Informationssicherheit ist (auch) Kommunikation
Eine Frau hatte Probleme mit wiederkehrenden Infektionen im Unterleib und suchte eine Gynäkologin auf. Die Gynäkologin ordnete das Problem als eines der Wechseljahre ein, bedingt durch den dann herrschenden Mangel an bestimmten Hormonen. Bemüht, für ihre Patientin auch eine längerfristige Abhilfe zu schaffen, fragte sie sie: „Wollen Sie Hormone nehmen?“. Die Frau, die mit dem Stichwort „Hormone“ im Zusammenhang mit Wechseljahren das Wieder-Herbeiführen eines weiblichen Zyklus durch Medikamente assoziierte, lehnte entrüstet ab. Nur durch einen Zufall stellte sich heraus, dass die Gynäkologin auf eine andere Vorgehensweise abzielte, die damit, was die Patientin vermutete, nichts zu tun hatte.
Informationssicherheit und Datenschutz
Sie fragen sich, was das mit Informationssicherheit und Datenschutz zu tun hat?
Die kurze Antwort lautet: wie in einem Arzt-Patient Verhältnis hängt auch für den erfolgreichen Aufbau eines Informationssicherheitsmanagmentsystems (ISMS) im Unternehmen vieles von einer gelungenen Kommunikation ab.
Für eine ausführliche Antwort muss ich etwas weiter ausholen: nach unserer Erfahrung wird der Aufbau von ISMS und Datenschutzkonzepten in Unternehmen durch unklare bzw. fehlende Zieldefinitionen erschwert. Das wiederum hat damit zu tun, dass nicht sorgfältig genug ausgesprochen und festgelegt wird, was eigentlich (das Ziel von) Sicherheit ist – in Bezug gesetzt zu den individuellen Bedürfnissen des Unternehmens. Im ersten Schritt allerdings ist die Zieldefinition eng verknüpft mit der Frage, was Sicherheit eigentlich genau bedeutet.
Was ist „sicher“?
Fragt man in eine Runde IT-Leiter, was „Sicherheit“ in Bezug auf die IT des Unternehmens eigentlich genau ist, erhält man die unterschiedlichsten Antworten. „Sicherheit ist mehr so ein gefühlter Zustand“. „Wenn niemand uns mehr angreifen kann, ist unsere IT sicher“. „Es gibt keine hundertprozentige Sicherheit. Es kann ja auch passieren, dass ein Flugzeug über unserem Rechenzentrum abstürzt“. „Die Umsetzung der Vorgaben des BSI-Grundschutzes“ … um nur einige zu nennen, die ich in den letzten Wochen hörte.
Ähnlich wie in dem obigen Beispiel aus der Arztpraxis assoziieren verschiedene Personen also verschiedene Definitionen mit einem bestimmten Begriff – und halten in der Folge eben auch unterschiedliche Maßnahmen für notwendig, um einen bestimmten Zustand zu erreichen. Werden diese unterschiedlichen Sichtweisen nicht offen gelegt und thematisiert, droht in der Arztpraxis ein Misslingen der Behandlung und im Unternehmen Sicherheitsrisiken. Beides ist vermeidbar.
Das Ziel. Quo vadis, Informationssicherheit?
Für Unternehmen heißt diese Erkenntnis, dass die Frage nicht lauten muss, wohin gehst du („quo vadis“) sondern, „wohin willst du gehen“. Zu welchem Ziel will man mit der Etablierung von Informationssicherheit im Unternehmen gehen? Ist das Ziel die Etablierung eines sehr hohen Sicherheitsstandards, wie er z.B. für die Kreditkartenindustrie vorgeschrieben ist, oder reicht die Umsetzung der allgemeinen Anforderungen wie sie in § 9 Bundesdatenschutzgesetz beschrieben sind. Um noch mal den Vergleich mit der Arztpraxis zu ziehen: ist das Ziel die zukünftige Vermeidung von Infektionen oder die weitreichende Manipulation des biologischen Laufs im weiblichen Körper.
Der sachlich-strategische Blick
Für den erfolgreichen Aufbau eines ISMS ist es daher empfehlenswert, am Anfang des Prozesses mit einem sachlich-strategischen Blick die unterschiedlichen Sichtweisen, Erwartungen und Vorstellungen offen zu legen, um am Ende ein klares Ziel formulieren zu können. Tut man das nicht, läuft ein Projekt „ISMS im Unternehmen“ Gefahr, schnell in unterschiedlichen und unklaren Erwartungen zu ersticken.
Was können wir für Sie tun?
Wir unterstützen Unternehmen bei der Zielfindung und dem Konzeptaufbau mit Workshops zum ISMS. Oft reicht schon ein Tag, an dem Geschäftsführung und Führungskräfte aus den verschiedenen Abteilungen mit unserer Moderation das für das Unternehmen passende Vorgehen im Hinblick auf den Aufbau oder die Verbesserung der Informationssicherheit festlegen. Wir unterscheiden dabei bewusst nicht mehr zwischen Datenschutz und IT-Sicherheit, sondern wählen einen umfassenden Ansatz, der alle Informationen einbezieht, von denen der wirtschaftliche Erfolg des Unternehmens abhängt. Den sachlich-strategischen Blick und die sorgfältige Kommunikation gibt es mit dazu. Das jedenfalls ist sicher.