M 2.200 Managementreporte und -bewertungen der IT-Sicherheit
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team, IT-Sicherheitsbeauftragter,
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Behörden-/Unternehmensleitung
Zu den Aufgaben des IT-Sicherheitsbeauftragten gehört es, die Behörden- oder Unternehmensleitung bei der Wahrnehmung ihrer Gesamtverantwortung für die IT-Sicherheit zu unterstützen. Eine wichtige Grundlage für die zu treffenden Entscheidungen sind übersichtliche und aussagekräftige Informationen zur aktuellen Lage der IT-Sicherheit in der Institution.
Um den IT-Sicherheitsprozess zu steuern und aufrecht zu erhalten, muss mindestens einmal im Jahr eine Managementbewertung der IT-Sicherheit durchgeführt werden. Ziel der Managementbewertung der IT-Sicherheit ist, das weitere Vorgehen im IT-Sicherheitsprozess mit der Leitungsebene abzustimmen. Die Managementreporte dienen dabei als Entscheidungsgrundlage für die Managementbewertung.
In der Managementbewertung müssen alle erforderlichen Änderungen am Sicherheitsprozess aufgezeigt und festgelegt werden, beispielsweise in den Sicherheitszielen oder der Sicherheitsleitlinie. Alle Ergebnisse der Managementbewertung müssen dokumentiert und Aufzeichnungen gepflegt werden.
Managementreporte
Grundsätzlich ist zwischen zwei verschiedenen Formen von Managementreporten zu unterscheiden:
Regelmäßige Managementreporte
Durch regelmäßige Managementreporte wird sichergestellt, dass die Leitungsebene die Informationen erhält, die sie zur Managementbewertung benötigt.
Ein Managementreport IT-Sicherheit sollte aufzeigen:
- inwieweit die Vorgaben des IT-Sicherheitskonzepts im Unternehmen oder in der Behörde bereits abgedeckt sind,
- an welchen Stellen noch Lücken - und damit Restrisiken - bestehen,
- welche IT-Sicherheitsvorfälle aufgetreten sind,
- welche Schäden entstanden sind und welche Schäden verhindert werden konnten,
- welche Ergebnisse interne Überprüfungen und Audits erbracht haben (siehe M 2.199 Aufrechterhaltung der IT-Sicherheit),
- inwieweit das IT-Sicherheitsniveau den Sicherheitsanforderungen und der Bedrohungslage der Institution genügt,
- ob sich Rahmenbedingungen geändert haben, so dass weitere Maßnahmen erforderlich sind, ob die Aktivitäten im Rahmen der IT-Sicherheit Erfolg hatten,
- ob sich die IT-Sicherheitsmaßnahmen zur Erreichung der IT-Sicherheitsziele als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen,
- welche Rückmeldungen es von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu IT-Sicherheitsaspekten gab,
- welche Ressourcen für IT-Sicherheit aufgewendet wurden,
- ob und wie die Entscheidungen der letzten Managementbewertung umgesetzt wurden und ob die Aktivitäten im Rahmen der IT-Sicherheit Erfolg hatten.
Daneben sollte auch ein Ausblick auf die zu erwartende Weiterentwicklung der organisationsweiten IT-Sicherheit gegeben werden und es sollte dargestellt werden, ob es technische Entwicklungen oder Verfahrensweisen gibt, die zur Verbesserung des IT-Sicherheitsprozesses beitragen können.
Anlassbezogene Managementreporte
Neben den regelmäßigen Managementreporten kann es auch notwendig sein, bei überraschend auftretenden IT-Sicherheitsproblemen oder aufgrund von Risiken, die aus neuen technischen Entwicklungen resultieren, anlassbezogene Managementreporte zu erstellen. Dies ist vor allem dann der Fall, wenn sich herausstellt, dass diese Probleme nicht auf der Arbeitsebene beseitigt werden können, weil z. B. materielle Ressourcen außerhalb des bewilligten Rahmens benötigt werden oder weitergehende personelle Regelungen getroffen werden müssen.
Immer wieder erregen IT-Sicherheitsvorfälle wie globale Computer-Virenattacken die Aufmerksamkeit der Massenmedien. Es hat sich als sinnvoll erwiesen, auch in diesen Fällen Managementreporte zu erstellen, um aufzuzeigen, inwieweit die eigene Organisation von diesen Sicherheitsvorfällen betroffen wurde. Auch wenn sich die IT-Sicherheitslage ändert (z. B. neue Bedrohungen, neue Technologien, neue Gesetze) kann ein anlassbezogener Managementreport sinnvoll sein.
Bei der Abfassung der Managementreporte sollte berücksichtigt werden, dass sich der Leserkreis in der Regel nicht aus technischen Experten zusammensetzt. Entsprechend sollte sich der Text durch größtmögliche Verständlichkeit und Knappheit auszeichnen. Es sollten also gezielt die wesentlichen Punkte, insbesondere also bestehende Schwachstellen, aber auch erreichte Erfolge, herausgearbeitet werden.
Zum Abschluss des Managementreports, vor allem bei anlassbezogenen Berichten, sollten immer klar priorisierte und mit realistischen Abschätzungen des zu erwartenden Umsetzungsaufwands versehene Maßnahmenvorschläge stehen. Hierdurch wird sichergestellt, dass eine notwendige Entscheidung der Leitungsebene ohne unnötige Verzögerungen herbeigeführt werden kann.
Wenn irgend möglich, sollte der Managementreport zur IT-Sicherheit der Leitungsebene nicht nur schriftlich unterbreitet, sondern auch durch ein Mitglied des IT-Sicherheitsmanagement-Teams präsentiert werden. Eine solche persönliche Übergabe eröffnet zum einen die Möglichkeit, auf wesentliche Schwerpunkte, insbesondere auf bestehende oder drohende Sicherheitsmängel mit besonderem Nachdruck hinzuweisen. Zum anderen steht der anwesende IT-Sicherheitsverantwortliche auch direkt für Nachfragen oder weitergehende Erläuterungen zur Verfügung, was wiederum erfahrungsgemäß zu einer Beschleunigung des Entscheidungsvorgangs führt. Nicht zuletzt bietet ein solcher persönlicher Kontakt die Möglichkeit, einen "kleinen Dienstweg" zu
etablieren, dessen Existenz sich in dringenden Notfällen als sehr hilfreich erweisen kann. Alternativ bzw. ergänzend zur persönlichen Präsentation des Managementreports sollte überlegt werden, ob ein Mitglied der Leitungsebene des Unternehmens oder der Behörde mit entsprechendem fachlichen Hintergrund und Interesse vorab als Ansprechpartner zur Verfügung steht. Auch so können Leitungsentscheidungen besser vorbereitet und Probleme schon im Voraus entschärft werden.
Managementbewertung
In der Managementbewertung werden auf Grundlage des Managementreports Entscheidungen hinsichtlich der weiteren Vorgehensweise in Bezug auf den IT-Sicherheitsprozess getroffen. Dabei wird die Behörden- oder Unternehmensleitung gegebenenfalls vom IT-Sicherheitsbeauftragten unterstützt.
Die Managementbewertung sollte Entscheidungen zu folgenden Punkten vorbereiten und dokumentieren:
- Erforderliche Aktionen zur Verbesserungen der Effektivität des IT-Sicherheitskonzepts sowie die dafür benötigten Ressourcen
- Höhe des Schutzbedarfs sowie die Behandlung des Restrisikos in der ergänzenden Risikoanalyse
- Veränderungen von sicherheitsrelevanten Prozessen, um internen oder externen Ereignissen zu begegnen, die Einfluss auf das IT-Sicherheitskonzept haben könnten, z. B. in Hinsicht auf Änderungen bei
- Geschäftszielen
- Sicherheitsanforderungen
- Geschäftsprozessen
- externen Rahmenbedingungen (wie dem gesetzlichen Umfeld oder vertraglichen Verpflichtungen)
Zur kontinuierlichen Verfolgung des IT-Sicherheitsprozesses sollten sämtliche Managementreporte und Managementbewertungen zur IT-Sicherheit zusammen mit Vermerken über die getroffenen Entscheidungen in geordneter Weise archiviert werden. Diese Dokumentation sollte den Verantwortlichen bei Bedarf kurzfristig zugänglich sein (siehe M 2.201 Dokumentation des IT-Sicherheitsprozesses).
Da die Managementreporte zur IT-Sicherheit im Allgemeinen sensitive Informationen über bestehende Sicherheitslücken und Restrisiken enthalten, ist deren Vertraulichkeit zu schützen. Es müssen angemessene Schutzvorkehrungen getroffen werden, damit keine unbefugten Personen Kenntnis über den Inhalt der Managementreporte erlangen.
Ergänzende Kontrollfragen:
- Beinhalten die Managementreporte die wesentlichen relevanten Informationen des IT-Sicherheitsprozesses?
- Werden die Managementreporte aussagekräftig bewertet und unterschrieben?
- Werden die Managementreporte und Managementbewertungen archiviert?