Wie kann Informationssicherheit konkret in Organisationen verankert werden?
Das muss man von Fall zu Fall betrachten. Im Kern geht es darum, aus einer reaktiven eine proaktive Organisation zu machen. Dafür gilt es, Prozesse und Verantwortlichkeiten vorab klar zu definieren – strategisch, taktisch, aber auch operativ. Für die Steuerung von Sicherheitsthemen hat sich zum Beispiel die Rolle des Informationssicherheitsbeauftragten bewährt, dem sinnvollerweise ein übergreifender Steuerkreis für Informationssicherheit zur Seite gestellt wird: ein Gremium, dem Vertreter aller zentralen Themenbereiche einer Behörde angehören und das Sicherheitsfragen ganzheitlich angeht. In größeren Organisationen führt die Etablierung eines CERT-Teams zu einer beschleunigten Reaktion auf Sicherheitsvorfälle. Mit dem Aufbau eines Managementsystems etwa nach dem Standard ISO 27001 oder IT-Grundschutz werden sinnvolle Rahmenbedingungen geschaffen, um die Themen Prozesse und Verantwortlichkeiten in der Organisation zu verankern. Die Rahmenbedingungen sowie die festgelegten Sicherheitsmaßnahmen sollten nicht nur dokumentiert, sondern auch gelebt, stetig überprüft und bei Bedarf angepasst werden. Wichtig dabei ist, dass alle definierten Maßnahmen zur Organisation passen bzw. bei Bedarf angepasst werden, damit diese akzeptiert werden.
Aber reicht es, Informationssicherheit allein aus der Perspektive einer einzelnen Organisation zu betrachten?
Ganz bestimmt nicht. Was wir brauchen, ist ein Bewusstseinswandel im Sinne eines übergreifenden Austauschs aller Beteiligten – von Staat, Wirtschaft, Herstellern, aber auch Bürgern. Und zwar jenseits von Absichtserklärungen: Mit dem IT-Sicherheitsgesetz hat der Staat endlich seinen Anspruch formuliert und übergeordnete Rahmenbedingungen definiert. Das kann jedoch nur einer von mehreren Bausteinen sein. Die einzelnen Themen müssen nun operationalisiert werden. Das IT-Sicherheitsgesetz, das Meldepflichten bei Sicherheitsvorfällen vorschreibt, ist dabei nur ein Aspekt. Wenn sich Unternehmen nicht daran halten, weil sie einen Reputationsverlust befürchten, ist das kontraproduktiv. Die Rahmenbedingungen müssen so geschaffen werden, dass es Mehrwerte bzw. Anreize für diesen übergreifenden Austausch gibt. Hier gibt es in meinen Augen noch Handlungsbedarf. Für eine ganzheitliche Informationssicherheit ist die Gesellschaft in ihrer Gänze gefragt. Wir alle müssen an unserer Sicherheitskultur arbeiten. Das fängt schon im Privaten an.