Informationssicherheit erfordert die Unterstützung durch das Management – so erhalten Sie sie

Es ist inzwischen eine Standardaussage, dass neue Unternehmensprojekte die Unterstützung von oben erfordern – nicht zuletzt im Bereich Informationssicherheit. Auch für die erfolgreiche Pflege und die Weiterentwicklung eines Compliance-Programmes ist es entscheidend, Rückhalt durch die Entscheidungsträger zu haben. Aber wie genau bekommt man diese Unterstützung? Der Geschäftsführer von NorthGRC lässt die Floskeln beiseite und gibt Informationssicherheitsbeauftragten fünf konkrete Ratschläge.

„Sie müssen sich Unterstützung von oben holen.“

Dieser Satz fällt häufig, wenn Informationssicherheitsbeauftragte ihre Kollegen um Rat fragen, wie sie die notwendigen Ressourcen beispielsweise für ein Implementierungsprojekt oder für die allgemeine Pflege des unternehmensinternen Compliance-Programms erhalten können. Aber dieser Ratschlag wurde inzwischen so oft gegeben, dass er nurmehr eine Floskel ist. Vielmehr benötigen die Sicherheitsbeauftragten einen tiefgehenden Einblick, wie das Management von Informationssicherheit als ein Geschäftsbereich unter anderen im Unternehmen aussieht und wie Prioritäten gesetzt werden.

Auf dieser Grundlage hat Jakob Holm Hansen, Geschäftsführer von NorthGRC, 5 gute Ratschläge für Sicherheitsbeauftragte formuliert, mit denen sie vom Management leichter Rückhalt für die Umsetzung wichtiger Sicherheitsinitiativen erhalten können.

1. Redezeit sichern

„Das Wichtigste ist, dass sich Sicherheitsbeauftragte Redezeit sichern. Hierfür können sie das Management beispielsweise zu einem Workshop einladen oder auch zu einer Besprechung, falls dies leichter zum Erfolg führt. Ansonsten können Sicherheitsbeauftragte bei ihrem nächsten Vorgesetzten darum bitten, bei einem Vorstandsmeeting sprechen zu dürfen, wenn das Management ohnehin bereits versammelt ist. War es früher schwierig, Redezeit zu bekommen, geht das Management inzwischen immer häufiger von sich aus auf die Sicherheitsbeauftragten zu und bittet darum, über Informationssicherheit auf den neuesten Stand gebracht zu werden. Unabhängig davon, ob die Initiative von den Sicherheitsbeauftragten ausgeht oder eine Einladung zu einer Besprechung kommt: Die beste und überzeugendste Wirkung lässt sich durch die proaktive Präsentation eines Plans für das unternehmensinterne Compliance-Programm erzielen. Es geht darum, dem Management gegenüber Weitblick zu demonstrieren, um ein Gefühl von Sicherheit zu vermitteln.“

2. Realistische Szenarien verwenden

„Das Management eines Unternehmens hat nicht unbedingt denselben Überblick über Informationssicherheit wie der oder die Sicherheitsbeauftragte/n. Dementsprechend besteht die Gefahr, dass die Sicherheitsbeauftragten die Zuhörer verlieren, wenn sie mit komplexen Bedrohungen durch Schadsoftware, Spionage aus dem Ausland und sonstigen kreativen Verhaltensweisen im Bereich der IT-Sicherheit loslegen. Informationssicherheit wird viel anschaulicher, wenn die Sicherheitsbeauftragten von realistischen Szenarien ausgehen, die das Unternehmen betreffen. Was bedeutet es beispielsweise für das Unternehmen, wenn die Produktion stillsteht, wenn die Kunden verärgert sind, wenn das Unternehmen das erwartete Produkt im 4. Quartal nicht liefern kann usw.? Es geht darum, IT-Bedrohungen in Gefahren für das Unternehmen zu übersetzen.“

3. Informationssicherheit ist ein Prozess, kein Projekt

„Dem Management ist klar, dass beispielsweise Marketing- und Verkaufsinitiativen im Rahmen eines kontinuierlichen Prozesses in regelmäßigen Abständen eingeführt werden müssen. Zu verstehen, dass die Pflege der Informationssicherheit ebenfalls im Rahmen eines kontinuierlichen Prozesses erfolgen muss, kann dagegen schwieriger sein. Es ist durchaus möglich, dass beispielsweise die Implementierung eines neuen Sicherheitsstandards Projektcharakter hat. Sobald die Projektphase beendet ist, wird die Pflege des Sicherheitsstandards jedoch Bestandteil eines Compliance-Programms, das laufend überwacht und weiterentwickelt werden muss. Sicherheitsbeauftragte müssen der Tendenz des Managements, Informationssicherheit als isoliertes Projekt aufzufassen, entgegenarbeiten, ansonsten wird es keine Unterstützung dafür geben, den Bereich im Rahmen eines Compliance-Programmes zu bearbeiten. So, wie Informationssicherheit eigentlich bearbeitet werden muss.“

4. Befugnis, Probleme sofort zu beheben

„Plötzlich auftretende Probleme können einen Prozess aufhalten wie nichts anderes. Das gilt vor allem dann, wenn Sicherheitsbeauftragte nicht befugt sind, Probleme direkt zu beheben, sondern auf die Entscheidung des Managements warten müssen. Sicherheitsbeauftragte müssen versuchen, eventuelle Probleme zu identifizieren – das können beispielsweise Teammitglieder sein, die nicht an geplanten Sicherheitsbesprechungen teilnehmen können oder wollen – und müssen solche Hindernisse dem Management präsentieren. Sollen die betreffenden Mitarbeiter/innen beispielsweise nicht in der Planung berücksichtigt werden, dürfen sie in den Prozess einbezogen werden usw.? Auf diese Weise kann das Management die Prioritäten für die Arbeitsaufgabe selbst setzen und die erforderlichen Ressourcen zuweisen.“

5. Dem Management Lösungen präsentieren

„Hat der oder die Sicherheitsbeauftragte endlich die Möglichkeit erhalten, dem Management die eigene Sache vorzutragen, muss sorgfältig überlegt werden, was präsentiert wird. Natürlich ist es naheliegend, das Gesamtbild der Bedrohungen und die Szenarien, die den Unternehmensbetrieb beeinträchtigen können, darzustellen. Das Management möchte aber auch gerne hören, welche Lösung es für diese Herausforderung gibt und was ihre Implementierung kostet. Deswegen ist es entscheidend, sich gut vorzubereiten und die Situation sowie den Plan, der den Betrieb des Unternehmens sicherstellt, zu präsentieren. Wenn bei der Besprechung kein lösungsorientierter Plan aufgezeigt wird, wird man wahrscheinlich gebeten, in einigen Monaten wiederzukommen.“