Kritische Erfolgsfaktoren für InformationssicherheitsProgramme

Über die vergangenen zwei bis drei Jahre haben die rasant zunehmenden Cyberbedrohungen ganze Unternehmensfunktionen, Wirtschaftssektoren und sogar Länder in Alarmbereitschaft versetzt:

• Vor vier Jahren sprach kaum ein CFO/Finanzchef von Cyberrisiken; heute werden sie von CFOs/ Finanzchefs regelmässig als eine der beunruhigendsten Bedrohungen genannt1 .
• Vor zwei Jahren war Cybersecurity nicht einmal eine Top-10-Herausforderung für Energiekonzerne in den USA. Heutzutage bewerten Industrieexperten Cybersecurity als eine ihrer vier dringlichsten Herausforderungen2 .
• Seit 2010 bewertet Grossbritannien Cybersecurity als eine Bedrohung höchster Priorität für die nationale Sicherheit, gleichrangig mit Terrorismus, militärischen Konflikten und Naturkatastrophen3 . In der Schweiz werden Cyberangriffe in die militärische Planung mit einbezogen4 .

Nachholbedarf wird erkannt

Organisationen, deren Bewusstsein für die Cyberbedrohung sensibilisiert wurde, erkennen oft, dass sie signifikanten Nachholbedarf haben und dass punktuelle Nachbesserungen nicht ausreichen, um vergangene Versäumnisse aufzuholen. In diesen Fällen werden deshalb aufwendige Informationssicherheits-Programme lanciert, die mit einem Portfolio von Projekten über Jahre hinweg Sicherheitslücken nachhaltig und auf breiter Front beheben sollen. Obgleich solche Programme oft der richtige Schritt sind, ist ihr Erfolg sehr von der Erfahrung der Programmleitung im Umgang mit Ihnen abhängig.

Voraussetzungen für den Erfolg

Dieser Artikel kann etablierte Managementmethoden wie PRINCE2, MSP (Managing Successful Programs), MoP (Management of Portfolios) oder die PMI Standards nicht ersetzen, sondern soll sie nur im Hinblick auf Besonderheiten bei Informationssicherheits-Programmen ergänzen. Für solche Programme zeigt die Erfahrung, dass neben dem effektiven Einsatz etablierter Managementmethoden insbesondere fünf Eigenschaften der Programmleitung essenziell wichtig für den Programmerfolg sind:

1. Strategisches Denken
2. Technische Expertise in Sicherheits- und Risikobelangen
3. Prozess- und organisatorisches Denken
4. Starke Governance und ausgeprägte Kommunikationsfähigkeit
5. Absolute Integrität

Diese Führungseigenschaften sind essenziell wichtig, weil «Informationssicherheit» und «Risiko» sehr breite Interessengruppen (Stakeholder) betreffen, die Konzepte aber gleichzeitig recht abstrakt und für viele Menschen «ungreifbar» sind. Das Führungsteam eines Sicherheits-Programms muss daher technologisch sattelfest sein und Management- und Kommunikationsfähigkeiten besitzen, um alle Interessengruppen effektiv einzubeziehen und zu leiten.

Die fünf Erfolgsfaktoren

Strategisches Denken ist wichtig, da Sicherheits-Programme oft mit einem generellen Problembewusstsein oder einer Vision beginnen. Diese Vision muss in eine Strategie umgesetzt werden, die klar darlegt, was die Sicherheitsschwachstellen und die damit verbundenen Risiken sind, welche Lösung erforderlich ist, welches die Erfolgskriterien und wie hoch die erwarteten Kosten sind. Eine solche Strategie ist die Voraussetzung, um ein Budget gesprochen zu bekommen. Die Strategie muss ferner fortlaufend aktualisiert werden, um die Kontinuität des Programms zu gewährleisten. Kontinuität ist eine wichtige Herausforderung, da Sicherheits-Programme oft über mehrere Jahre hinweg laufen und im heutigen Kostenumfeld regelmässig gegen Budgetkürzungen gerechtfertigt werden müssen.

Technische Expertise in Sicherheitsund Risikobelangen ist erforderlich, da der Erfolg eines Sicherheits-Programms nicht darin besteht, einzelne Tools oder Technologien zu installieren. Vielmehr besteht der Erfolg darin, Sicherheitsrisiken nachhaltig zu reduzieren. Hierzu muss zwischen alternativen Technologien eine Risiko-intelligente Wahl getroffen werden. Technologien müssen korrekt konfiguriert werden und sie müssen in Prozesse eingebettet werden, die ihre Effektivität nachhaltig sicherstellen. Da es in der Praxis keine 100%ige Sicherheit gibt, muss die Programmleitung kontinuierlich Alternativen abwägen und mit den diversen Interessengruppen optimale Entscheide herbeiführen – immer unter Berücksichtigung der erreichbaren Risikoreduktion, der verbleibenden Restrisiken und der anfallenden Kosten- und Zeitaufwendungen. Hierfür ist signifikantes technisches Sachverständnis erforderlich.

Prozess- und organisatorisches Denken sind unabdingbar, weil Sicherheitsmassnahmen kontinuierlich gewartet werden müssen, damit sie effektiv Risiken reduzieren. Zum Beispiel ist ein «Intrusion Detection System» von wenig Nutzen, wenn dessen Alarme nicht überwacht werden und die Regeln, die zur Erkennung von Attacken eingesetzt werden, nicht gewartet werden. Organisatorisches Denken ist wichtig, weil Sicherheitstechnologien oft global eingeführt werden und eine effektive Lösung die Anforderungen einzelner Geografien oder Divisionen berücksichtigen muss, wie z.B. Landesrecht oder die Autonomie einzelner Divisionen oder Inkompatibilitäten mit etablierten Systemen.

Starke Governance und ausgeprägte Kommunikationsfähigkeit werden benötigt, weil Sicherheit viele Interessengruppen innerhalb einer Organisation betrifft. Dies umfasst diverse IT-Abteilungen, Sicherheitsund Risikoverantwortliche, Audit, Business-Divisionen (deren Daten betroffen sind und die eventuell auch als Sponsor agieren), Betrugsermittlung, die Rechtsabteilung, und Datenschutzbeauftragte. Um mit diesen Interessensgruppen die oben beschriebenen Abwägungen bzgl. alternativer Technologien, Konfigurationen oder Prozessanbindungen zu treffen, benötigt es effektive Governance-Strukturen und eine Programmleitung, die technische Sachverhalte umfassend und allgemein verständlich darlegen kann, um so Entscheidungen herbeizuführen. Fehlt diese Governance, so bleiben Programme angreifbar, wenn individuelle Interessengruppen mit Entscheidungen nicht einverstanden sind. Obgleich dieses Problem nicht spezifisch für Sicherheits-Programme ist, ist es dort wegen der vielen Interessengruppen besonders ausgeprägt.

Absolute Integrität ist eine Pflichtvoraussetzung für die Programmleitung, da sie durch ihr strategisches Arbeiten, die technische Expertise und die Kommunikation mit diversen Interessengruppen sehr viele Entscheidungen beeinflussen kann. Die Programmleitung muss daher apolitisch sein und jederzeit das Ziel verfolgen, das zu tun, was im besten Interesse der Organisation ist.

Fazit: Einsatz bewährter Managementmethoden

Informationssicherheits-Programme werden immer häufiger gestartet, um mit eskalierenden Cyberbedrohungen Schritt zu halten. Wie bei allen Programmen ist es wichtig, bewährte Managementmethoden wie PRINCE2, MSP oder MoP einzusetzen. Sicherheits-Programme sind aber in gewisser Weise einzigartig, da «Informationssicherheit» und «Risiko» fast jedermann in einer Organisation betreffen und dennoch abstrakt und schwer fassbar sind. Dies fordert Programmleitungen in besonderem Masse, insbesondere im Hinblick auf die fünf oben genannten Erfolgsfaktoren.