Bundesamt für Sicherheit in der Informationstechnik

M 2.339 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Damit die gesteckten Sicherheitsziele erreicht werden können, müssen dafür angemessene Ressourcen bereitgestellt werden.

Bereitstellung von Ressourcen für Informationssicherheit

Informationssicherheit erfordert ausreichende finanzielle und personelle Ressourcen sowie eine geeignete Ausstattung. Diese müssen dem Informationssicherheitsmanagement-Team von der Behörden- bzw. Unternehmensleitung in angemessenem Umfang bereitgestellt werden.

Es ist zu empfehlen, dass das IS-Management-Team anhand der Sicherheitsziele die für die Umsetzung aller identifizierten Maßnahmen benötigten Ressourcen aufzeigt. Dies dient einerseits als Grundlage für Management-Entscheidungen über die Zuteilung der Ressourcen und andererseits zur Festlegung der Projektpläne und der Umsetzungszeiträume.

Zugriff auf externe Ressourcen

Die internen Sicherheitsexperten sind häufig mit ihren Routinetätigkeiten so ausgelastet, dass sie bei neuen Aufgaben oder Entwicklungen nicht alle sicherheitsrelevanten Einflussfaktoren analysieren oder Sicherheitslösungen umsetzen können. Hierzu gehören beispielsweise geänderte gesetzliche Anforderungen, die Einführung neuer IT-Systeme sowie die Verfolgung der aktuellen technischen Entwicklungen. Um Arbeitsspitzen bewältigen zu können, müssen entweder intern zusätzliche Mitarbeiter eingesetzt oder auf externe Experten zurückgegriffen werden. Der Bedarf muss von den internen Sicherheitsexperten kommuniziert werden, damit die Leitungsebene die erforderlichen Ressourcen bereit stellt.

Es ist sicherzustellen, dass alle erforderlichen Sicherheitsmaßnahmen umgesetzt werden, sei es durch den Rückgriff auf externe oder interne Kräfte.

Ressourcen für den IT-Sicherheitsbeauftragten

Ohne eine funktionierende Organisationsstruktur für Informationssicherheit nützen die teuersten technischen Lösungen nichts. Die Erfahrung zeigt, dass die Berufung eines IT-Sicherheitsbeauftragten die effektivste Sicherheitsmaßnahme ist. Nach der Bestellung eines Sicherheitsbeauftragten geht in den meisten Institutionen die Anzahl an Sicherheitsvorfällen signifikant zurück. Damit der IT-Sicherheitsbeauftragte eine tatsächliche Verbesserung des Sicherheitsniveaus erreichen kann, muss er

  • ausreichend Zeit für seine Arbeit haben,
  • ausreichend in alle Geschäftsprozesse, Fachaufgaben und Projekte integriert sein,
  • genügenden Zugriff auf alle erforderlichen Ressourcen haben.

In kleineren Institutionen ist es möglich, dass ein Mitarbeiter die Aufgaben des IT-Sicherheitsbeauftragten in Personalunion neben seinen eigentlichen Tätigkeiten wahrnimmt.

Ressourcen für das Informationssicherheitsmanagement-Team

Ein IS-Management-Team sollte immer dann eingerichtet werden, wenn der IT-Sicherheitsbeauftragte alleine nicht mehr alle Geschäftsprozesse und Projekte betreuen kann, also die Institution eine gewisse Größenordnung überschritten hat.

Die erstmalige Einrichtung des Sicherheitsprozesses ist meist mit einem erhöhten Aufwand verbunden. Häufig ist es deshalb zweckmäßig, dem IS-Management-Team für diese Phase zusätzliche personelle Ressourcen zur Verfügung zu stellen.

Bereitstellung von Ressourcen für den IT-Betrieb

Grundvoraussetzung für einen sicheren IT-Betrieb ist, dass dieser reibungslos funktioniert, also vernünftig geplant und organisiert ist. Für den IT-Betrieb müssen ausreichende Ressourcen zur Verfügung gestellt werden. Typische Probleme des IT-Betriebs (knappes Budget, überlastete Administratoren und eine unstrukturierte oder schlecht gewartete IT-Landschaft) müssen in der Regel gelöst werden, damit die eigentlichen Sicherheitsmaßnahmen wirksam und effizient umgesetzt werden können. Ob die bereitgestellten Ressourcen ausreichen, zeigt sich beispielsweise daran, ob die IT-Benutzer angemessen betreut werden oder ob alle Hard- und Software wie vorgesehen getestet wird.

Wirtschaftlichkeitsaspekte in der Sicherheitsstrategie

Die Sicherheitsstrategie sollte von Beginn an auch Wirtschaftlichkeitsaspekte berücksichtigen. Bei der Auswahl der umzusetzenden Sicherheitsmaßnahmen sollten die zur Verfügung stehenden Ressourcen berücksichtigt werden. Wenn für bestimmte Maßnahmen keine ausreichende technische oder personelle Unterstützung vorhanden ist, muss die Strategie geändert werden. In vielen Fällen lassen sich andere Maßnahmen finden, die zu einem ähnlichen Sicherheitsniveau führen. Wenn aber die formulierten Sicherheitsziele und die vorhandenen finanziellen, technischen oder personellen Möglichkeiten zu weit auseinander liegen, müssen sowohl die Sicherheitsziele als auch die Geschäftsprozesse grundsätzlich überdacht werden. In diesem Fall muss auch die Leitungsebene über diese Diskrepanz informiert werden, damit sie gegebenenfalls Korrekturmaßnahmen veranlassen kann.

Bei der Festlegung von Sicherheitsmaßnahmen sollten immer die für die Umsetzung benötigten personellen und finanziellen Ressourcen konkret genannt werden. Hierzu gehört die Benennung von Verantwortlichen und anderen Ansprechpartnern, aber auch die Festlegung genauer Terminpläne und der zu beschaffenden Materialien. Es empfiehlt sich außerdem, bei allen geplanten Sicherheitsmaßnahmen zu dokumentieren, ob die für Informationssicherheit eingeplanten Ressourcen termingerecht bereitgestellt wurden und was die Gründe für Projektabweichungen waren. Nur so lassen sich nachhaltige Verbesserungen erreichen und Störungen vermeiden.

Ressourcen für die Überprüfung der Informationssicherheit

Alle Sicherheitsmaßnahmen müssen regelmäßig auf ihre Wirksamkeit und Eignung geprüft werden. Auch hierfür müssen ausreichende Ressourcen bereitgestellt werden. Generell sollten nicht diejenigen, die Sicherheitsmaßnahmen konzipiert haben, deren Wirksamkeit und Eignung prüfen. Hierfür kann auch externer Sachverstand hinzugezogen werden, um Betriebsblindheit zu vermeiden.

Die Frage, ob ausreichende Ressourcen für Informationssicherheit bereitgestellt werden, ist wesentlich schwieriger zu beantworten als die Überprüfung von rein technischen Aspekten.

Prüffragen:

  • Sind die finanziellen und personellen Ressourcen für die Informationssicherheit angemessen?

  • Wurden bei der Festlegung von Sicherheitsmaßnahmen die für die Umsetzung erforderlichen Ressourcen beziffert?

  • Wurden für Informationssicherheit eingeplante Ressourcen tatsächlich termingerecht bereitgestellt?

  • Haben der IT -Sicherheitsbeauftragte bzw. das Informationssicherheitsmanagement-Team genügend Zeit für ihre Sicherheitsaufgaben?

  • Gibt es ausreichend Ressourcen für einen ordnungsmäßigen IT -Betrieb?

Stand: 13. EL Stand 2013