Sicherheitshelden in der Geschäftsführung

Risikokontrolle 5.4: Verantwortlichkeiten der Leitung


Die Risikokontrolle „Verantwortlichkeiten der Leitung“ gemäß ISO 27002:2022 (Abschnitt 5.4) legt den Fokus darauf, dass das Management einer Organisation alle Mitarbeiter dazu verpflichtet, die Informationssicherheit gemäß der festgelegten Sicherheitsrichtlinien und -verfahren anzuwenden. Die oberste Leitung spielt eine Schlüsselrolle, um sicherzustellen, dass Informationssicherheit im gesamten Unternehmen umgesetzt und gelebt wird. Sie trägt die Verantwortung, eine Sicherheitskultur zu fördern und klare Vorgaben zu schaffen, die von allen Ebenen befolgt werden. Durch diese Risikokontrolle sollen vor allem Missverständnisse und mangelndes Engagement in Bezug auf Sicherheitsvorkehrungen minimiert werden.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die mangelnde Verantwortung und Einbeziehung des Managements in Fragen der Informationssicherheit führt zu verschiedenen Risiken, die durch diese Risikokontrolle adressiert werden sollen:

  1. Fehlendes Engagement bei der Informationssicherheit: Wenn das Management keine klare Verantwortung übernimmt, tendieren Mitarbeiter dazu, die Sicherheitsrichtlinien weniger ernst zu nehmen. Dies kann zu einer laxen Sicherheitskultur führen.
  2. Unkenntnis und Unsicherheit: Ohne eine klare Anweisung von der Leitung sind Mitarbeiter möglicherweise nicht ausreichend informiert oder geschult, wie sie mit sensiblen Informationen umgehen sollen, was zu Sicherheitslücken führt.
  3. Uneinheitliche Anwendung der Sicherheitsrichtlinien: Ohne eine starke Leitung, die die Einhaltung der Sicherheitsrichtlinien überwacht, werden diese oft inkonsistent angewendet. Dies kann zu Sicherheitsvorfällen führen, wenn bestimmte Abteilungen oder Mitarbeiter nicht dieselben Standards befolgen.
  4. Mangelnde Verantwortung bei Sicherheitsvorfällen: Wenn das Management keine klare Verantwortung übernimmt, können bei einem Sicherheitsvorfall die Reaktionszeiten verlangsamt und wichtige Maßnahmen vernachlässigt werden.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Diese Risikokontrolle adressiert mehrere zentrale Schwachstellen, die in vielen Organisationen auftreten:

  1. Fehlende Vorbildfunktion des Managements: In vielen Organisationen wird die Informationssicherheit nur auf operativer Ebene thematisiert. Wenn die Leitung jedoch keine Vorbildfunktion übernimmt, sinkt die Motivation der Mitarbeiter, Sicherheitsvorschriften konsequent zu befolgen.
  2. Keine eindeutigen Zuständigkeiten: In einigen Organisationen gibt es keine klar definierten Zuständigkeiten für die Informationssicherheit. Dies führt dazu, dass niemand konkret verantwortlich ist und Sicherheitslücken nicht rechtzeitig geschlossen werden.
  3. Fehlende Sicherheitskultur: Eine Organisation ohne einheitliche und von der Leitung unterstützte Sicherheitsrichtlinien entwickelt oft keine starke Sicherheitskultur. Mitarbeiter wissen möglicherweise nicht, wie wichtig ihre Rolle im Schutz der Unternehmensinformationen ist.
  4. Unzureichende Ressourcen für Schulungen: Ohne klare Vorgaben des Managements werden oft nicht genügend Ressourcen bereitgestellt, um die Mitarbeiter ausreichend in Sachen Informationssicherheit zu schulen.


Beispiel für die Umsetzung der Risikokontrolle

Ein praktisches Beispiel findet sich in der Gesundheitsbranche, insbesondere bei einem großen Krankenhausverbund, der sowohl öffentliche als auch private Gesundheitsdienste anbietet. In dieser Organisation ist der Schutz sensibler Patienteninformationen von höchster Priorität. Um sicherzustellen, dass alle Mitarbeiter die Sicherheitsrichtlinien einhalten, hat die Leitung des Krankenhausverbunds verschiedene Maßnahmen ergriffen:

  1. Verantwortlichkeit des Managements: Die Geschäftsführung hat ein umfassendes Informationssicherheitsprogramm eingeführt, das von der obersten Führungsebene überwacht wird. Dies beinhaltet regelmäßige Treffen, bei denen die Fortschritte im Bereich der Sicherheitsmaßnahmen überprüft und Risiken bewertet werden.
  2. Schulungen und Kommunikation: Alle Mitarbeiter – von den Ärzten bis hin zum Reinigungspersonal – werden regelmäßig in Informationssicherheit geschult. Hierbei wird besonderes Augenmerk auf die Vertraulichkeit von Patientenakten gelegt und auf die Gefahr, die von Cyberangriffen und Phishing-Attacken ausgeht.
  3. Führung als Vorbild: Die oberste Leitung selbst geht mit gutem Beispiel voran und hält sich strikt an die definierten Sicherheitsrichtlinien. Dies schärft das Bewusstsein der Mitarbeiter dafür, dass die Einhaltung dieser Richtlinien nicht nur eine bürokratische Maßnahme ist, sondern eine zentrale Verantwortung für den Schutz der Patienten und der Organisation darstellt.
  4. Regelmäßige Überwachung: Das Management hat ein internes Audit-Team eingerichtet, das regelmäßig die Einhaltung der Sicherheitsvorgaben prüft und sicherstellt, dass alle Abteilungen auf dem gleichen Sicherheitsstandard arbeiten.

Durch diese Maßnahmen konnte das Krankenhaus mehrere Sicherheitsvorfälle verhindern. Zum Beispiel konnte ein versuchter Ransomware-Angriff rechtzeitig erkannt und abgewehrt werden, da das Personal im Umgang mit verdächtigen E-Mails geschult war und sofort die zuständige IT-Abteilung alarmierte. Das proaktive Verhalten der Mitarbeiter verhinderte, dass sensible Patientendaten in falsche Hände gelangten oder der Betrieb des Krankenhauses lahmgelegt wurde.


Notwendige Ressourcen

Die Umsetzung dieser Risikokontrolle erfordert sowohl finanzielle als auch zeitliche Ressourcen, wobei der Erfolg stark von der konsequenten Unterstützung durch das Management abhängt.

  1. Zeitaufwand: Die Implementierung eines umfassenden Sicherheitsprogramms kann mehrere Monate in Anspruch nehmen. Besonders zeitaufwändig ist die Erstellung und Überarbeitung von Sicherheitsrichtlinien, das Planen und Durchführen von Schulungen sowie die Einführung von Audits. Eine typische Implementierung dauert etwa sechs bis zwölf Monate, je nach Komplexität der Organisation. Der Aufwand auf Seiten des Management selbst ist stark abhängig vom bestehenden Informationssicherheitsbewusstsein der Leitungsebene.
  2. Einfachheit vs. Schwierigkeit: Die einfache Implementierung dieser Risikokontrolle beginnt mit klaren Richtlinien und Schulungen. Schwierig wird es jedoch, wenn die Sicherheitskultur tief in die Organisation eingebettet werden muss, insbesondere in großen oder stark diversifizierten Unternehmen. Hier sind regelmäßige Überwachungen, Feedback-Schleifen und Anpassungen der Richtlinien notwendig, was oft erhebliche Ressourcen erfordert.
  3. Management-Kommunikation: Ein einfacher, aber entscheidender Schritt ist die transparente Kommunikation seitens der Leitung. Dies umfasst regelmäßige Updates zu sicherheitsrelevanten Themen und die Etablierung eines offenen Dialogs zwischen Führung und Mitarbeitern. Diese kommunikative Komponente ist zwar weniger kostenintensiv, erfordert jedoch eine kontinuierliche und konsistente Umsetzung.


Fazit

Die Risikokontrolle „Verantwortlichkeiten der Leitung“ gemäß ISO 27002:2022 ist eine zentrale Säule jeder effektiven Informationssicherheitsstrategie. Sie stellt sicher, dass das Management die Verantwortung für die Sicherheitskultur übernimmt und alle Mitarbeiter in die Pflicht nimmt, die festgelegten Richtlinien zu befolgen. Die Implementierung erfordert Investitionen in Schulungen und Überwachungssysteme, bringt jedoch erhebliche Vorteile in Bezug auf die Verringerung von Sicherheitsvorfällen und die Stärkung der gesamten Sicherheitskultur in der Organisation.