Bundesamt für Sicherheit in der Informationstechnik

M 2.200 Management-Berichte zur Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Zu den Aufgaben des IT-Sicherheitsbeauftragten gehört es, die Behörden- oder Unternehmensleitung bei der Wahrnehmung ihrer Gesamtverantwortung für die Informationssicherheit zu unterstützen. Eine wichtige Grundlage für die zu treffenden Entscheidungen sind übersichtlich und aussagekräftig aufbereitete Informationen zur aktuellen Lage der Informationssicherheit in der Institution.

Um den Sicherheitsprozess zu steuern und aufrecht zu erhalten, muss regelmäßig seine Wirksamkeit und Effizienz überprüft werden und diese Ergebnisse auf Leitungsebene bewertet werden. Ziel hierbei ist, das weitere Vorgehen im Sicherheitsprozess mit der Leitungsebene abzustimmen. Daher sind alle erforderlichen Änderungen am Sicherheitsprozess, beispielsweise in den Sicherheitszielen oder der Sicherheitsleitlinie, aufzuzeigen. Die Ergebnisse müssen dokumentiert und die bisherigen Aufzeichnungen gepflegt werden.

Regelmäßige Management-Berichte

Damit die Unternehmens- bzw. Behördenleitung die richtigen Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses treffen kann, benötigt sie Eckpunkte über den Stand der Informationssicherheit. Diese Eckpunkte sollten in Management-Berichten aufbereitet werden, die unter anderem folgende Punkte abdecken:

  • Ergebnisse von Audits und Datenschutzkontrollen
  • Berichte über Sicherheitsvorfälle
  • Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess

Die Leitungsebene muss vom IS-Management-Team regelmäßig in angemessener Form über die Ergebnisse der Überprüfungen und den Status des IS-Prozesses informiert werden. Dabei sollten Probleme, Erfolge und Verbesserungsmöglichkeiten aufgezeigt werden.

Ein Management-Bericht sollte kurz und übersichtlich sein. Die folgenden Punkte können dabei, je nach aktueller Situation, relevant sein. Allerdings sollten nicht alle gleichzeitig in einem Management-Bericht zur Informationssicherheit betrachtet werden, um diesen nicht zu überfrachten. Es ist also zu überlegen, aufzeigen

  • inwieweit die Vorgaben des Sicherheitskonzepts im Unternehmen oder in der Behörde bereits abgedeckt sind,
  • an welchen Stellen noch Lücken - und damit Restrisiken - bestehen,
  • welche Sicherheitsvorfälle aufgetreten sind, welche Schäden entstanden sind und welche Schäden verhindert werden konnten,
  • welche Ergebnisse interne Überprüfungen und Audits erbracht haben (siehe M 2.199 Aufrechterhaltung der Informationssicherheit ),
  • inwieweit das Sicherheitsniveau den Sicherheitsanforderungen und der Bedrohungslage der Institution genügt,
  • ob sich Rahmenbedingungen geändert haben, so dass weitere Maßnahmen erforderlich sind,
  • ob die Aktivitäten im Rahmen der Informationssicherheit Erfolg hatten,
  • ob sich die Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen,
  • welche Rückmeldungen es von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu Sicherheitsaspekten gab,
  • welche Ressourcen für Informationssicherheit aufgewendet wurden,
  • ob und wie die bisherigen Management-Entscheidungen umgesetzt wurden und ob die Aktivitäten im Rahmen der Informationssicherheit Erfolg hatten.

Daneben sollte sowohl ein Ausblick auf die zu erwartende Weiterentwicklung der organisationsweiten Informationssicherheit gegeben werden, als auch auf technische Entwicklungen und Verfahrensweisen, die eventuell zur Verbesserung des Sicherheitsprozesses beitragen könnten.

Anlassbezogene Management-Berichte

Neben den regelmäßigen Management-Berichten kann es notwendig sein, bei überraschend auftretenden Sicherheitsproblemen oder aufgrund von Risiken, die aus neuen technischen Entwicklungen resultieren, anlassbezogene Management-Berichte zu erstellen. Dies ist vor allem dann der Fall, wenn diese Probleme nicht auf Arbeitsebene gelöst werden können, weil z. B. materielle Ressourcen außerhalb des bewilligten Rahmens benötigt werden oder weitergehende personelle Regelungen getroffen werden müssen.

Immer wieder erregen Sicherheitsvorfälle wie globale Computer-Virenattacken die Aufmerksamkeit der Massenmedien. Es hat sich als sinnvoll erwiesen, auch in diesen Fällen Management-Berichte zu erstellen, um aufzuzeigen, inwieweit die eigene Institution von diesen Sicherheitsvorfällen betroffen wurde. Auch wenn sich die Sicherheitslage ändert ( z. B. durch neue Bedrohungen, neue Technologien, neue Gesetze) kann ein anlassbezogener Management-Bericht sinnvoll sein.

Bei der Abfassung der Management-Berichte sollte berücksichtigt werden, dass sich der Leserkreis in der Regel nicht aus technischen Experten zusammensetzt. Entsprechend sollte sich der Text durch größtmögliche Verständlichkeit und Knappheit auszeichnen, indem gezielt die wesentlichen Punkte, wie beispielsweise bestehende Schwachstellen, aber auch erreichte Erfolge, herausgearbeitet werden.

Am Schluss jedes Management-Berichts, vor allem bei anlassbezogenen Berichten, sollten immer klar priorisierte und mit realistischen Abschätzungen des zu erwartenden Umsetzungsaufwands versehene Maßnahmenvorschläge stehen. Damit wird sichergestellt, dass eine notwendige Entscheidung der Leitungsebene ohne unnötige Verzögerungen herbeigeführt werden kann.

Der Management-Bericht zur Informationssicherheit sollte der Leitungsebene durch ein Mitglied des IS-Management-Teams persönlich präsentiert werden. So können wesentliche Schwerpunkte wie beispielsweise bestehende oder drohende Sicherheitsmängel betont werden. Das Mitglied des IS-Management-Teams steht auch direkt für Rückfragen und weitergehende Erläuterungen zur Verfügung, was erfahrungsgemäß zu einer Beschleunigung des Entscheidungsvorgangs führt.

Darüber hinaus ist der persönliche Kontakt auch wichtig, um Leitungsentscheidungen besser vorbereiten und Probleme schon im Voraus entschärfen zu können. Hilfreich wäre es auch, wenn ein Mitglied der Leitungsebene mit entsprechendem fachlichem Hintergrund und Interesse als Ansprechpartner zur Verfügung steht. Der persönliche Kontakt bietet die Möglichkeit, einen "kleinen Dienstweg" zu etablieren, dessen Existenz sich in dringenden Notfällen als vorteilhaft erweisen kann.

Management-Entscheidungen

Das Management entscheidet auf Grundlage des Management-Berichts über die weitere Vorgehensweise im Sicherheitsprozess. Dabei wird die Behörden- oder Unternehmensleitung bei Bedarf vom IT-Sicherheitsbeauftragten unterstützt. Alle Entscheidungen müssen dokumentiert werden. Dazu gehören insbesondere folgenden Punkte:

  • Erforderliche Aktionen zur Verbesserungen der Effektivität des Sicherheitskonzepts sowie die dafür benötigten Ressourcen
  • Höhe des Schutzbedarfs sowie die Behandlung von Restrisiken, die bei einer an eine ergänzende Sicherheitsanalyse angeschlossene Risikoanalyse identifiziert wurden
  • Veränderungen von sicherheitsrelevanten Prozessen, um internen oder externen Ereignissen zu begegnen, die Einfluss auf das Sicherheitskonzept haben könnten, z. B. in Hinsicht auf Änderungen bei
    • Geschäftszielen
    • Sicherheitsanforderungen
    • Geschäftsprozessen
    • externen Rahmenbedingungen (wie dem gesetzlichen Umfeld oder vertraglichen Verpflichtungen)

Zur kontinuierlichen Verfolgung des Sicherheitsprozesses sollten sämtliche Management-Berichte und Management-Entscheidungen zur Informationssicherheit in geordneter Weise archiviert werden. Diese Dokumentation sollte den Verantwortlichen bei Bedarf kurzfristig zugänglich sein (siehe M 2.201 Dokumentation des Sicherheitsprozesses ).

Da die Management-Berichte zur Informationssicherheit im Allgemeinen sensitive Informationen über bestehende Sicherheitslücken und Restrisiken enthalten, ist deren Vertraulichkeit zu schützen. Es müssen angemessene Schutzvorkehrungen getroffen werden, damit keine unbefugten Personen Kenntnis über den Inhalt der Management-Berichte erlangen.

Prüffragen:

  • Enthalten die Management-Berichte die wesentlichen relevanten Informationen über den Sicherheitsprozess?

  • Sind die Management-Entscheidungen über erforderliche Aktionen, Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen dokumentiert?

  • Werden die Management-Berichte aussagekräftig bewertet und unterschrieben?

  • Werden die Management-Berichte und Management-Entscheidungen archiviert?

Stand: 13. EL Stand 2013