Informationssicherheit und die „drei Seiten“ einer Organisation
Möchte man als Unternehmen, Krankenhaus, Behörde oder Verein Informationssicherheit umsetzen, dann geht kein Weg vorbei an „Informationssicherheitsmanagement“. Die grundlegende Erkenntnis, wonach Informationssicherheit kein Zustand, sondern ein Prozess ist, bedeutet in der Praxis, dass es nicht mit einer einmaligen Anstrengung getan ist. Dies mag zunächst verwundern, würde man doch annehmen, dass es bei der Informationssicherheit darum geht, die IT richtig, d. h. „sicher“ einzustellen und diese Einstellung dauerhaft beizubehalten. Gleich einer Burg, die man errichtet und in der man fortan vor Angriffen sicher ist. Leider ist es nicht so einfach. Angefangen damit, dass das größte Einfallstor für Sicherheitsvorfälle der Mensch ist, der als Beschäftigter in Unternehmen, Krankenhäusern und Behörden häufig „kommt und geht“ – über Software, die heute oft nur halbfertig auf den Markt kommt und über Updates fortlaufend weiterentwickelt wird – bis hin zu sich wiederholenden und zudem stets verändernden Angriffen und Bedrohungen:
Informationssicherheit ist eine Daueraufgabe, mit der man nie „fertig“ wird.
Aufgaben in einer Organisation auf Dauer zu stellen bedeutet, sie in einen Prozess zu überführen. Bevor wir den Informationssicherheitsprozess in kommenden Beiträgen näher beleuchten, möchten wir an dieser Stelle versuchen, das ‚bigger picture‘ zu zeichnen und den Sicherheitsprozess organisationstheoretisch einordnen. Hierzu unterscheiden wir mit dem Systemtheoretiker Stefan Kühl [1] drei „Seiten“ einer Organisation: Schauseite, formale Seite, informale Seite.
Die Schauseite einer Organisation könnte man auch als deren Fassade bezeichnen, in der sich alle Marketing-Aspekte vereinigen. Hierunter fällt zunächst jegliche Kommunikation, die sich in werbender Absicht an Externe wendet, wie z. B. eine Webpräsenz, Informationsbroschüren, generell das Corporate Design, Werbeveranstaltungen und Messeauftritte. Zunehmend richtet sich Marketing aber auch an Interne, wenn z. B. bei Beschäftigten um Akzeptanz für Veränderungs- oder Umstrukturierungsprozesse geworben wird. Informationssicherheit ist für die Schauseite einer Organisation von Bedeutung, da mit einer ISO 27001-Zertifizierung geworben werden kann und etwa auf Webseiten und in Werbebroschüren geworben wird. Der Werbeeffekt folgt daraus, dass vom Betrachter regelmäßig der – durchaus plausible – Schluss gezogen wird, dass in der Organisation eine gewisse „Ordnung“ herrscht, die etwas über die Produktions- und sonstigen Prozesse und damit auch über die Qualität der angebotenen Produkte und Dienstleistungen aussagt. Auch wenn fraglich ist, ob dieser Schluss zulässig ist, gilt: ISO-Zertifizierungen machen „etwas her“, und sind zweifellos eine gute Werbung für ein Unternehmen.
Die formale Seite von Organisationen ist mit Sicherheit der Fokus aller Bemühungen um Informationssicherheit. Auf der formalen Seite einer Organisation finden sich die offiziellen Kommunikationswege, wie sie etwa in Organigrammen festgehalten werden sowie die verfolgten Strategien und dazu passenden Programme – etwa die Durchführung von Online-Werbekampagnen im Google-Ökosystem oder das Abhalten von Integrationskursen nach den curricularen Vorgaben des Bundesamts für Migration und Flüchtlinge. Mit Stefan Kühl ist anzunehmen, dass die Etablierung formaler Kommunikationswege und Programme im Kern in der Verteilung von Beweislasten zu sehen ist. Die Abweichung hiervon wird nicht per se sanktioniert, sondern nur, wenn sich das unter Umgehung der offiziellen Kommunikationswege und Programme erzielte Ergebnis nicht mindestens als ebenso gut im Sinne der definierten Zwecke der Organisation darstellt. Wenn etwa in den genannten Beispielen eigentlich nicht vorgesehene Verbreitungskanäle für Online-Werbung verwendet oder nicht die offiziellen Unterrichtsmaterialien in den Integrationskursen eingesetzt werden, so dürften die jeweiligen Mitarbeiterinnen jedenfalls dann nicht sanktioniert werden, wenn sich trotz bzw. wegen dieses Regelverstoßes ein besserer Werbeeffekt bzw. ein besseres Lernergebnis erzielen ließ. Informationssicherheit als Prozess zu implementieren bedeutet demnach, eine Beweislast hinsichtlich der Befolgung bestimmter sicherheitsrelevanter Programme und Kommunikationswege in die Organisation einzuführen. Allgemein gesprochen geht es hierbei um klassisches „Risikomanagement“ – wozu die Identifikation, Behandlung und Messung sicherheitsrelevanter Faktoren in dokumentierter Form und durch dedizierte Rollen gehört. Wenn Aufsichtsbehörden nach dem „angemessenen Schutzniveau“ fragen oder Auftraggeber den Nachweis eines Informationssicherheitszertifikats verlangen, dann geht es ihnen um diese „Formalia“.
Stefan Kühl weist zurecht darauf hin, dass die Reaktion auf eine starke Verregelung und Formalisierung von Organisationen stets eine erhöhte Bereitschaft zum Regelbruch und zur Illegalität ist. Hiermit sind wir bei der spannenden Frage, wie es gelingt, dass der Prozess der Informationssicherheit mehr als nur „Papier-Compliance“ ist. Diese Frage ist mit Blick auf die informale Seite von Organisationen zu beantworten.
Die informale Seite ist das Pendant zur formalen Seite einer Organisation. Sie bezeichnet Phänomene wie den „kurzen Dienstweg“, die „kommunikativen Trampelpfade“ oder auch die „Unternehmenskultur“. Jedenfalls ist sie das Pendant zur formalen Seite und zeichnet sich demnach etwa dadurch aus, dass sie nicht dokumentiert ist und sich dynamisch, spontan und meist ‚bottom-up‘ entwickelt. Die informale Seite kann mehr oder weniger sichtbar, mehr oder weniger ausgeprägt und unterschiedlich motiviert sein. In diesem Zusammenhang ist von Bedeutung, dass Handlungen auf der informalen Seite tendenziell „Compliance-feindlich“ sind. Der kurze Dienstweg ist häufig sehr effektiv und nicht umsonst gilt der „Dienst nach Vorschrift“ als die effektivste Form der Sabotage in einer Organisation. Wenn es aber – wie bei der Informationssicherheit – darum geht, Prozesse und Ereignisse nachvollziehbar und voraussagbar zu machen, dann ist das informale ‚muddling through‘ Gift. Informationssicherheit wird zu einem zahnlosen Papiertiger, wenn es zwar Policys und definierte Meldewege gibt, diese aber aus Bequemlichkeit nicht befolgt werden. In diesem Fall mag das Management seiner Risikominimierungspflicht durch die Einführung der Informationssicherheit als eines formalen Prozesses zwar nachgekommen sein, das tatsächliche Risiko von Sicherheitsvorfällen wäre aber unverändert.
Die Antwort auf diese Herausforderung der Informationssicherheit durch die Informalität liegt zusammengefasst in der Passgenauigkeit des Informationssicherheitsmanagements für die jeweilige Organisation. Ein ‚one-size-fits-all-Ansatz‘ wird zwangsläufig an der Realität in einer Organisation vorbeigehen und mangels Akzeptanz bei den Beteiligten auf der formalen Ebene steckenbleiben. Passgenauigkeit bedeutet u. a.: die Zahl der Policys auf das Notwendigste zu reduzieren und wenn möglich, technisch zu erzwingen; Zuständigkeiten und Kommunikationswege strikt an den vorhandenen Strukturen und Ressourcen zu orientieren; die Bedeutung der Informationssicherheit in der Organisation nachhaltig zu vermitteln; etc. Diese Aufgaben sind nicht trivial und kaum eine Organisation wird dies nebenher erledigen können.
Gerne finden wir zusammen mit Ihnen heraus, wie Informationssicherheit in Ihre Organisation passt.
[1] Stefan Kühl, Organisationen. Eine sehr kurze Einführung, 2. Auflage, Wiesbaden 2020; Stefan Kühl, Organisationen gestalten. Eine kurze organisationstheoretisch informierte Handreichung, Wiesbaden 2016.