05600 Die Rolle der Führungskraft in der Informationssicherheit
Der Anspruch, dass die Verantwortung für Informationssicherheit naturgemäß bei der obersten Leitung zu liegen habe, wird durch diverse regulatorische, gesetzliche und/oder normative Anforderungen zunehmend betont, manifestiert, reguliert und sanktioniert.
Die Formulierung von Richtlinien, Anweisungen und Policies sowie die Einführung entsprechender Regelwerke und Managementsysteme für Informationssicherheit erscheinen als probates Mittel, dieser Verantwortung aus organisationaler Sicht initial zu entsprechen.
Solche Regelwerke haben jedoch naturgemäß Schwächen, und die Verantwortung für eine erfolgreiche Informationssicherheitspolitik wandert wieder zur Führungsebene zurück, wenn Regeln nicht umfassend Wirkung entfalten oder Fehlverhalten in der Führung eine Normabweichung begünstigt.
Was Führungskräfte in ihrer grundlegenden Führungsarbeit demnach in Bezug auf Informationssicherheit beachten sollten, lesen Sie in diesem Beitrag. von: |
1 Forderung nach mehr Führung
Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2022” zeichnet ein düsteres Bild. Die Gefährdungslage sei „so hoch wie nie”, Cyberangriffsmethoden würden weiter professionalisiert, und die angespannte geopolitische Lage insgesamt verschärfe das Problem zusätzlich. Eine der wesentlichen Empfehlungen des BSI, dieser Bedrohungslage adäquat zu begegnen, ist die „kontinuierliche (…) Erhöhung der Aufmerksamkeit” aller Mitarbeitenden einer Organisation zum Thema Informationssicherheit – geraten doch Beschäftigte zunehmend ins Visier von Angreifenden (vgl. [1] ). Diese Intensivierung der Aufmerksamkeit darf im Kontext einer Firma/Organisation durchaus als eine Führungsaufgabe verstanden werden.
Richtlinie ORP.3
Die Empfehlung erscheint im Vergleich zu normativen Anforderungen jedoch noch recht unkonkret und fast schon milde. Deutlich konkreter äußert sich dazu beispielsweise die Richtlinie ORP.3 des IT-Grundschutzes. So weist das Dokument „ORP.3 Sensibilisierung und Schulung zur Informationssicherheit” [2] deutlich darauf hin, welche Folgen unzureichende Kenntnis der Regelungen und eine unzureichende Sensibilisierung für die Informationssicherheit haben. Darüber hinaus wird in ORP.3 klar benannt, was die Wirksamkeit solcher Schulungen und Sensiblisierungsmaßnahmen zusätzlich gefährden kann. „Fehlende Managementunterstützung” steht in dieser Aufzählung der Hindernisse an erster Stelle.
Die Empfehlung erscheint im Vergleich zu normativen Anforderungen jedoch noch recht unkonkret und fast schon milde. Deutlich konkreter äußert sich dazu beispielsweise die Richtlinie ORP.3 des IT-Grundschutzes. So weist das Dokument „ORP.3 Sensibilisierung und Schulung zur Informationssicherheit” [2] deutlich darauf hin, welche Folgen unzureichende Kenntnis der Regelungen und eine unzureichende Sensibilisierung für die Informationssicherheit haben. Darüber hinaus wird in ORP.3 klar benannt, was die Wirksamkeit solcher Schulungen und Sensiblisierungsmaßnahmen zusätzlich gefährden kann. „Fehlende Managementunterstützung” steht in dieser Aufzählung der Hindernisse an erster Stelle.
Commitment des Managements
Und schaut man etwa in die Anforderungen der ISO/IEC 27001:2022 [3] , so fordert Normkapitel 7.3 die explizite Aufklärung der Belegschaft über die Richtlinien und Policies einer Organisation zur Wahrung der Informationssicherheit. Vor allem aber fordert sie die Sensibilisierung für den Beitrag, den jeder Einzelne zum Sicherheitsniveau leisten kann und welches Fehlverhalten die Sicherheit der Organisation/des Unternehmens gefährdet. Normkapitel 6.3 fordert nicht nur explizit die kontinuierliche Erhöhung der Aufmerksamkeit, sondern erwartet normativ jeweils einen konkreten inhaltlichen Bezug zwischen Richtlinien und Anweisungen und dem konkreten jeweiligen Aufgabenfeld der Beschäftigten einer Organisation. Möchte eine Organisation ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2022 einführen und extern zertifizieren lassen, muss diese Normanforderung der Awarenessbildung zwingend umgesetzt und dies nachgewiesen sein. Dabei fordert die Norm quasi als Selbstverständlichkeit die dafür notwendige Managementunterstützung und das explizite Commitment des Managements. Andernfalls wären sämtliche normativen Anforderungen eines ISMS gemäß Normkapitel 5 („Leadership”) nicht erfüllt. Gelebter Managementsupport ist somit zwingende Voraussetzung für die Wirksamkeit des ISMS und damit auch der Zertifizierungsreife des ISMS.
Und schaut man etwa in die Anforderungen der ISO/IEC 27001:2022 [3] , so fordert Normkapitel 7.3 die explizite Aufklärung der Belegschaft über die Richtlinien und Policies einer Organisation zur Wahrung der Informationssicherheit. Vor allem aber fordert sie die Sensibilisierung für den Beitrag, den jeder Einzelne zum Sicherheitsniveau leisten kann und welches Fehlverhalten die Sicherheit der Organisation/des Unternehmens gefährdet. Normkapitel 6.3 fordert nicht nur explizit die kontinuierliche Erhöhung der Aufmerksamkeit, sondern erwartet normativ jeweils einen konkreten inhaltlichen Bezug zwischen Richtlinien und Anweisungen und dem konkreten jeweiligen Aufgabenfeld der Beschäftigten einer Organisation. Möchte eine Organisation ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2022 einführen und extern zertifizieren lassen, muss diese Normanforderung der Awarenessbildung zwingend umgesetzt und dies nachgewiesen sein. Dabei fordert die Norm quasi als Selbstverständlichkeit die dafür notwendige Managementunterstützung und das explizite Commitment des Managements. Andernfalls wären sämtliche normativen Anforderungen eines ISMS gemäß Normkapitel 5 („Leadership”) nicht erfüllt. Gelebter Managementsupport ist somit zwingende Voraussetzung für die Wirksamkeit des ISMS und damit auch der Zertifizierungsreife des ISMS.