendungen sind in der Regel auf ein breites Publikum ausgelegt und daher nicht unbedingt für die Verarbeitung von streng vertraulichen Daten geeignet. Im Rahmen der Datensouveränität sollte auch darauf geachtet werden, wo die Daten verarbeitet und gespeichert werden. Es sollte ein Prozess definiert werden, der ein schrittweise Einführung einer oder mehrerer Cloud-Anwendungen ermöglicht.

Im ersten Schritt werden mögliche Cloud-Anwendungen, die die notwendige Funktionalität mitbringen, hinsichtlich ihres Nutzens und möglicher Risiken untersucht. Dabei sollte beachtet werden, dass eine sichere Datenverarbeitung in der Cloud nur erfolgen kann, wenn sowohl Cloud-Provider als auch Cloud-Kunde ausreichende Sicherheitsmaßnahmen ergriffen haben. Die Sicherheitsmaßnahmen des Cloud-Providers weist dieser häufig durch Zertifizierungen des Cloud-Dienstes nach.

Phishing-Angriffe nehmen zu

Nach einem Abwägen der Risiken und des Nutzens wird dann eine Entscheidung getroffen, die nachfolgend umgesetzt wird. Dabei sollte die Entscheidung auch umzusetzende Sicherheitsmaßnahmen beinhalten. So kann entschieden werden, dass die Cloud-Anwendung erst einmal für eine Fachabteilung eingeführt wird oder um die internen Daten zu schützen, wird die Cloud-Anwendung nicht an lokale Systeme gekoppelt. Anschließend wird die Wirksamkeit der Maßnahmen festgestellt. Hier können beispielsweise viele fehlerhafte Anmeldungen an der Cloud-Anwendung darauf hindeuten, dass die Mitarbeiter eventuell die lokalen und die Cloud-Anmeldedaten verwechseln. In diesem Fall kann überlegt werden, ob die Maßnahme, keine lokalen Systeme mit der Cloud-Anwendung zu koppeln, überdacht wird, denn wenn die Mitarbeiter unsicher im Umgang mit ihren Anmeldedaten sind, dann besteht auch die Gefahr, dass bei Phishing-Angriffen, die in der Covid-19-Krise zugenommen haben, Anmeldedaten gegebenenfalls eher herausgegeben werden.

Ein Ausstieg aus der Cloud-Anwendung kann beispielsweise in Frage kommen, wenn eine Funktionalität, die für die Arbeit wichtig war, nicht mehr zur Verfügung steht. Im Rahmen des Ansturms auf Cloud-Dienste im Rahmen der Covid-19-Krise waren Cloud-Anbieter teilweise an Ressourcengrenzen gestoßen und hatten daraufhin teilweise Funktionalitäten eingeschränkt. Damit in einem solchen Fall der Ausstieg gelingt, sollte in Schritt 2 bereits eine Exit-Strategie definiert worden sein. In der Exit-
strategie werden die Möglichkeiten der Datenportabilität von der Cloud-Anwendung zu einer anderen Cloud-Anwendung oder zu den lokalen Systemen betrachtet.

Ergo: Sicher bleiben

Der Schutz von Informationen ist ein relevanter Bestandteil des Krisenmanagements. Denn eine unsichere Fortführung der Geschäftsprozesse im Krisenfall kann die aktuelle Krise verschlimmern oder in die nächste Krise führen. Eine bedachte Vorgehensweise unter Berücksichtigung von Informationssicherheit und Datenschutz bei der Maßnahmenentwicklung ist dementsprechend essentiell für eine souveräne Krisenbewältigung. Grundsätzlich braucht es hier aber lösungsorientierte und teilweise kreative Ansätze, um aus den vorhandenen Ressourcen eine sichere Übergangslösung für die Krise zu schaffen. Diese wird nicht immer dem Sicherheitsniveau des Normalbetriebs entsprechen können. Ziel sollte es aber immer sein, die bestehenden Informationssicherheits- und Datenschutzrisiken der Übergangslösung transparent zu machen und auf ein möglichst akzeptables Maß zu reduzieren.

Prof. Dr. Timo Kob, Vorstand der Hisolutions AG; Inés Atug und Robert Manuel Beck, beide Security Consultant der Hisolutions AG


Lesen Sie den originalen Artikel: IT-Sicherheit ist Teil des Krisenmanagements