„Sicherheit beginnt im Management“

Autor – Roger Illing, Vice President Sales DACH, OpenText

Es ist schon sonderbar: Da deckt ein junger, mutiger Administrator aus den USA einen der größten Ausspähskandale der letzten Jahrzehnte auf, doch der allgemeine Aufschrei nicht nur in der Bevölkerung, sondern auch bei den Unternehmen bleibt aus. Liegt es an unserer Bequemlichkeit? An unserer Ohnmacht? Die Frage muss gestellt werden, schließlich ist das geistige Eigentum der deutschen Firmen einer der größten Diamanten der Welt, den sicher viele nur zu gerne in ihren Besitz brächten. Seit Jahren warnen IT-Sicherheitshersteller fast täglich vor neuen Gefahren aus dem Internet. Doch verglichen damit, was dort Geheimdiensten an technischen Möglichkeiten zur Verfügung steht, sind diese Gefahren das reinste Kinderspiel. Wir sollten uns jedoch nichts vormachen. Nicht nur die Geheimdienste haben diese Möglichkeiten, sondern auch professionelle Wirtschaftsspione.

Fakt ist also: Aus IT-Sicht ist jedes Unternehmenssystem heute gefährdeter denn je. Denn schon seit einigen Jahren werden diese Systeme gegenüber dem Internet geöffnet – in Richtung Geschäftspartner über integrierte Liefer- und Wertschöpfungsketten, aber auch in Richtung Kunden und Mitarbeiter über Webauftritte oder den Boom der mobilen Endgeräte. Ferner ist der Austausch von wichtigen und vertraulichen Geschäftsinformationen insbesondere über öffentliche Cloud-Angebote hier zu nennen. Dadurch werden immer mehr Lücken im Schutzwall der Unternehmen gerissen, finden immer mehr Unternehmensdaten und -informationen ihren Weg über die Unternehmensgrenzen hinweg.

Gelassenheit statt Panik

Doch in meinen Gesprächen mit Kunden in den letzten Wochen habe ich immer wieder gehört, dass man nicht grundsätzlich über die nun veröffentlichten Möglichkeiten des Ausspähens verwundert sei, sondern eher über Ausmaß und Umfang. Außerdem verwische der Snowden-Skandal die klare „Freund-Feind-Kennung“. Aber prinzipiell sei das Problem bekannt.

Hierin liegt ein Grund für den bislang ausgebliebenen Aufschrei. Der andere liegt darin, dass Wirtschaftsspionage nichts Neues ist. Nur die Methoden ändern sich mit der Internettechnologie. Die Unternehmen begreifen daher den Schutz davor weniger als ein Thema, dem mit Technik allein beizukommen wäre, sondern siedeln es auch und vor allem auf der Ebene der Prozesse an. Und das aus gutem Grund. Schließlich steht eine Information nicht für sich allein, sondern stets im Kontext der Unternehmensabläufe und vor allem der Menschen, von denen sie erzeugt, bearbeitet, verwaltet und archiviert wird.

Genau das aber ist die Domäne des professionellen Informationsmanagements. Sie schließt zwar klassische Sicherheitsmechanismen mit ein, wie man sie teilweise von den bekannten IT-Sicherheitsherstellern kennt, geht aber gleichzeitig auch darüber hinaus.

Informationssicherheit ist mehr als Technik

Anbieter für Enterprise Information Management (EIM) wie OpenText unterstützen die Unternehmen in punkto Sicherheit nicht erst seit heute, sondern schon seit vielen Jahren, genau genommen von Anfang an. Als wir in der zweiten Hälfte der 1990er Jahre unsere erste Lösung für Wissensmanagement vorstellten, hatten wir bereits ein feingranulares Berechtigungssystem implementiert – ein wichtiger Bestandteil der später von der IT-Sicherheitsindustrie so genannten Data Leakage Prevention.

Die Stärken des professionellen Informationsmanagements liegen also seit jeher auf der Ebene der Prozesse und der Information Governance, erkennbar etwa an den folgenden Merkmalen: Informationen werden immer revisionssicher abgelegt. Außerdem wird jede Aktion an einer Datei lückenlos dokumentiert. Wird eine Information manipuliert, zum Beispiel indem sie durch bösartigen Code infiziert oder von einem Mitarbeiter für Spionagezwecke kopiert wird, bekommt die Software das mit. Zwar können EIM-Lösungen nicht den Schadcode beseitigen. Noch können sie das Kopieren verhindern, wenn der Mitarbeiter die entsprechenden Berechtigungen besitzt. Aber sie liefern bei der Schadensbegrenzung entscheidende Hinweise und ersparen den Forensikern wertvolle Zeit bei ihrer Spurensuche.

Gute EIM-Lösungen leisten das aber nicht nur innerhalb des Unternehmensnetzwerks, sondern auch darüber hinaus. Deshalb müssen sie heute zusätzlich Funktionalitäten für sichere Social-Media-Anwendungen und den sicheren Austausch von Dateien, Bildern, Videos etc. enthalten. Letzteres lässt sich im Übrigen auch bei der E-Mail-Kommunikation, unternehmensintern oder -extern, realisieren. So können entsprechende EIM-Lösungen dafür sorgen, dass ein E-Mail-Empfänger einen Anhang zwar angezeigt bekommt, ihn aber physisch erst dann erhält, wenn er ihn zum Öffnen anklickt. Erst in diesem Moment wird ein sicherer Tunnel aufgebaut, um den E-Mail-Anhang zu übertragen. Das ist für einen möglichen Angreifer unvorhersehbar und senkt die Wahrscheinlichkeit, dass die Informationen von Spionen abgegriffen werden.

Ein weiterer wichtiger Aspekt aus Unternehmenssicht ist die Rechtssicherheit. Wenn zum Beispiel lückenlos dokumentiert ist, wer wann an welcher Information gearbeitet hat, und diese Angaben zusammen mit der Information revisionssicher abgelegt und aufbewahrt werden, ist das Unternehmen effektiv vor Haftungsrisiken geschützt, die den Unternehmensfortbestand unter Umständen gefährden können. Ein weiteres Beispiel wäre die Einhaltung aller gesetzlich vorgeschriebenen Aufbewahrungsfristen und -regeln, so dass etwa Bewerberinformationen nach der gebotenen Frist zuverlässig und unwiederbringlich gelöscht werden. Das schützt dann auch vor persönlichen Haftungsrisiken des Managements.

Mehr Sicherheit durch bessere Prozesse

Doch auch die beste Information Governance hat aus Sicherheitsperspektive ihre Grenzen. Wer zum Beispiel sicherstellen will, dass niemals ein einzelner Administrator allein unbeschränkten Zugriff auf sensible Unternehmensinformationen erhält, muss die Abläufe in der IT-Organisation mit einem professionellen Geschäftsprozessmanagement (BPM) abbilden und steuern. Hat Edward Snowden nicht als Systemadministrator bei der NSA gearbeitet?

BPM kann zudem bei dem Problem Abhilfe schaffen, das viele – zu Unrecht – mit verächtlicher Miene als „Der Anwender ist das größte Sicherheitsrisiko“ bezeichnen. Hand aufs Herz: Wenn eine Phishing-Nachricht gut gemacht ist und den Anwender persönlich anspricht, wer würde dann nicht auf den eingebetteten Link klicken? Das passiert sogar den IT-Profis. Das hat nichts mit Dummheit zu tun, sondern mit unserer angeborenen Neugierde. Dem kann man nur entgegenwirken, indem regelmäßige Sicherheitsschulungen Teil der Prozesslandschaft und der Unternehmenskultur werden. Deshalb ist heute Geschäftsprozessmanagement ein integraler Bestandteil von Enterprise Information Management.

Fazit

Sicherheit als Teil des umfassenderen Informationsmanagements zu begreifen, ist zuallererst eine Managementaufgabe. Ich würde daher einen CIO dazu einladen, seine eigene Rolle aus einem neuen, zusätzlichen Blickwinkel zu betrachten. Der CIO muss neben der funktionierenden und wirtschaftlichen Bereitstellung von Diensten die Informationssicherheit als wesentlichen Teil seiner Aufgaben begreifen. Dazu muss er sich als digitaler Hüter und Wächter der Unternehmensinformationen verstehen. Und um diesen Schatz effektiv schützen zu können, bedarf es eines mehrschichtigen Sicherheitsansatzes, der über die traditionelle IT-Sicherheit hinausgeht. Anders ausgedrückt, ist das Thema Sicherheit als Teil einer umfassenden Strategie des unternehmensweiten Informationsmanagements zu begreifen, als Teil von EIM.

www.opentext.de

Roger Illing, Vice President Sales DACH, OpenText. OpenText ist ein führender Anbieter von Unternehmenssoftware. Das Portfolio von OpenText deckt die essentiellen Bereiche des Enterprise Information Management-Konzepts ab: Diese spiegeln sich in den fünf Lösungssparten von OpenText wider: Enterprise Content Management (ECM), Business Process Management (BPM), Customer Experience Management (CEM), Information Exchange und Discovery.