Schluss mit den Ausreden – Security Policies gehen jeden etwas an

Policies sind zwingende Grundlagen für die IT-Security in Unternehmen. Hier steht, was erlaubt ist, wer es darf und wie es gemacht wird. Doch die Entscheider winden sich, sobald es an die Implementierung geht.

Beispielsweise hat eine kürzlich erstellte Studie von Steria Mummert Consulting ergeben, dass erst 19,4 Prozent aller deutschen Unternehmen bereits Vorkehrungen zum Schutz mobiler Sicherheit getroffen haben. Und das bei einer Situation, in der die Hälfte der Mitarbeiter in den befragten Firmen regelmäßig mobile Geräte wie Laptops, PDAs oder Handys geschäftlich nutzt.

Eine Richtlinie, eine so genannte Security Policy, wird also nicht einmal für diesen Bereich angewendet, über dessen Stolpersteine die Entscheider eigentlich bestens informiert sein sollten. Mehr noch, mit mehr als 18 Prozent gaben fast ebenso viele Entscheider offen zu, dass sie derzeit für mobiles Arbeiten inner- und außerhalb des Unternehmens keine Security Policy haben. Abgefragt wurde dies noch einmal gesondert, weil in Unternehmen mehrere Policies nebeneinander existieren können, die die verschiedenen Arbeitsbereiche gesondert betrachten, etwa eine für Sachbearbeiter, eine für den Außendienst und eine weitere für die Konfiguration der Firewall.

Es herrscht Einigkeit bei den Experten in Deutschland, dass dieser Zustand nicht haltbar ist. Bei Schulungsanbietern, Anwenderunternehmen, Security-Verantwortlichen und Arbeitsrechtlern wird aber auch das “Wie” betrachtet: Die einzelnen Security Policies oder auch die Sammlung abteilungsübergreifender Richtlinien sollte zwischen den Anwender- und Sicherheitsinteressen sinnvoll ausgewogen sein. Sie sollten den Mitarbeitern in Schulungen kompetent vermittelt und kontinuierlich an neue Entwicklungen angepasst werden. Soweit die Theorie. Aber braucht wirklich jeder ein neues Paket an Vorschriften? Die, die bereits damit umgehen, haben offenbar gute Erfahrungen damit gemacht.

Gründlichkeit bei Siemens

Da ist zum Beispiel Rolf Paprotka, Senior Manager Corporate Information Security von Siemens, der im Konzern auf eine echte Tradition der Security Policies verweisen kann: “Es gibt bei Siemens bereits seit 1991 Regelungen zur Informationssicherheit (Security Policies), die fortlaufend aktualisiert werden. Sie umfassen das Spektrum, das inzwischen durch den internationalen Standard ISO/IEC 17799 definiert ist. In IT-relevanten Bereichen mit hohem Risiko wie beispielsweise Geschäftspartneranschlüsse, Netzwerke, Internet- und Fernzugang gibt es Policies, die möglichst bis hin zu erforderlichen Sicherheitseinstellungen auf den Systemen reichen.”

Dabei bestehe allerdings immer wieder Anpassungsbedarf aufgrund technischer, organisatorischer oder auch räumlicher Veränderungen sowie aufgrund neuer, bislang unbekannter Risiken und Bedrohungen. “Übergeordnete Policies werden bei Bedarf aktualisiert, beziehungsweise mindestens jährlich überprüft und aktualisiert”, sagt Paprotka. Bei technisch orientierten Policies erfolgt das quartalsweise. Dabei funktioniere das Kontrollsystem gemäß Sarbanes-Oxley Act, das heißt, es überprüft auch die Aktualität der Policies.

Doch die schönste Policy hilft nichts, wenn sie nur in der Schublade liegt, weiß Paprotka. Daher hat der Konzern aufgrund seiner Security-Erfahrung bereits ein eigenes Team aufgesetzt, das hierarchisch und abteilungsübergreifend in Spezialgebieten organisiert ist und durch Technik ergänzt wird. “Bei Siemens besteht eine InfoSec-Organisation in den Unternehmenseinheiten weltweit, die vor Ort die Zielerreichung zur Informationssicherheit unterstützt”, erklärt er.

Lernen aus dem Information Overkill

Die Verantwortlichkeiten zur Informationssicherheit seien definiert und in den Organisationsplänen ausgewiesen. Darüber erfolgten regelmäßige Berichterstattungen über den erreichten Stand. Technische Maßnahmen würden in den Service-Leveln mit den Service-Providern vereinbart. Die Reißleinen sind dabei vielfältig: “Kontrollen erfolgen sowohl durch das Service-Management, die InfoSec-Organisation, als auch durch einen technischen Kontrollservice, der permanent weltweit alle IT-Systeme bei Siemens auf Verwundbarkeiten überprüft. Mit ergänzenden Prozessen werden erkannte Verwundbarkeiten umgehend behoben.” Und auf die Frage, wie dies alles dauerhaft in den Köpfen der Mitarbeiter bleibt, sagt Rolf Paprotka: “Zur Verbesserung der Akzeptanz erfolgen Maßnahmen zur Bewusstseinsbildung bei Führungskräften und Mitarbeitern.”

Bei dem amerikanischen Konzern CA, der eine große Niederlassung in Deutschland hat und auch Software für Sicherheitsfragen herstellt, sieht das ähnlich aus. William M. Taub, Vice President Enterprise Security bei CA in Islandia, New York, beschreibt, dass der Konzern innerhalb der verschiedenen Bereiche bei CA ein breites Spektrum an Security Policies im Einsatz hat. “Diese Bereiche haben wir durch Risk Modeling identifiziert; der Einsatz so genannter Heat-Maps legt fest, wo wir Policies benötigen”, sagt er. Cobit-Lösungen und andere vergleichbare Risk Frameworks finden hier Verwendung. Sensible Bereiche sind bei CA intern, beispielsweise die Verwendung von Wireless-Technologie oder die Verwendung von Equipment, das nicht CA gehört, das Ermitteln und Gewähren von Zugangsberechtigungen sowie Antivirus- und systemsicherstellende Policies.