Der Begriff Informationssicherheitsmanagementsystem ist nicht nur lang, sondern die Einführung eines solchen ISMS kann auch organisationsintern langwierig sein. Die Gründe sind vielfältig und reichen vom Geld, das nicht ausgegeben werden soll, über Uneinsichtigkeit bis zu einer mangelnden Umstellungsbereitschaft der Mitarbeiter- und Entscheiderebene in Richtung eines Kulturwandels. Was es auf dem steinigen Weg zu einem professionellen ISMS braucht, beantwortet uns Stephanie Lepski, Geschäftsführerin der RUCON Service GmbH, einem Tochterunternehmen der RÜHLCONSULTING Gruppe, in unserem Interview.
3GRC: Es vergeht fast kein Tag ohne Pannen in puncto IT-Sicherheit. Woran liegt es, dass Unternehmen nichts aus den teuren und reputationsschädigenden Fehlern lernen?
Stephanie Lepski: In diesem Zusammenhang sehe ich vor allem drei Aspekte. Erstens herrscht vielfach die Meinung, dass Informationssicherheitspannen nur bei anderen passieren können. Ein Trugschluss, wie die täglichen Vorfälle zeigen. Zum zweiten mangelt es in Unternehmen häufig an Methoden und Ansätzen, wie beispielsweise Analyseansätze, um aus Fehlern zu lernen. In diesem Zuge wird vielfach nur auf die Fehler einzelner Mitarbeiter abgezielt und weniger der Gesamtprozess gesehen. Und drittens zeigt sich in der täglichen Praxis immer wieder, dass es an Risikobewusstsein fehlt. Maßnahmen der Informationssicherheit kosten Unternehmen erst einmal Geld. Der Return-on-Security Invest wird häufig von Unternehmen nicht gesehen, nicht bewertet oder kann nicht bewertet werden. Das läuft dann unter dem Aspekt und der großen Fragestellung: Was haben wir durch Maßnahmen an Schäden vermieden?
3GRC: Was braucht es Ihrer Meinung nach, um Informationssicherheit den Platz in Unternehmen einzuräumen, der notwendig wäre?
Stephanie Lepski: Hier sehe ich an oberster Stellt das wirkliche Interesse des Top Managements, Informationen als wertvolle Unternehmenswerte zu verstehen, die geschützt werden müssen. Denn letztendlich hängt daran auch die Reputation des Unternehmens. Es braucht also eine entsprechend wirksame Verankerung der Informationssicherheit im gesamten Unternehmen. Den Mut, Maßnahmen zu ergreifen, auch wenn der oben beschriebene Return-on-Security Invest nicht sofort erkannt werden kann.
3GRC: Im Mittelpunkt der Betrachtung steht vielfach der Mitarbeiter. Er sei entscheidend im Gesamtprozess der Informationssicherheit. Doch was tun Unternehmen, um den Kollegen, die Kollegin, an der richtigen Stelle abzuholen oder was sollten sie vielmehr tun?
Stephanie Lepski: Das stimmt in zweierlei Hinsicht. Zum einen wird bei einem Informationssicherheitsversagen schnell Richtung Mitarbeitern geschielt. Zum anderen müssen Mitarbeitende regelmäßig sensibilisiert werden, was den Umgang mit Maßnahmen der Informationssicherheit angeht. Eine wichtige Botschaft für alle Mitarbeiter muss beispielsweise lauten, keine Anhänge in Mails zu öffnen, die man nicht erwartet. Gleiches gilt für das Anklicken von Links in Mails. Leider werden Sensibilisierungsmaßnahmen hierzu im Arbeitsalltag vielfach als behindernd eingeschätzt, die den Arbeitsprozess verlangsamen. Doch diese Sicht ist zu kurz gedacht, wie die vielen Vorfälle in Unternehmen zeigen.
3GRC: Der Fisch stinkt etwas provokativ formuliert vom Kopf her. Übertragen auf die Entscheiderebene und die Informationssicherheit geht gerade die Führungsmannschaft nicht immer mit gutem Beispiel voraus. Woran liegt das Ihrer Meinung nach und wie ließe sich das ändern?
Stephanie Lepski: Was für Mitarbeiter zählt, trifft ebenso auf die Führungsebene von Unternehmen zu. Sprich, auch hier liegt die Ursache in der ebenfalls gefühlten oder tatsächlichen Arbeitsbehinderung. Es muss schnell gehen, bequem sein, darf nicht umständlich sein. Doch Vorsicht: Bequem ist nicht sicher. Sicher nicht bequem. Und gerade beim Thema Informationssicherheit sollten Vorgesetzte mit gutem Beispiel vorangehen. Sonst verpuffen die angestrebten Maßnahmen.
3GRC: Prozesse sind ein Dauerthema in Organisationen. Welche Strategie verfolgen Sie in Ihrer Beratung beim Thema Informationssicherheit?
Stephanie Lepski: Für uns ist besonders wichtig, Informationssicherheit direkt in die Geschäftsprozesse einzubinden und dort zu sehen, welchen Informationen an diesen Stellen fließen und deshalb geschützt werden müssen. Hierzu verfolgen wir einen Ansatz, der mit sogenannten Business-Impact-Analysen die Einschätzung der Prozesseigentümer in das Informationssicherheitsrisikomanagement hereinholt. In unseren Gesprächen weisen wir zudem immer darauf hin: Ein ISMS ist ein Risikomanagementsystem für Geschäftsrisiken, kein IT-Risikomanagementsystem, auch wenn das gerne anders gesehen wird und damit zu kurz greift.
3GRC: Normen und Standards sind theoretisch das eine. Die praktische Umsetzung der Informationssicherheit im Unternehmensalltag ist etwas ganz anderes. Was empfehlen Sie Organisationen, die sich mit dem Thema Informationssicherheit und der Einführung eines ISMS beschäftigen, um die handelnden Personen nicht zu überfordern und ein wirkungsvolles ISMS zu integrieren?
Stephanie Lepski: Wichtig ist eine zielgruppenbezogene ISMS-Dokumentation. Das heißt, es braucht klare Antworten auf die Fragen: Was muss wer wissen? Welche Handlungsanweisung braucht welche Personengruppe im Alltag? Hinzu kommt die rollenbasierte Schulung zum ISMS. Damit wird sichergestellt, dass ein Anwender nicht mit Anforderungen aus dem IT-Betrieb überfordert wird. Auf der anderen Seite sollte ein IT-Administrator aber ausreichend tiefe Handlungsanweisungen für seinen Alltag erhalten. Darin lässt sich erkennen, dass die Einführung eines ISMS eine vielschichtige und zugleich sensible Angelegenheit ist, die nicht mal nebenbei durchzuführen ist.
3GRC: Eine ausgeprägte Unternehmenskultur ist eine der tragenden Säulen für den gesamten Informationssicherheitsprozess. Doch wie sollen Organisationen dies erreichen, wenn selbst einfachste Mitarbeiterprogramme zur Sensibilisierung oder im Schulungsbereich nicht umgesetzt werden?
Stephanie Lepski: Hier fängt die Katze ihren eigenen Schwanz. Um Kultur nachhaltig zu verändern, braucht es kontinuierliche Maßnahmen auf unterschiedlichen Ebene und über unterschiedliche Kanäle, um das Bewusstsein zu verändern. Das können auch recht einfache Maßnahmen sein. Denken wir beispielsweise an Posterkampagnen. Auch das regelmäßige Ansprechen von Themen in Teammeetings ist wichtig und fördert den Zusammenhalt und das Verstehen untereinander.
3GRC: Andererseits mangelt es vielfach an der Messbarkeit und Überprüfbarkeit des Mitarbeiterwissens beim Thema Informationssicherheit. Wie lässt sich dieser Missstand überwinden?
Stephanie Lepski: Diese Hürde kann unter anderem dadurch überwunden werden, dass die Bewertung der Robustheit der Prozesse gegenüber Schwachstellen und Bedrohungen in den Gesamtprozess einfließt. Hierzu eignen sich beispielsweise interne Audits.
3GRC: Welche Entwicklungen muss Ihrer Meinung nach ein ISMS nehmen, um den wachsenden Anforderungen an die Informationssicherheit auch zukünftig gerecht zu werden?
Stephanie Lepski: An erster Stelle braucht es vor allem dynamische und laufende Anpassungen im ISMS. Ein entscheidender Punkt für Unternehmen ist die Fähigkeit, die eigene Risikolandkarte immer wieder auf den Prüfstand zu stellen und Aktualisierungen durchzuführen. Hierzu zählt auch das Management von technischen Schwachstellen in Organisationen. Es reicht eben nicht aus, einen ISMS-Prozess auf den Weg zu bringen. Nicht heute und noch weniger morgen. Denn die zunehmende Digitalisierung und Vernetzung mit ihren vielfältigen Chancen beinhaltet auch Risiken. Und diese gilt es zielführend zu begleiten. Ein gut eingeführtes und überwachtes ISMS kann an diesen Stellen den gesamten Informationssicherheitsprozess merklich verbessern.
Weitere spannende Informationen zum Thema ISMS finden Sie hier.
Stephanie Lepski ist Geschäftsführerin der RUCON Service GmbH – einem Unternehmen der RÜHLCONSULTING Gruppe. Zu ihren Tätigkeitsschwerpunkten zählen die Bereiche Projektmanagement, Marketing und Personal. Ihre technische Expertise fasst die Bereiche Managementberatung zum Aufbau und Betrieb von Managementsystemen gemäß ISO/IEC 27001, DIN EN ISO 9001 und ISO 22301. Bereits in Ihrer kaufmännischen Ausbildung zur Industriekauffrau befasste sie sich mit der Normenwelt und kam davon nie ganz wieder los. Zusätzlich besitzt Stephanie Lepski einen Master-Abschluss in Wirtschaftspsychologie, Leadership und Management (Schwerpunkt: Marktpsychologie und Marketingmanagement) sowie einen Bachelor-Abschluss in Kommunikations-, Sprach-und Kulturwissenschaften (Dänisch, Englisch).