Um Informationssicherheit angemessen umsetzten und steuern zu können, muss die gesamte Organisation mit allen zur Wertschöpfung benötigten Bestandteilen betrachtet werden.

Ein reiner Fokus auf die Informationstechnologie (IT) würde diese Aufgabenstellung übermäßig abstrahieren und über die eigentliche Komplexität des Themas hinwegtäuschen - dieser Fokus ist nicht ausreichend. Zudem setzt man mit dieser zu eng gefassten Sichtweise die Organisation allen nicht-IT-bezogenen Schwachstellen ohne deren weiterer Beachtung aus. Auch Schwachstellen, die keinen Bezug zur IT haben können für die Informationssicherheit ausschlaggebend sein.

Das Verständnis von Informationssicherheit ist jedoch in der heutigen Zeit zur Notwendigkeit geworden, denn die auf Informationssicherheit wirkenden Bedrohungen verändern sich kontinuierlich. Raffinesse und Häufigkeit des Auftritts nehmen zu. Daher wird eine holistische (, gesamtheitliche) Betrachtung der Informationssicherheit durch Organisationen erforderlich, um wirksame Informationssicherheits-Managementsysteme (ISMS) etablieren zu können. Informationssicherheit kann nicht an der Grenze einzelner Organisationseinheiten enden.

Drei verschiedene Faktoren

Betrachtet man internationale und nationale Normen, Standards und Frameworks für Informationssicherheit, lassen sich im Kern drei wichtige Bestandteile identifizieren, die als Grundgerüst für die Betrachtung von Informationssicherheit dienen:

• Menschen,
• Prozesse und
• Technologien.

Auf internationaler Ebene sei die ISO-27000-Normfamilie genannt. Auf nationalen Ebenen lassen sich beispielshaft die in Deutschland herausgegebenen Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder auch die in den USA durch das National Institute of Standards and Technology (NIST) publizierten Standards anführen.

Menschen

Es ist mitunter einfacher einen Menschen, als ein technisches System zu kompromittieren; zumindest wenn man davon ausgeht, dass ein technisches System sicher konzeptioniert wurde, konfiguriert ist und regelmäßiger Wartung unterliegt - auch an dieser Stelle nimmt am Ende der Mensch wieder die tragende Rolle ein.

Erst wenn sich Informationssicherheit als ein Bestandteil der Organisationskultur etablieren kann, wird sich die Widerstandsfähigkeit gegenüber Bedrohungen der Informationssicherheit über alle Prozesse hinweg nachhaltig erhöhen lassen. Eine Organisationskultur wird insbesondere von Führungskräften und letzten Endes der obersten Führungsebene geprägt und nachhaltig beeinflusst.

Ein Beispiel: Jede Person einer Organisation kann zeitnah eine Erstmeldung bei einem Informationssicherheitsvorfall abgeben, so dass zügig Gegenmaßnahmen eingeleitet werden können.

Prozesse

Die ablaufenden Geschäftsprozesse sind das erforderliche Bindeglied zwischen Menschen und Technologie um die Wertschöpfung der Organisation zu betreiben.

Analog zur Integration von Informationssicherheit in die Organisationskultur muss Informationssicherheit ebenfalls bei der Definition und möglicherweise bei der Re-Evaluation von Geschäftsprozessen (“business process reeingineering”) in die Prozessgestaltung integriert werden. Alle Organisationseinheiten sind gefragt, wenn es um die Informationssicherheit geht. Eine Personal-Abteilung verantwortet unter anderem die Informationssicherheit von erhobenen Beschäftigten-Informationen, die Einkaufs-Abteilung verantwortet unter anderem die Informationssicherheit in Bezug auf die Lieferketten und die IT-Abteilung verantwortet unter anderem die Informationssicherheit in Bezug auf die von ihr eingesetzten Technologie.

Ein Beispiel: Ein Schiedsrichter, der gleichzeitig einer spielenden Mannschaft angehört, wird unmittelbar Diskussionspotentiale entfachen - zumindest bei der gegnerischen Mannschaft. Der Prozess einer Schiedsrichterauswahl für ein Spiel muss so gestaltet werden, dass der Schiedsrichter in Bezug auf die spielenden Mannschaften neutral sein kann bzw. sein muss. Der Prozess zur Auswahl eines Schiedsrichters muss vor diesem Hintergrund von Vornherein derart gestaltet oder nach Bekanntwerden von Interessenkonflikten derart verändert werden, dass mögliche Interessenkonflikte bei der Auswahl vermieden werden können.

Technologien

Der Einsatz von Technologie - insbesondere von Informationstechnologie - ist wichtiger Bestandteil unserer heutigen, von schnellen Informationsflüssen durchzogenen Welt. Da unsere Technologien jedoch fortwährend komplexer geworden sind, müssen sie insbesondere vor und während ihres Einsatzes in Bezug auf ihre Sicherheit betrachtet werden. Im Bereich der Technologien wird es besonders greifbar, dass es sich bei der Betrachtung der Informationssicherheit um keine einmalige Aufgabe sondern um eine kontinuierliche Anstrengung handeln muss.

Ein Beispiel: Bestimmte Informationen in einer Organisation werden so abgespeichert, dass nicht jede beliebige Person dieser Welt auf diese Informationen zugreifen kann. Früher bedeutete dies möglicherweise einen Aktenordner in verschlossenen Räumen oder in verschließbaren Schränken aufzubewahren und nur durch Personen einer Organisation innerhalb der Räumlichkeiten einer Organisation auszutauschen. Heute lassen sich sehr große Mengen an Informationen per Knopfdruck vervielfältigen und mitunter via drahtloser Netzwerke versenden.

Zusammenfassung

Menschen, Prozesse und Technologien müssen “im Ganzen” betrachtet werden. Die Verantwortung für eine Organisation “im Ganzen” trägt in der Regel nicht die IT-Abteilung. Daher ist Informationssicherheit auch keine reine IT-Herausforderung. Auf Grund des hohen Durchdringungsgrades der Geschäftsprozesse mit Informationstechnologie wird jedoch eine IT-Abteilung mitunter einen größeren Anteil an Fragestellungen im Kontext der Informationssicherheit zu lösen haben, als andere Organisationseinheiten.

Informationssicherheit zu etablieren und aufrecht zu erhalten beschreibt eine dauerhafte Aufgabe, da Organisationen (bestehend aus Menschen + Prozesse + Technologien) ständigem Wandel ausgesetzt sind.

• Menschen verändern ihre Kompetenzen - so gut wie kein Geschäftsbrief wird noch per Hand mit Tinte auf Papier geschrieben, aktuell gibt man eher Zeichen und Befehle in Applikationen ein.
• Prozesse werden an Technologien und Menschen angepasst - Briefe werden so gut wie nicht mehr mit Hilfe von Pferden und Kutschen transportiert, ergo werden in diesem Bereich kaum noch Hufeisen oder Stallungen mit Wasser und Futter benötigt.
• Technologien entwickeln sich weiter - für Luftpost mussten Flugzeuge erfunden und Kompetenzen diese zu bedienen und über weitere Strecken zu navigieren erworben werden.

Management von Informationssicherheit und insbesondere die Gestaltung dieses Managements ist daher zuerst Aufgabe der obersten Führungsebene. Erst im darauf folgenden Schritt wird Informationssicherheit zur Aufgabe der einzelnen Organisationseinheiten, unter anderem auch Aufgabe der IT-Abteilungen.

Sprachliche Ergänzungen wurden am 30.01.2025 hinzugefügt.