Editorial - VGB PowerTech Journal 8/2014

„Sicher ist, dass nichts sicher ist.
Selbst das nicht!“

Joachim Ringelnatz: Deutscher Schriftsteller und Kabarettist

Informationen sind für den Geschäftserfolg ein entscheidendes Gut. Wirtschaftlicher Erfolg und das langfristige Überleben eines jeden Unternehmens hängen davon ab.

Essenzielle Informationen unabhängig von ihrer Verwendungsform (Papier, Kopf, Datenbank, etc.) müssen geschützt werden – Gefahren lauern überall. Denn geschäftsrelevante Informationen können in falsche Hände gelangen oder manipuliert, missbraucht und vernichtet werden.

Die meisten Informationen liegen heutzutage in Form von Daten vor. Der Zugriff auf diese sollte beschränkt und kontrolliert sein. Nur autorisierte Benutzer dürfen auf die Informationen zugreifen.

Die Grundlage der IT-Sicherheit ist der IT-Grundschutz.

Ziel des IT-Grundschutzes ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsmaßnahmen ein Sicherheitsniveau für IT Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist. Wichtiges Element des IT-Grundschutzes sind die Grundschutzkataloge. Darin wird eine allgemeine, überall vorhandene Basissicherheit beschrieben.

Regeln zur Sicherheit in der IT gelten überall gleich

Die Maßnahmen zielen auf eine Flächendeckung ab, haben jedoch keine direkte Ausrichtung auf die Wertschöpfungskette eines Unternehmens. Man betrachtet nur die Gefährdungen für die IT Systeme; dadurch sind die Maßnahmen sehr techniklastig und haben zum Teil einen sehr hohen Implementierungsaufwand mit erheblichen Kostendiskussionen.
IT-Sicherheit hat zur Aufgabe, die Absicherung der IT-Objekte (Server, Firewall, VPN-Gateway, etc.) in einem Unternehmen so zu managen, dass ein vorgegebenes vorwiegend technisches Niveau erreicht/eingehalten wird.

Die Sicherheit folgt dem Business

Im Gegensatz dazu ist ein Informationssicherheitsmanagement nicht auf IT-Objekte ausgerichtet, sondern hat die kritischen Geschäftsprozesse im Fokus. Sie stellt die Aufrechterhaltung des Geschäftsbetriebes sicher. Geschäftsrisiken werden minimiert und Rendite und Geschäftserfolg werden maximiert.
Die im Fokus vorhandenen und erkannten Risiken gilt es zu bewerten und geeignete Gegenmaßnahmen zu entwerfen.

Security (Informationssicherheit) gilt unter Fachleuten als die Herausforderung der Zukunft. Statistiken und aktuelle Vorfälle belegen das steigende Bedrohungspotenzial.

Eine Möglichkeit dem Bedrohungspotenzial zu begegnen ist ein Managementsystem. Ein Informationssicherheitsmanagementsystem (ISMS) ist das Managementsystem, das die Beurteilung und Steuerung von Informationssicherheit innerhalb eines Unternehmens, einer Organisation oder einer Struktur erlaubt. Dabei werden technische und nichttechnische Aspekte (Assets) behandelt.

ISMS nach ISO 27001:2005 ist vor allem dort prädestiniert, wo pauschalisierte und flächendeckende Sicherheitsvorgaben nicht einzuhalten sind. Dabei liegt bei dem Begriff ISMS der Schwerpunkt auf dem Begriff Management. Leider wird dieser Begriff inflationär gebraucht und für vielerlei Dinge eingesetzt.

Hinter dem Begriff Management im Sinne der ISO verbirgt sich eine Handlung bzw. der Umgang mit einem speziellen Thema in besonderer, prozessorientierter Weise. So wird ebenso in der ISO/IEC 14001:2004 (Umweltmanagement), der ISO/IEC 9001:2008 (Prozessmanagement) und z. B. auch in der ISO/IEC 20000-1:2005 (ITIL) ein Managementsystem etabliert. In der ISO/IEC 27001 sind Anforderungen an ein Management zur Informationssicherheit beschrieben.

Ziel und Zweck eines solchen Managementsystems nach ISO 27001 ist es, die Prozesse der Wertschöpfungskette robuster und nachhaltiger gegenüber den erkannten Risiken zu gestalten, sowie die dedizierten Gegenmaßnahmen und deren Wirksamkeit zu managen.

Wesentlich für die Bewertung der Informationssicherheit im Kraftwerksumfeld ist die Analyse der Prozesse an den Kraftwerksstandorten. Dazu gehört die Ermittlung der Risiken im SCADA-Umfeld (Prozessdatenverarbeitung (PDV) und Leittechnik (LT)) und ihre Auswirkungen auf die Kernprozesse wie z. B. dem Blockbetrieb.

Assets haben oder sind Schwachstellen im Prozess. Wirken auf diese Schwachstellen Bedrohungen, entsteht ein Risikopotenzial. Auf der anderen Seite haben Assets Werte, die in ein Schadenspotenzial einfließen.
Gekoppelt mit einer Schadensstatistik, aus der dann Eintrittswahrscheinlichkeiten abgeleitet werden können, entstehen Risiken.

Ein wesentlicher Vorteil des Managementsystems ist der Umgang mit den Risiken. Diese können durch ausgewählte Maßnahmen vermieden, vermindert oder akzeptiert werden. Auch eine Transferierung wie dem Abschluss einer Versicherung ist möglich.

Die Risikostrategie muss versuchen, die Risikofaktoren in den Akzeptanzbereich zu bringen.

Eine wesentliche Rolle in der Norm spielt die Dokumentation. Denn erst wenn alle Prozesse, deren Assets, Risiken und Maßnahmen und Verbesserungen transparent dokumentiert sind, können die durchlaufenden Schritte, auch zu einem späteren Zeitpunkt, nachvollzogen werden.
In immer mehr Konzernen und Betrieben entstehen Risikoanalysen und Managementsysteme nach DIN ISO/IEC27001.

ISMS bedeutet: angemessene Sicherheit, wirtschaftliche Sicherheit und dokumentierte Sicherheit.

Es gewinnt nicht, wer Bedrohungen am besten verhindert.
Gewinner werden diejenigen sein, die Risiken am effektivsten managen.

Bruce Schneier
Experte für Kryptographie und Computersicherheit