D!NG –
Modell einer integrierten Sicherheitsarchitektur

Durchführung: Sommer 2018

Ausgangsituation

Informationssicherheit, Datenschutz, Notfallmanagement und Geheimschutz – jede dieser vier Säulen der Sicherheit hat den Schutz der Informationen zum Ziel, in unterschiedlichen Dimensionen. In allen vier Bereichen werden Maßnahmen ermittelt, die jeweils sehr ähnliche Anforderungen an Organisationen stellen.  

Wir wollen mit dem GreenLab Antworten auf unterschiedliche Fragen finden, beispielsweise ob bzw. wie die fachlich eigenständigen Themenbereiche Informationssicherheit, Datenschutz, Notfallmanagement und Geheimschutz effektiv zusammenarbeiten sollten und Synergien in Steuerung, Umsetzung und Verwaltung genutzt werden können. Auch wollen wir die Redundanz an Maßnahmen analysieren, deren Zusammenstellung koordinieren und ein Vorgehensmodell entwickeln, das Organisationen ein koordiniertes Vorgehen an die Hand gibt.   

Die Fragestellung hat sich für uns insbesondere aus der Beobachtung und dem Dialog mit verschiedenen Kunden ergeben. Auch wenn die Rahmenbedingungen meist unterschiedlich sind und die Organisationen jeweils spezifische Herausforderungen haben, so konnten wir im Kern sehr ähnliche Muster erkennen. Viele unserer Kunden setzen die vier Themen entsprechend der Vorgaben um. In den Organisationen arbeiten die vier Bereiche aber meist eigenständig nebeneinander und sind in „Silos“ verortet. Und das, obwohl sie in Teilen an gleichen Fragestellungen, nur aus unterschiedlichen Blickwinkeln, arbeiten.

Daher könnte z.B. eine Methodik zur synergetischen Umsetzung der Themen Informationssicherheit, Datenschutz, Notfallmanagement und Geheimschutz ein Ergebnis unseres GreenLabs sein. Der Schutz von Informationen spielt im Rahmen der umfassenden Digitalisierung, des Betriebs von Informations- und Telekommunikationstechnik und erst recht seit dem Wissen um Screening und Predicting gemäß Big Data eine herausragende Rolle. 

Insbesondere zur Gewährleistung der Vertraulichkeit aber auch der Authentizität müssen entsprechend gesetzlicher Vorgaben eine Vielzahl von Schutzmaßnahmen beachtet werden, die weit in organisatorische, betriebliche, rechtliche, infrastrukturelle und IT-bezogene Abläufe und Strukturen eingreifen. Abgeleitet werden diese Maßnahmen aus den Säulen gesetzlich hinterlegter Vorgaben: 

  • dem IT-Grundschutz der Informationssicherheit, gefordert im Umsetzungsplan Bund (UP Bund) und durch die Verordnung für Betreiber kritischer Infrastrukturen (KRITIS), 
  • dem Datenschutz, gesetzlich hinterlegt durch Landes- und Bundesdatenschutzgesetz sowie Datenschutzgrundverordnung (DSGVO) sowie
  • dem Geheimschutz gemäß Sicherheitsüberprüfungsgesetz (SÜG) mit Geheimschutzhandbuch und Verschlusssachenanweisung (VSA).  

Organisationen, die sich mit der Konzeption und der Implementierung dieser Maßnahmen befassen, sehen sich mit einer hohen Redundanz und mehrfachen Abhängigkeiten zwischen diesen Säulen konfrontiert. In allen Bereichen finden sich vielfältige Anforderungen zur Umsetzung von bspw. Zutrittsschutz, Verschlüsselung oder Authentisierung. Dabei existieren jedoch bislang weder Standards noch Good Practices, um die entsprechenden Maßnahmen zu koordinieren und zu steuern oder gegenseitig zu berücksichtigen und zu bewerten. Die Verantwortung für ihre Umsetzung liegt bei den jeweilig zugeordneten Rollen des IT-Sicherheitsbeauftragten, dem Datenschutz- und dem Geheimschutzbeauftragten (teilweise in Personalunion). In den Organisationen besteht Handlungsdruck. 

Mit dem GreenLab möchten wir einen Ansatz und eine Vorgehensweise zur Koordination und Steuerung der „Säulen der Sicherheit“ identifizieren. Insbesondere die Rolle Datenschutzbeauftragter und Geheimschutzbeauftragter arbeiten mit gesetzlichem Auftrag und Anforderungen, die zu beachten und erfüllen sind. Die Beachtung dieser verbindlichen Vorgaben und der Erhalt der Unabhängigkeit der jeweiligen Rollen erfordern gegenseitiges Verständnis bei der Zusammenarbeit. Der Ansatz integrierter Sicherheitsarchitektur versucht, die unterschiedlichen Herausforderungen und Anforderungen in einem Modell abzubilden. Die Absicherung der jeweiligen Schutzbedarfe kann als gemeinsamer Ausgangspunkt dienen. 

Thesen

Aus unserer Sicht sind zwei grobe Handlungsstränge notwendig, um den vielfältigen Herausforderungen und komplexen Anforderungen zur Etablierung von Informationssicherheit in Unternehmen zu begegnen:

  • Die vier sicherheitsrelevanten Themenbereiche (Datenschutz, Geheimschutz, Informationssicherheit und Notfallmanagement) müssen zusammengeführt werden.
  • Organisationen müssen das Management von Sicherheit effektiver gestalten. 

Bei der Diskussion und Ausarbeitung unserer Ergebnisse stellen diese beiden Thesen der Ausgangspunkt unserer Überlegungen dar.  

Vorgehen

Wir sind in unserem GreenLab mit dem Anspruch gestartet, die Bearbeitung der Sicherheitsthemen (Informationssicherheit, Datenschutz, Notfallmanagement und Geheimschutz) in Organisationen einfacher und attraktiver zu machen. Drei Phasen bestimmten unser Vorgehen.

Im ersten Schritt haben wir die wesentlichen Herausforderungen und die aktuelle Situation der Bearbeitung von Sicherheitsthemen in Organisationen definiert. Wir haben unsere Erfahrung und Expertise bei der Umsetzung von Sicherheitsprojekten für die öffentliche Hand einfließen lassen. Ein wesentlicher Aspekt war es, die Sicht unserer Kunden zu kennen und in unsere Überlegungen aufzunehmen. Über Expertengespräche mit wesentlichen Stakeholdern der oberen Bundesbehörden und dem Land Berlin sind wir in den direkten Kundendialog getreten und haben die Herausforderung zur Aufrechterhaltung der Sicherheit in Organisationen offen diskutiert. Nach den internen Vorüberlegungen zum Scope des GreenLabs und der Reflektion mit Experten und Kunden ging es in medias res. In zwei Offsites haben wir den Lösungsraum, Methoden und Lösungsansätze einer "integrierten Sicherheitsarchitektur" ausgearbeitet. 

Beim ersten Offsite im Mai 2018 haben wir eine Bestandsaufnahme der Bearbeitung des Themas Sicherheit in Organisationen durchgeführt und mögliche Ziele definiert. Wir haben unterschiedliche Normen, Rollen, organisatorische und technische Herausforderungen diskutiert. Im Ergebnis wurde deutlich, dass die Einrichtung eines Security Desk praktikabel erscheint und agile Methoden zur operativen Abarbeitung unterschiedlichster sicherheitsrelevanter Themen in Organisationen sinnvoll sind. 

Im zweiten Offsite (Juni 2018) haben wir unser Modell der "integrierten Sicherheitsarchitektur" auch unter Berücksichtigung von Use Cases weiter ausdifferenziert und konkretisiert. Sven und Onnen überlegten aus organisatorischer Sicht, wie die Einrichtung eines Security Desks funktionieren kann und definierten Anforderungen für eine mögliche Toolunterstützung. Dana und Inna erörterten die Einführung von agilen Methoden zur effizienteren Abarbeitung von Sicherheitsthemen. Im Rahmen von "Pitches" wurden die Zwischenergebnisse vorgestellt, diskutiert, verfeinert und zur Bearbeitung offener Punkte identifiziert.  

Am Anfang des Greenlabs stand mit der "integrierten Sicherheitsarchitektur für Organisationen: Sicherheit, Datenschutz und Geheimschutz gemeinsam umsetzen", kurz "iSafOSDuGgu", ein umfangreiches Themenfeld. Dies ließ sich zum Ende des GreenLabs auf ein griffiges Praxismodell zur Umsetzung der Sicherheit in Organisationen eingrenzen. 

Ergebnis/ Ansatzpunkte

Sicherheit erfordert eine breite Wahrnehmung im Unternehmen. Daher war es uns wichtig, das Thema möglichst einfach und verständlich darzustellen. Folgende Annahmen liegen den erarbeiteten Ergebnissen zugrunde: 

  • Sicherheit muss breit gedacht werden – Sicherheit ist das Zusammenspiel der Bereiche Informationssicherheit (inkl. IT-Security), Datenschutz, Notfallmanagement und Geheimschutz.
  • Die Verantwortlichen der vier Bereiche sollten Sicherheit in der Organisation übergreifend gestalten und steuern. Die konkrete Ausgestaltung hängt insbesondere mit der Größe der Organisation zusammen. 
  • Sicherheit muss zentral in die Geschäftsprozesse der Organisation eingebettet werden. 
  • Es bedarf nicht nur des Zusammenspiels der beteiligten Sicherheitsrollen, sondern insbesondere auch eines agilen Ansatzes und einer integrativen Tool-Unterstützung, um Sicherheit zu gestalten. 

Im Wesentlichen sind vier Ergebnisobjekte im Rahmen unseres GreenLabs entstanden: 

1. Whitepaper Security Desk (SeD) / Security Board (SeB)
Im Kern unseres Modells steht die Idee und Notwendigkeit, dass die vier Sicherheitsrollen einer Organisation nicht nur kontinuierlich und effektiv zusammenarbeiten, sondern auch, dass es für das Thema Sicherheit eine zentrale Anlaufstelle in der Organisation gibt. Durch entsprechende, schlanke Prozesse und Tool-Unterstützung wird ebenfalls sichergestellt, dass Zuständigkeiten klar geregelt und Transparenz zum Status und Ergebnissen vorhanden sind. Zum Whitepaper Security Desk

2. Whitepaper Agilität
Der Einsatz von agilen Methoden ist insbesondere in Umfeldern mit hoher Komplexität und hoher Unsicherheit sinnvoll. In unserem Whitepaper „Sicherheit agil managen“ gehen wir noch einmal konkret auf die Vorteile und auch Grenzen für den Einsatz von Agilität im Kontext Sicherheit im Unternehmen ein, beschreiben mögliche Rollen und Verantwortlichkeiten und skizzieren die Umsetzung anhand eines ersten Anwendungsszenarios. Zum Whitepaper Agilität

3. Acht Goldene Sicherheitsregeln
Wir haben versucht alle Inhalte auf das Wesentliche zu reduzieren und kompakt darzustellen. Die acht Goldenen Regeln stellen das Ergebnis unseres GreenLabs auf der Meta-Ebene dar. Zu den goldenen Regeln

Grafik D!NG

4. Erklärfilm
Neben den goldenen Regeln und zwei Whitepapers werden die Ergebnisse abgerundet durch einen „Erklärfilm“, in dem die wesentlichen Arbeitsergebnisse (Organisation, Methodik, Technik) prägnant für Jedermann darstellt werden. Iterativ haben wir unserer Sicherheitsarchitektur einen Namen gegeben. Ein Titel für das Modell der Integrierten Sicherheitsarchitektur steht: D!NG (Datenschutz, Informationssicherheit, Notfallmanagement, Geheimschutz). 

Fazit

Mit dem Greenlab haben wir aus unserer Sicht einen ersten Schritt in die richtige Richtung gemacht:  

Wir haben versucht, mit etwas Abstand zum täglichen „Doing“ ganz objektiv auf die Situation in den Organisationen zu schauen, um die Etablierung von Informationssicherheit mit mehr Geschwindigkeit nach vorne zu bringen. 

Einfach war und ist es nicht und die Reise hat gerade erst begonnen. Denn der Teufel steckt ja bekanntlich im Detail und dies bedeutet auch für die Organisationen umzudenken. Sicherheit im Unternehmen ist komplex und nicht planbar.  Umso mehr sind Kollaboration, kontinuierliche Kommunikation und die Wiederbelebung des Community-Gedankens erfolgskritisch, um einen proaktiven und kreativen Umgang von Sicherheit innerhalb des Unternehmens zu gewährleisten.