Ein Interview mit Richard Jansen,
Managing Director der BWise Germany GmbH
Wie aktuell ist das Thema ISMS derzeit in den Köpfen der Manager?
Momentan erleben wir, dass viele Unternehmen sich mit dem Aufbau eines Informationssicherheitssystems beschäftigen. Die stetig wachsende Cyberkriminalität wird von unzähligen Studien bestätigt. PwC z. B. hatte diese als am zweithäufigsten berichtetes Wirtschaftsverbrechen aufgezeigt. Da wird deutlich, dass Unternehmen einen Maßnahmenplan parat haben sollten, um schnell und effektiv auf Cyberangriffe reagieren zu können.
Unternehmen, die sich entsprechend aktiv gegen Cyberattacken wappnen, begreifen Informationssicherheit als Managementsystem, das Teil einer übergreifenden Unternehmenssteuerung ist.
Zu Beginn werden meist einfache Dokumentations-Tools wie beispielsweise Excel verwendet, um die Prozesse und Anforderungen abzubilden. Mit zunehmender Komplexität führt dies jedoch zu Problemen und neuen Herausforderungen. Daher sollte man sich bereits in der Anfangs- und Aufbauphase überlegen, was mittel- bis langfristig benötigt wird.
Da Excel-basierte Projekte schnell an ihre Grenzen kommen, liegt der Schritt zur Einführung einer datenbankbasierten Lösung nahe. Diese muss so aufgebaut sein, dass sie durch Ausbau- und Erweiterungsmöglichkeiten zukunftsfähig ist. Diese Zukunftsfähigkeit von Technologie ist ein Merkmal, das bei Investitionen in die Prävention, Detektion und Reaktion auf Cyberkriminalität mitbedacht werden muss.
Informationssicherheit: als getrennte Einheit oder lieber verzahnt?
In unseren Projekten erleben wir verschiedenste Ansätze: einige Unternehmen starten ihre integrierten Governance-, Risk- und Compliance-Projekte mit der Initiative Informationssicherheit und bauen schrittweise ein wahrhaft integriertes GRC-System auf. Andere konzentrieren sich auf das Management der Informationssicherheit und lassen andere GRC-Initiativen erstmal außen vor. Aus unserer Erfahrung können wir aber sagen, dass die Integration des Informationssicherheits-managements mit dem Internen Kontrollsystem (IKS) und dem Risikomanagement eines Unternehmens sehr sinnvoll ist. Die Verknüpfung von Prozessen, Risiken, Kontrollen und Maßnahmen in einem einzigen System bringt auf vielerlei Ebenen einen Mehrwert: den spüren nicht nur die einzelnen Businesses, sondern auch die CISOs bzw. CIOs.
Welche Bedeutung hat die Rolle des Chief Information Officers?
Datenverluste, Hackerangriffe und Reputationsschäden haben dazu geführt, dass der CIO eine immer größere Bedeutung für das Unternehmen hat, so wie auch der CISO (Chief Information Security Officer). Zeigte sich die Hälfte des Vorstands laut PwC-Studie bisher wenig proaktiv in Hinblick auf Cyber-Bedrohungen, so wird sich dessen Augenmerk im Laufe aufgedeckter Cyberangriffe und angerichteter finanzieller und reputationsbezogener Schäden notgedrungen auf die Prävention und Detektion solcher Angriffe und die Erreichung höchstmöglicher Resilienz richten müssen. Gerade als Berater und Entscheider in puncto Strategie und Technologie ist der CIO potenziell mehr als nur ein auf den IT-Bereich begrenzter Einzelspieler. Vielmehr kann er die Richtung mitbestimmen, um die Enterprise Governance-, Risk- und Compliance-Organisation mit einem holistischen Ansatz zu unterstützen, oder eben Silos zu verstärken. Er hat schon so manche Fäden in der Hand.
Gibt es im Bereich ISMS neue Ansätze oder Tools?
In Zukunft werden wir uns viel mehr mit der Analyse riesiger Datenvolumen beschäftigen müssen. Diese dienen als Grundlage, um schneller und effizienter Entscheidungen treffen zu können. Große Datenmengen erhalten wir z. B. aus immer häufiger angewandten Scanningtools. Mit Hilfe einer integrierten Datenanalyse können Regeln definiert und damit eigene Prioritäten gesetzt werden hinsichtlich der Überlegung: Was sind wichtige Aktivitäten, die kurzfristig anzustoßen sind?
Es gibt Scanningtools, Datenanalysetools, IT-Riskmanagement-Tools usw., die einzelne Teile des ISMS abbilden und unterstützen. Ein Helikopteransatz über die BWise Governance, Risk und Compliance Plattform betrachtet in diesem Sinne verschiedenste Elemente des ISMS, integriert diese und zielt so auf ein umfassendes und vor allem zukunftsfähiges System ab.
Die gesteigerte Konnektivität von Objekten führt zu einer Explosion im Datenvolumen. Welche Konsequenzen hat das?
Ich möchte hier ein Beispiel nennen: in einer Radioreportage wurde über den Automobilsektor und die damit verbundenen Datenströme berichtet. Es handelt sich hier um einen noch sehr wenig geregelten Bereich: Daten laufen vom Auto ins Internet und werden dort gespeichert. Es stellt sich die Frage, wer darauf Zugriff hat und was damit gemacht werden kann. Das ist bislang noch unklar.
Denkbar sind hier neue Geschäfts- und Steuerungsmodelle, die Planungsmöglichkeiten für den Konsumenten bieten, z. B. in Hinblick auf die Autowartung.
Welche aktuellen Herausforderungen und Trends gibt es im Bereich IT-Security?
Das Thema Cyber-Kriminalität taucht immer häufiger auf. Viele Unternehmen richten ihren Fokus entsprechend auf den Aufbau von Cyber Security Systemen. Dabei stehen Effizienzsteigerung und Integrationsmöglichkeiten stark im Vordergrund.
Neben der technologischen Ebene, auf der Unternehmen ihr Informationssicherheitsmanagement unterstützen, müssen sie ebenso organisatorisch durch den Einsatz von IT-Fachpersonal zur Steuerung und Überwachung von Risiken und Maßnahmen die IT-Sicherheit verbessern. Das Gefahrenbewusstsein schafft neue Verantwortungsbereiche: heute wird die Rolle des CIO durch die Funktion des CISO und die der IT-Sicherheitsbeauftragten ergänzt und gestützt. Gleichzeitig müssen die Mitarbeiter in allen Abteilungen ausreichend trainiert werden, um aktiv individuelle Schadensbegrenzung betreiben zu können. Der Trend zeigt auch, dass Sicherheitszertifizierungen ein Mittel vieler Unternehmen sind, nachweislich höhere Sicherheitsstandards umzusetzen. .
Cyberangriffe kosteten europäische Firmen im letzten Jahr im Schnitt 1,2% ihres Geschäftsumsatzes las ich neulich in einer Studie. Diesbezügliche Schäden kosteten Unternehmen viermal mehr, als sie in den Schutz vor diesen Attacken ausgaben. Letztendlich geht es darum, ein Gleichgewicht zu schaffen zwischen Investitionen in die Prävention, Detektion und Reaktion auf Cyberkriminalität und unvermeidbaren Schäden auf der anderen Seite.