Management und Wissen / Sicherheitsmanagement

Erfahrungsbericht:

ISMS in verteilten Strukturen

In einem großen, weltweit agierenden Konzern mit vielen verteilten Organisationseinheiten lässt sich das Management der Informations-Sicherheit nicht beliebig zentralisieren. Unsere Autorin berichtet von ihren Erfahrungen bei Aufbau und Betrieb eines ISMS bei der Volkswagen AG.

Von Anna Riske, Wolfsburg

Das Hauptziel des Sicherheits-Managements ist es letztlich, ein angemessen hohes Sicherheitsniveau zu schaffen und somit letzten Endes Kosten zu sparen. Das gelingt nur dann, wenn die Verantwortlichen einen holistischen Ansatz in den Dimensionen technischer und organisatorischer Sicherheit verfolgen. In den Fokus der Betrachtung rückt dabei nicht zuletzt das Adjektiv „angemessen“: Sicherheitsverantwortliche tun sich mitunter schwer, dieses Niveau zu bestimmen, denn dieser Ansatz benötigt den Brückenschlag ins Risikomanagement. Nur wer beispielsweise die Risiken von Angriffen auf seine Assets benennen und gegebenenfalls auch beziffern kann, ist in der Lage ein „angemessenes“ Schutzniveau zu definieren. Natürlich spielen auch rechtliche Aspekte in diese Risikobewertung hinein – Stichworte: Datenschutz(-Grundverordnung) und eventuell auch das IT-Sicherheitsgesetz. Der Gesamtkontext ist allerdings wesentlich weiter gefasst.

Aus dem Ansatz einer Risikobewertung heraus drängt sich ein Informationssicherheits-Managementsystem (ISMS) als zentrales Steuerungselement geradezu auf. Der Einsatz eines ISMS bedeutet aber noch nicht gleichzeitig, dass ein Unternehmen in puncto Informationssicherheit perfekt aufgestellt ist und es keine Risiken mehr hat – ein ISMS macht jedoch die Definition und Überwachung von Schutzzielen und -maßnahmen wesentlich transparenter und damit steuerungsfähiger.

Passend machen

Dabei ist ein ISMS jedoch keinesfalls ein fertiges Produkt, sondern muss sehr stark den individuellen Gegebenheiten des nutzenden Unternehmens Rechnung tragen. Wie ein „angemessenes“ Schutzniveau braucht man auch ein „passendes“ ISMS – die Umsetzung eines solchen Managementsystems wird für ein kleines Unternehmen sicherlich deutlich anders aussehen als für einen Mittelständler oder gar einen Konzern.

Ab einer gewissen Größe von Organisation und Strukturen ist etwa davon auszugehen, dass ein rein zentralistischer Ansatz nicht mehr greifen kann. Der Automobilkonzern Volkswagen verfügt beispielsweise allein über 12 Marken und 120 Produktionsstandorte weltweit. Eine zentrale, generische Implementierung, die weder individuelle Anforderungen und Ausprägungen noch lokale Gegebenheiten berücksichtigt, griffe zu kurz. Sie würde weder den Marken und Gesellschaften gerecht werden noch die gewünschte Transparenz und Steuerungsfähigkeit herstellen – zu groß sind die Unterschiede, beispielsweise in den Organisationsstrukturen, der Infrastruktur, dem Stellenwert der IT am Produkt oder der Gesetzgebung der einzelnen Länder.

Zudem spielen auch branchenspezifische Anforderungen unter Umständen selbst innerhalb eines Konzerns eine Rolle: Während etwa für Finanzdienstleister wie die Volkswagen Financial Services die Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) relevant sind, wird dies für eine kleine Vertriebsgesellschaft in Südostasien mit Sicherheit kein Thema sein. Oder KRITIS: Der Konzernhauptsitz in Wolfsburg verfügt beispielsweise über zwei Kraftwerke, die auch Strom und Fernwärme an die Stadt liefern. Auch hier muss die besagte Vertriebsgesellschaft dagegen keine KRITIS-Anforderungen berücksichtigen.

Nicht zuletzt differieren auch Aufstellung und Position der jeweiligen Chief-Information-Security-Officers (CISOs) mitunter stark von Gesellschaft zu Gesellschaft. In der Diversität liegt also eine große Herausforderung, wenn es um den Aufbau eines ISMS in einem Großkonzern geht. Dennoch umfasst auch dieses Szenario einiges, was auf kleinere Unternehmen oder Mittelständler übertragbar ist – so ähnelt etwa in der ersten Phase auch ein ISMS für ein großes Gebilde durchaus sehr einem Management-System für kleinere Organisationen.

Überschaubar starten

Die Einführung eines normenkonformen ISMS ist zwar nicht trivial, aber auch keine unlösbare Aufgabe. Dafür müssen Unternehmen das Rahmenwerk der ISO 27001 auf ihre eigenen Strukturen anwenden, das heißt: vor allem die Prozesse betrachten, auf welche die Informationssicherheit große Auswirkungen hat.

Was für kleine und mittlere Unternehmen (KMU) bereits eine Entlastung bedeutet, ist für Konzerne die Grundlage, um überhaupt einen Anfang zu finden. Das Vorgehensmodell in diesem Fall ist schnell umrissen: das ISMS in einem kleineren, sinnvollen Rahmen starten und dann nach und nach auf weitere Bereiche ausweiten.

Bei Volkswagen war das Pilotprojekt dementsprechend die Zertifizierung der Information-Security-Governance des Konzerns nach ISO 27001: Die Fachabteilung verfügt selbst über zentrale Prozesse, die Auswirkungen auf die Informationssicherheit im gesamten Konzern haben – etwa das Incident-Management im Computer-Emergency- Response-Team (CERT), Regelwerksvorgaben oder die Awareness für Informationssicherheit. Darüber hinaus auditiert die Fachabteilung andere Konzerngesellschaften nach Vorgaben eines reifegradbasierten Anforderungskatalogs des Verbands der Automobilindustrie (VDA).

Ziel war es, anhand der hier gemachten Erfahrungen und vorgenommenen Maßnahmen eine Best Practice zu entwickeln, die als Handlungsempfehlung und Arbeitsgrundlage für andere Fachbereiche und Gesellschaften im Konzern dienen kann.

Assets und Risiken identifizieren

Ein ISMS setzt sich formal aus Prozessen zur Planung, Umsetzung, Überprüfung und Verbesserung (PDCA) von Informationssicherheit sowie deren Maßnahmen- Dokumentation zusammen. Dabei kann eine spezielle Software unterstützen, zwangsläufig erforderlich ist sie jedoch nicht.

Klassischerweise folgt der Aufbau eines ISMS zentralen Leitfragen: Welche Informationen sind im Unternehmen überhaupt vorhanden? Wie sind die Auswirkungen, wenn diese Informationen kompromittiert werden? Ist die Erhebung dieser so genannten „Primary Assets“ abgeschlossen, folgt die Bestimmung der „Supporting Assets“: Das umfasst auch eine Zuordnung, wo diese Informationen gespeichert und verarbeitet werden. Der nächste Schritt vollzieht den Brückenschlag zur Risikobewertung: Dort wird in einem Bedrohungskatalog hinterlegt, welche Bedrohungen welche Eintrittswahrscheinlichkeiten haben. Hält man diese gegen die Supporting Assets, ergibt sich daraus, wie groß die Risiken tatsächlich sind.

An dieser Stelle treten schnell auch Unterschiede zwischen Informationssicherheit und IT-Risikomanagement zutage: Die IT bewertet Risiken operativ vor allem nach Verfügbarkeit. Sie sind häufig vergleichsweise einfach zu berechnen: Eine Applikation fällt drei Stunden aus – das verursacht einen Schaden von x Euro. Das setzt natürlich voraus, dass eine Business-Impact-Analyse (BIA) vorliegt und somit die Abhängigkeiten zwischen Geschäftsprozessen und IT bekannt sind.

In der Informationssicherheit ist der potenzielle Schaden etwas anders gelagert und nicht mehr so einfach monetär zu bewerten: Was kostet es ein Unternehmen beispielsweise wirklich, wenn eine bestimmte Information nicht mehr vertraulich ist oder manipuliert wurde? So etwas ist verlässlich nur im Nachhinein zu berechnen. Aus diesem Grund gilt es, andere Kriterien für Kompromittierung der Verfügbarkeit, Vertraulichkeit und Integrität festzulegen – etwa informationelle Selbstbestimmung, Verstöße gegen gesetzliche oder vertragliche Anforderungen, finanzielle Auswirkungen, Imageeinbußen oder eine Beeinträchtigung der Aufgabenerfüllung. Hinzu kommen externe Schadensauswirkungen, die unter Umständen nicht direkt das Unternehmen betreffen, aber beispielsweise den (Wirtschafts-)Standort.

Auch für diese Szenarien lassen sich Risiken anhand von Eintrittswahrscheinlichkeiten identifizieren. Die zentrale Frage lautet dabei: Wie belastbar sind die Angaben zur Eintrittswahrscheinlichkeit? In vielen Fällen basieren sie zunächst nur auf der Einschätzung von Experten, zum Beispiel aus Interviews mit Administratoren. Valider werden sie indes, wenn sie mit messbaren Fakten zu untermauern sind: Dafür gibt es verschiedene Quellen wie Daten aus dem Incident-Management, aus Netzwerkscans, Security-Information- und -Event-Management- (SIEM)-Systemen oder Applikationsbewertungen.

Voraussetzung ist allerdings, dass alle Quellen einen einheitlichen Bedrohungskatalog verwenden: Denn die einzelnen Stellen sehen in diesem Kontext immer nur einen Ausschnitt der relevanten Daten. Auch wenn es bisher im Incident-Management für eine bestimmte Bedrohung noch keine Vorfälle gegeben hat, kann die Eintrittswahrscheinlichkeit dennoch sehr hoch sein – umso mehr, wenn potenziell betroffene Applikationen auch noch verwundbar sind. Erst die gesammelten Daten aus Incident-Management, Bedrohungskatalog und Application-Management ergeben dann ein schlüssiges Gesamtbild. Aufgabe des ISMS ist es daher, alle Quellen sinnvoll zusammenzuführen und einen Weg zu erschließen, wie die beteiligten Stellen in das ISMS „reporten“.

ISMS out of the Box

Im Rahmen der erfolgreichen Etablierung und Zertifizierung des ISMS für die Information-Security- Governance von Volkswagen ist dann tatsächlich eine Art Blaupause für andere Konzerngesellschaften entstanden: eine Toolbox mit Templates, Prozessbeschreibungen und Werkzeugen (vgl. Abb.). Sie enthält „Musterlösungen“ zur Implementierung bestimmter ISMS-Maßnahmen wie das Review von Benutzerrechten, Awareness-Präsentationen, KPI-Dashboards, Auditpläne oder Scope-Dokumentationen.

Dieser Baukasten ist für die Prozesse der Information- Security-Governance zertifiziert und steht anderen Gesellschaften im Konzern zur Verfügung. Er bildet künftige Anforderungen bereits heute ab: Dazu zählen neben der EU-Datenschutzgrundverordnung (DS-GVO) zum Beispiel auch Rahmenbedingungen, die sich aus veränderten Mobilitätskonzepten wie dem autonomen Fahren oder Themen wie „Connected Car“ in Zukunft ergeben werden.

Auf diese Weise kommt es zu einem Know-how- Transfer, der die Effizienz und Geschwindigkeit zukünftiger ISMS-Integrationsprojekte beschleunigt. Die Toolbox liefert das modulare Framework, das diese Gesellschaften bei der Einführung eines ISMS als Basis nutzen können. Verfügt beispielsweise eine Gesellschaft bereits über einen definierten Prozess zur Stakeholder-Analyse und Kommunikation aus dem Qualitätsmanagement, wäre es sinnlos, diesen Prozess für die ISMS-Einführung neu zu definieren und so das Rad wieder einmal neu zu erfinden – viel besser ist es, auf dem Bestehenden aufzubauen und bereits Vorhandenes in das ISMS zu integrieren. Deshalb ist die Toolbox modular aufgebaut und die Module sind bei Bedarf austauschbar.

Die ISMS-Toolbox ist vor allem für kleinere Konzerngesellschaften mit bis zu 200 Mitarbeitern gedacht. Die Projektverantwortlichen haben sie bewusst für diese Gesellschaftsgröße konzipiert: Zum einen ist das Nutzenverhältnis hier im Vergleich am höchsten – mit relativ wenig Aufwand lässt sich eine gute Wirksamkeit herstellen. Zum anderen benötigen die großen Markengesellschaften allein aufgrund ihrer Größe komplexere und spezifischere Lösungen: Sie entwickeln dann über die Toolbox hinaus in größerem Umfang weitreichendere Maßnahmen.

Abbildung 1: Überblick über die ISMS-Management-Prozesse – aus dem zertifizierten ISMS für die Information-Security-Governance von Volkswagen ist gleichzeitig eine Toolbox mit Templates, Prozessbeschreibungen und Werkzeugen für andere Konzerngesellschaften entstanden. (Bild: Volkswagen AG)

Bewertungskriterien

Ein wesentlicher Teil der Toolbox sind die Werkzeuge zur Entwicklung eines aussagekräftigen Kennzahlensystems. Schließlich muss ein ISMS mit den darin manifestierten Schutzmaßnahmen regelmäßig auf seine Wirksamkeit hin geprüft werden – nur so bleibt das erforderliche Sicherheitsniveau transparent und kann erhalten werden.

Die ISMS-Toolbox verwendet dazu ein Security- Dashboard, das Kennzahlen und Metriken zusammenführt: Dieses zentrale Überwachungs- und Steuerungsinstrument bildet die wichtigsten Key-Performance- Indicators (KPIs) für die Informationssicherheit des Unternehmens ab. Das Dashboard ist allerdings nur so aussagekräftig, wie die darin enthaltenen KPIs umfassend und sinnvoll definiert sind. Auf den ersten Blick ist es relativ schwierig, für Informationssicherheit wirklich aussagekräftige KPIs zu finden. Die Anzahl beobachteter Security-Incidents sagt beispielsweise wenig aus: Eine niedrige Zahl kann entweder bedeuten, dass es wirklich wenige Vorfälle gibt – oder auch, dass die Sicherheitssysteme bestehende Angriffe nicht entdecken

Die bisher weniger bekannte ISO 27004 „Information Security Management – Monitoring, measurement, analysis and evaluation“ beschäftigt sich eingehend mit KPIs zur Informationssicherheit. Sie definiert sogar per Steckbrief die Parameter, die eine aussagekräftige Kennzahl definieren, sodass sie als KPI zu verwenden ist. Zu diesen Parametern gehören beispielsweise Zweck, Datenquelle, Schwellwerte, Review-Zyklus, verantwortliche Personen und so weiter.

Die tatsächliche Auswahl von KPIs hängt natürlich vom jeweiligen Unternehmen ab. Im Kontext der Volkswagen Information-Security-Governance waren mehrere Themengebiete sinnvoll mit KPIs zu belegen. Drei davon sollen hier kurz vorgestellt werden:

  • Durchschnittliches Alter des Regelwerks: Für die Information-Security-Governance ist es höchst sinnvoll, einen der Kernprozesse mit einem KPI zu belegen. Je höher das Durchschnittsalter der Regeln in einer Gesellschaft, desto wahrscheinlicher ist es, dass der innerhalb der ISO 27001 geforderte kontinuierliche Verbesserungsprozess (KVP) nicht funktioniert. Die Regelungen wären in diesem Fall wahrscheinlich einmal erstellt und nicht wieder konsolidiert worden.
  • Prozess-Qualität als Maß des Reifegrads der Informationssicherheit in der jeweiligen Gesellschaft: Die Bewertung basiert dabei auf der so genannten „Software Process Improvement and Capability Determination“ (SPICE). Die SPICE-Bewertungsskala geht über insgesamt sechs Stufen: Auf Level 0 „unvollständig“ ist der Prozess praktisch nicht vorhanden – auf dem höchsten Level 5 „optimierend“ ist der Prozess im gesamten Unternehmen implementiert und folgt dem KVP. Die Bewertung mittels SPICE lässt es zu, Durchschnittsnoten für Prozesse in Gesellschaften zu bilden und macht beispielsweise den Informationssicherheitsstatus im Rahmen interner Audits vergleichbar. Derzeit ist bei Volkswagen Level 3 „etabliert“ angestrebt.
  • Information-Security-Continuity-Status: Grundlage sind hier die entsprechenden Verfügbarkeitsanforderungen aus dem Risikomanagement. Der KPI hält den Grad an getesteten Notfallplänen und -prozessen gegen die erforderliche Abdeckung von Notfallplänen zur Informationssicherheit nach.

Selbstverständlich bildet das Security-Dashboard noch weitere KPIs ab, beispielsweise den Status von Self-Assessments, die Abdeckung von Application-Assessments, das Security-Incident-Management oder den Security- Compliance-Status von Service-Providern.

Fazit

In verteilten Organisationen gelingt die Einführung eines ISMS am nachhaltigsten schrittweise. Die Bereitstellung eines Werkzeugsets befähigt Gesellschaften, von bereits gemachten Erfahrungen und Know-how zu profitieren und erleichtert den Implementierungsstart.

Besonders der Reifegrad der Informationssicherheit sollte dadurch messbar werden. Allerdings sind valide KPIs für diesen Bereich oft nicht leicht festzulegen; in diesem Kontext greift die Volkswagen-Toolbox auf die derzeit weniger bekannte ISO 27004 zurück. Gleichwohl kann eine solche Toolbox nur eine Grundlage für ein passend ausgeformtes ISMS bilden – spezifische Anforderungen betreffen nicht alle Gesellschaften und sollten daher individuell abgebildet werden.

Eine Toolbox sollte allerdings immer auch mit Implementierungs-Beispielen arbeiten, um so die tatsächliche Umsetzung eines Standards in der Regel viel augenfälliger abbilden zu können. Denn ein ISMS darf niemals abstrakt bleiben! Gerade unter den Vorzeichen der neuen Rahmenbedingungen aus DS-GVO und ITSiG: Sie erfordern die Umsetzung eines ISMS auch in vielen Unternehmen, die bisher unter Umständen wenig Berührungspunkte mit dem Thema hatten.

Anna Riske ist „Information Security Manager“ in der Group IT der Volkswagen AG.