Alle sprechen und polemisieren vom grossen Sicherheits-Risiko im ICT-Bereich und speziell in der Cloud.
Viele entsprechende Medien-Meldungen rund um z.B. unkontrollierbare Cloud-Infrastrukturen, Internet-Spionage, NSA-Datensammlungen, Datenabfluss, Sicherheitslücken, Hacker-Angriffen, Systemausfällen, Verlust von tausenden von Emails, Mitarbeiterüberwachung schüren jene verständliche Aengste und Vorbehalte – zu recht oder zu unrecht?
Viele Vorbehalte haben mit z.B. auch einer vermeintlichen anwachsenden Kontroll-Unfähigkeit oder gar Angst einer gänzlichem Kontroll-Verlust (wo genau sind die Daten? Wer hat Zugriff darauf?) zu tun in den stetig wachsenden Komplexitäten oder verteilten Systemen (intern/extern, Private/Public Cloud, Hybrid Cloud)
Dass hierbei speziell ein „Controlling-Freak“ auch Emotionen entwickelt gegen solche dynamischen und nicht mehr zu 100% kontrollierbaren (Cloud)Systemen ist ebenso nachvollziehbar.
Im Zuge der Globalisierung und der globalen Vernetzung wurde die systematische Spionage und Angriffe in den Bereichen wie z.B. Patenten, Rezepturen, Codes, Markenschutz, Mitarbeiter-Abwerbung (Hunting for talents, mit dann auch Insiderwissen oder Firmen-KnowHow-Abfluss) zunehmend nicht nur mit technischen Mitteln durchgeführt. Zunehmend wurde auch gezielt auf das sogenannte Social Engineering (Stichworte: Bestechung, Telefon-Täuschungen, Ausnutzung von schwachen persönlichen Kennworten, Zugang auf Systeme und Informationen via einem Mitarbeiter anstelle via einem technischen System) fokussiert mit erschreckendem „Erfolg“
Der Trend via der „Hintertüre Mensch“ sollte den Fokus des eigentlichen Hauptproblems verschieben.
Folgend einige entsprechende Fragestellungen zur Relation der Problematik und zu den erkennbaren Anknüpfpunkten:
Was für einen Schaden kann ein frustrierter, ehemaliger Mitarbeiter anrichten oder verkaufen? Was für firmen- und personen-sensitive Daten werden täglich entsprechend via Social Media / Online Plattformen publiziert von eben „Menschen“ und nicht „Maschinen“?
Besteht ein Datensicherungs-Konzept mit externer Aufbewahrung der Sicherungsmedien?
Besteht ein genügender physischer Zugangs-Schutz oder Kontrolle zu den z.B. Servern, Backup?
Werden überhaupt Datenrücksicherungs-Tauglichkeiten sporadisch „echt“ praktisch geprüft?
Welche Webseiten / Firmen-Emails / Webmail-Zugänge mit möglichen schadhaften Codes werden täglich ohne entsprechende technische Infrastrukturen unbemerkt während der Arbeitszeit aufgesucht, versendet und gefüttert mit „heiklen“ Daten?
Bestehen intern überhaupt Weisungen / Sicherheitsrichtlinien / Geheimhaltungsvereinbarungen im Umgang mit der EDV und insbesondere mit dem Internet? Sind diese verbindlicher Bestandteil des Arbeitsvertrages?
Gibt es eine spezielle ICT Security Policy oder einen internen Sicherheitverantwortlichen für den ICT-Bereich? (Schliesslich gibt es ja auch Sicherheitsverantwortliche bei z.B. Bauunternehmungen, Baustellen, Produktion)
Gibt es innerhalb der Qualitätssicherung (z.B. IKS Internes Kontrollsystem) eine Teilbereichs-Kontrolle der ICT-Prozesse?
Werden die Mitarbeiter speziell sensibilisiert oder geschult für die Informatik-Sicherheits-Belangen?
Wie wird kontrolliert und überwacht ob nicht in jedem Fall freigegebene Cloud- / Synchronisations- / Social-Media-Anwendungen (wie z.B. DropBox, SkyDrive / OneDrive, iCloud, Facebook, Youtube, Xing, kununu) auf den Mitarbeiter-Arbeitsplätzen installiert sind?
Ist die Führungsebene eingebunden (auf Stufe GL und VR) in die Strategie-Definition und Planung von ICT-Umgebungen und deren Sicherheits-Vorgaben und Controlling-Mechanismen?
Werden auftrags- oder firmen-sensible Daten geschützt ausgetauscht mit externen Partnern / Lieferanten / Kunden / Revision / Buchhaltung / Behörden?
Gibt es intern ein Klassifizierungs-Konzept für die Unterscheidung und Definition von zu schützenden oder ungeschützten Daten?
Wurde das Thema ICT-Sicherheit als fortwährendes Risiko mit realistischer Eintrittswahrscheinlichkeit integriert in das Risk-Management?
Wie man unschwer erkennen kann in obigen Fragen wurde eigentlich (bewusst in einer ersten Phase …) noch gar keine Fragen nach den „externen“ Bösen / Hackern / spionierenden Staaten oder der „unsicheren“ Cloud gestellt …
Die Gesamt-Sicherheit ist einem gesamten Rahmen zu sehen – beginnen tut diese aber sicherlich in der internen, selbstkritischen Betrachtung von eigenen Prozessen und Infrastrukturen und erst danach bzw. wenn das bereinigt, geklärt, definiert und kontrolliert ist sollte man den Fokus erweitern in Richtung der externen Abhängigkeiten, Hackern, Cloud etc.
Die ICT-Gesamtsicherheit bzw. letztlich die ICT-Strategie ist ein umfassender Gesamt-Prozess und Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien / Produkten / Tools.
Der Faktor Mensch ist unter diesem Aspekt wichtiger und heikler als der Faktor Maschine.
Dabei ist auch der Aspekt des Risk-Managements sehr wichtig.
Eine 100% Sicherheit bei Mensch und Maschine gibt es nicht und wird es nie geben und hier ist es die Aufgabe der Führungsebene oder Kontroll-Gremien (Audit, IKS, Controlling) genau diese Rest-Risiken zu identifizieren, zu werten, zu testen und mit gangbaren präventiven Massnahmen und Prozessen zu reduzieren und sporadisch zu prüfen (so gut es geht eben …)
Aus diesen Aspekten heraus empfehle ich: Bevor irgendwelcher externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse / Sicherheit / Risk-Management transformieren.
>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_4_2014_GER_FRA
fridel on the ro@d 