Wer Governance sagt, spricht ein mächtiges Wort gelassen aus. Auf der Ebene der Unternehmensführung hat sich der Begriff schon längst etabliert. Im Kontext von Krisen und Krisenmanagement werden unter dem Oberbegriff Governance bereits seit den 90er Jahren des letzten Jahrhunderts Prinzipien einer verantwortungsvollen, auf langfristige Wertschöpfung ausgerichteten Unternehmensführung und Kontrolle diskutiert. Diese anhaltende Debatte um die Grundprinzipien nachhaltigen Wirtschaftens, die in den USA ihren Beginn nahm und meist nach Unternehmensinsolvenzen in grossem Stil besonders intensiv geführt wurde, ist zu einer Modedebatte geworden (Man denke auch an die Wirtschafts- und Finanzkrise ab 2008). Doch Governance ist nach wie vor ein Modewort. Trotz allem ist leider bis heute nicht wirklich klar, welche Aspekte unter dem Hauptthemen Governance, IT Governance und Security Governance eigentlich subsumiert werden sollten. Ähnliches gilt für die in diesem Kontext immer wieder zu vernehmenden Meldungen zu den Themen Risk Management, Compliance und Informationssicherheit.

Für ein systematisches und gut integriertes Governance-, Risk-, Compliance- und Security-Management zählen folgende Faktoren:

• Externen Governance Faktoren wie bspw. Umwelt, Markt, Gesamtwirtschaft, Politik, Gesetzgebung und Compliance, sowie Kultur und Gesellschaft.
• Interne Governance Faktoren wie bspw. Strategie, Struktur, Prozesse, Mitarbeitende, Technologien.

Alle diese Faktoren werden nun im Sinne eines wirksamen Steuerungs- und Regelungssystems kapitalmarktorientierter Unternehmen adressiert und stehen als Leitmotive im Mittelpunkt einer verantwortungsvollen, transparenten, effizienten und sicheren Unternehmensführung und unterteilen sich in diese verwandte Teilbereiche:

• Governance: Rahmenwerk von Regeln und Richtlinien, nach denen ein spezifisches Unternehmen geführt und kontrolliert werden soll.
• Risk Management: Strukturierter Prozess des einheitlichen und antizipativen Umgangs mit Risiken und Chancen.
• Compliance: Effektive und effiziente Erfüllung sämtlicher juristisch verbindlicher Richtlinien und Vorgaben.

Die elementarsten Grundprinzipien sind dabei vereinfacht gesagt

• Accountability: Rechenschaftspflicht, Haftungsumfang, Zurechenbarkeit
• Responsibility: Verantwortlichkeit
• Transparency: Offenheit und Transparenz von Prozessen und Strukturen
• Fairness: Fairer Umgang im geschäftlichen Wettbewerb, Einhaltung von Regeln

Begriffe mit vielen Gesichtern

Governance ist also im Allgemeinen ein Begriff, der je nach thematischem Hintergrund und fachlicher Disziplin einem anderen Verständnis unterliegen kann. Um die Bedeutung der Governance aus Sicht der Informationssicherheit besser verstehen zu können, sollte man sich die vielen Facetten der Corporate Governance, IT-Governance und Security Governance vorgegenwärtigen:

Governance

Auf abstraktester Ebene könnte man sagen, dass Governance die verantwortungsvolle, nachhaltige und auf langfristige Wertschöpfung gerichtete Organisation und Steuerung von Aktivitäten und damit das gesamte System interner und externer Leistungs-, Kontroll- und Überwachungsmechanismen umfasst.

IT-Governance

In Bezug auf die IT-Governance wird eine breit akzeptierte Begriffsbestimmung schon schwieriger, da man leider nicht feststellen kann, ob sich eine einheitliche Definition etabliert hätte. Allerdings lässt sich eine Tendenz zu einem gemeinsamen Begriffsverständnis feststellen, welche sich durch folgende Eigenschaften charakterisieren:

• IT-Governance ist Teil der Corporate Governance und weist eine starken Bezug und intensive Überlappungen und Parallelen mit dem Informationsmanagement auf.
• IT-Governance befasst sich im Rahmen der Corporate Governance eines Unternehmens mit der Verteilung von Entscheidungsrechten und Zuständigkeiten in Bezug auf IT sowie den der Verteilung zugrundeliegenden Strukturen, Prozessen und relationalen Mechanismen.
• IT-Governance hat die strategische Ausrichtung der IT auf die Anforderungen und Strategie der Fachseite zum Ziel.

Daraus könnte man nun auch ein gemeinsames Grundverständnis für IT Governance ableiten, welche die Organisation, Steuerung und Kontrolle der IT eines Unternehmens zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie umfasst. Letztendlich soll die IT analog zur Governance des Unternehmens in ein einheitliches Framework eingebunden sein, das sich am Geschäftszweck des Unternehmens orientiert und Leitlinien und Standards setzt.

• Damit ist die IT Governance als Strategiekomponente und Führungsleitlinie der zentralen und dezentralen IT vorgesehen.
• Für das IT-Management ist IT Governance ein Framework zur Definition von Zielen, an denen sich die Ausgestaltung der IT mit Hardware, Software und IT-Prozessen messen lassen muss.

Security Governance

Was bedeutet dies nun für die Informationssicherheit und die notwendige Security Governance?

Am schnellsten lässt sich die Security Governance anhand der Informationssichetheitsziele ableiten; oder was trägt die Security Governance zur Informationssicherheit bei? (Quelle: IT Governance Institute (ITGI) -ISACA):

• Die Security Governance orientiert sich an der Ausrichtung der Unternehmensstrategie, um auch im Rahmen der Informationssicherheit diese Ziele zu unterstützen.
• Sie unterstützt die Etablierung eines Risikomanagements, das dazu dient, die Risiken so weit zu reduzieren, dass ihre Auswirkungen für das Unternehmen tragbar bzw. akzeptierbar sind.
• Sie schafft Mehrwerte durch Investitionen in die Informationssicherheit, die die strategischen Ziele des Unternehmens optimal unterstützen.
• Sie baut ein Ressourcenmanagement auf, das dazu dient, Wissen und Infrastruktur im Bereich der Informationssicherheit effektiv und effizient zu nutzen.
• Sie definiert die Messung der Leistung, um die Zielerreichung bzw. den Fortschritt der Umsetzung der Informationssicherheit durch regelmässige bzw. kontinuierliche Überwachung und Dokumentation sicherzustellen und so ggf. rechtzeitig gegensteuern zu können.
• Sie bindet Kontrollfunktionen an neuralgischen Stellen ein, um sicherzustellen, dass die Prozesse wie vorgesehen ablaufen und funktionieren sowie die Effektivität der Informationssicherheit aufrecht erhalten bleibt.

Die Security Governance orientiert sich also direkt an der Informationssicherheits-Strategie des Unternehmens und schafft damit die Grundlage, die Aktivitäten im Bereich der Informationssicherheit zu steuern. Erst dadurch wird eine effektive und effiziente Umsetzung der Anforderungen im Bereich der Informationssicherheit möglich, welche die Prozesse des Unternehmens voll unterstützt.

Letztlich ist es daher die Aufgabe der Information Security Governance, im Rahmen der Steuerung nicht nur die Verlässlichkeit der Informationstechnik (unter Beachtung der Vorgaben des Information Security Management), sondern eben auch die Beherrschbarkeit der Informationstechnik per se sicherzustellen.

Security Governance ist demnach ein Satz an klaren Verantwortlichkeiten, Praktiken, Prinzipien, die vom CISO und dem Management eingesetzt werden, um die strategischen Ziele vorzugeben. Damit soll sichergestellt werden, dass die Zielvorgaben auch von der Informationssicherheit sinnvoll erreicht werden. Weiterhin soll sichergestellt werden, dass Risiken angemessen gehandhabt und die Ressourcen eines Unternehmens verantwortungsvoll eingesetzt werden.

CISO prägt effiziente Security Governance

In erster Linie müssen die Überlappungen der Corporate-, IT- und Security- Governance und die Schnittstellen zum Thema Risk-, Compliance- und Informationssicherheitsmanagement klar erkannt, abgegrenzt und strukturiert werden, so dass daraus ein Big-Picture entsteht, welches für die Unternehmensleitung, den CIO und CISO auf kollektivem Verständnis fusst.

Der CISO nimmt bei der Ausgestaltung der Security Governance eine Schlüsselrolle ein. Sein Steuerungsinstrument ist das Security Board, welches es ihm ermöglicht, die Informationssicherheit organisationsweit effektiv aufzubauen. Der Manager der Informationssicherheit (CISO) treibt seinen Sicherheits-Prozess voran und ist für Folgendes verantwortlich (Quelle: IT Governance Institute (ITGI)):

• Strategie im Bereich der Informationssicherheit entsteht, die an den Geschäftszielen und den Geschäftszwecken des Unternehmens ausgerichtet ist.
• Aufgebautes, klar geführtes und aufrechterhaltenes Framework der Informationssicherheit (ISMS), alle Aktivitäten so steuert, dass sie die Strategie unterstützen.
• Dass sich die Informationssicherheits-Strategie an der Unternehmensstrategie unter Berücksichtigung der Security Governance auf Basis der Corporate Governance und IT Governance stützt.
• Dass der Aufbau und Aufrechterhaltung von Policies sinnvoll am Unternehmensbedarf ausgerichtet ist.
• Dass die Entwicklung von geschäftlich relevanten Szenarien, welche die Investitionen in die Informationssicherheit stützen und rechtfertigen, mit der Lage und der Exposition des Unternehmens korrespondiert.
• Die Identifizierung aktueller und zukünftig möglicher rechtlicher und regulatorischer Anforderungen bzw. Randbedingungen zeitgerecht aufgenommen werden, um Compliance Issues zu vermeiden.
• Dass die Identifizierung möglicher treibender Kräfte für die Informationssicherheit im Rahmen
  einer Situations-, Markt-, Trend- und Stakeholder-Analyse sichergestellt ist.
• Dass die Definition und Zuordnung von Kompetenzen und Verantwortlichkeiten klar vergeben und den geeigneten Rollen und Funktionen anvertraut sind-
• Dass die internen und externen Kommunikationskanäle solide etabliert sind.

Dabei sollte sich der CISO auch folgende High-Level Fragen stellen:

• Welches sind die wesentlichen Einflüsse hinsichtlich der Informationssicherheit auf das Geschäft?
• Hat der CISO Zugang zu relevanten Informationen und Analysen? Werden diese Fakten vom Unternehmen bereits bewertet? Wie aktuell sind diese Informationen?
• Hat der CISO Zugang zu Studien über Technologien, die für das Unternehmen relevant sind? Wer bewertet diese und unter welchen Gesichtspunkten? Wie aktuell sind diese Informationen? Sind Implikationen für die Informationssicherheit bereits enthalten?
• Kennt der CISO alle externen Regularien, die das Unternehmen im Allgemeinen und die IT im Besonderen betreffen? Gibt es eine (interne oder externe) Abteilung, die diese Fragen professionell und laufend bearbeitet? Wie IT- und Compliancekundig sind diese Fachleute?
• Ist Ihr Unternehmen international aufgestellt? Wenn ja, über welche Kenntnisse und Fähigkeiten im Bereich interkulturelles Management und Crossborder verfügt das Unternehmen?

Der CISO sollte auch das Geschäftsmodell des Unternehmens hinsichtlich der Konsequenzen für die IT und die Informationssicherheit beurteilen können:

• Existiert eine schriftlich fixierte, kommunizierte und gelebte Strategie?
• Ist die Aufbau- und Ablauforganisation des Unternehmens konsequent dokumentiert?
• Gibt es ein professionelles Personalmanagement? Sind die Anforderungen der IT und Informationssicherheit entsprechend berücksichtigt?

Der CISO muss die Governance des Unternehmens hell beleuchten:

• Existieren Dokumentationen der wirksamen Governance Prinzipien? Werden diese auch so gelebt?
• Welche formalen Prozesse existieren? In welcher Weise wird der CISO von diesen tangiert und beeinflusst?

Fazit

Die Security Governance umfasst im Sinne des Informationssicherheitsmanagements die Rolle der Führung von Gestaltungsprozessen und zielt darauf ab, die Stimmigkeit zwischen der Unternehmenskultur, den Organisationsprinzipien und der tatsächlichen Organisationsstruktur im Unternehmen, sowie den spezifischen Chancen und Fachlichen Themen, welche die IT und Informationssicherheit für die Bewältigung der Marktanforderungen in der Branche benötigt, herzustellen.

Daraus ergeben sich folgende Vorteile:

• Dem CISO und dem Management wird durch die klaren Strukturen der Security Governance die Abwägung von Chancen und Risiken, die aus der Nutzung von IT in punkto Informationssicherheit entstehen, ermöglicht.
• Ein einheitliches Vokabular für Governance, Risk, Compliance, IT und Informationssicherheit wird etabliert.
• Die Ausrichtung an gesetzlichen Regelungen und Vorschriften im Sinne von Compliance wird unterstützt.
• Der Beitrag der Informationssicherheit zu Performance einer Organisation und des Unternehmens wird sichergestellt.
• Eine klare und umfassende Security Governance ermöglicht die nachhaltige Schaffung eines Bewusstseins für IT- und Informationssicherheit, welche insgesamt unabdingbare Erfolgsfaktoren darstellen.
• Alle Elemente eines Governance-Frameworks für die IT- und Informationssicherheit werden so abgestimmt, dass sie konsistent ineinander greifen, konsequent umgesetzt und kontinuierlich weiterentwickelt werden.

Vor allem stark regulierte Branchen, die auf den ersten Blick noch nicht erkennen, warum die Vielzahl neuer Regulierungen und strenger Anforderungen eine positive Erfolgswirkung für Unternehmen haben sollte, müssen sich mit der Schaffung effizienter Governance Strukturen auseinandersetzen. Denn die einzuführenden Mechanismen und einzuhaltenden Standards verursachen zwar Kosten. Doch wer die Mühe einer systematischer Ausarbeitung einer darauf abgestimmten Governance macht, offenbart sich auf den zweiten Blick die langfristige, wertorientierte Perspektive eines Security Governance Managements deutlich.

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• http://www.isaca.org/About-ISACA/IT-Governance-Institute/Pages/default.aspx
• http://www.isaca.org/itgi/Pages/default.aspx