Sicherheitsverantwortlichkeiten und Risikosteuerung

Sicherheitsverantwortlichkeiten und Risikosteuerung

Flavio Gerbino
by Flavio Gerbino
time to read: 16 minutes

Für eine systematische Risikosteuerung innerhalb eines Unternehmens ist es unerlässlich, dass Verantwortlichkeiten und Rollen glasklar definiert und umgesetzt werden. Besonders Sicherheitsverantwortlichkeiten bilden zentrale Rollen für die Sicherheit von Business, Services und IT-Infrasturktur. Diese werden typischerweise in gesamten Ownership-Konzepten und Policies oft vernachlässigt bzw. zu vage abgehandelt.

Nebst den typischen Verantwortlichkeiten, die Ownern zugewiesen werden – ist es aus dem Sicherheitsmanagment heraus – grundlegend eben auch Sicherheitsverantwortlichkeiten zu postulieren, die in der Vernatwortung von bestehenden Ownern liegen oder in der Pflicht von sog. separaten, eigenständigen Security-Ownern stehen.

Der Vorligende Artikel ist ein Versuch aufzuzeigen, wie Sicherheitsverantwortlichkeiten in einem Unternehmen als exemplarische Umsetzungsoption strukturiert werden könnten, um Risiken methodisch exakt und umfassend zu behandeln und bewältigen.

Security Owner haben den Auftrag und die Kompetenz, über Sicherheitsziele und Risiken in ihrem Verantwortungsbereich zu entscheiden. Darauf basierend werden nun im weiteren Verlauf die Aufgaben, Kompetenzen und Verantwortlichkeiten der Security Owner beschrieben. Dabei wird festgelegt:

Die hier vorgeschlagene Austellung geht davon aus, dass das Thema immer Teil eines unternehmensweiten, einheitlichen Sicherheitsmanagements ist. Entsprechend muss es aus der Perspektive des Unternehmens adaptiert und formuliert werden.

Die Umsetzung solcher Ownershipkonzepte, kann ja nach Unternehmensgrösse bedingen, dass einzelnen Geschäftsbereichen eine gewisse Autonomie attestiert wird, da Business-, IT- und Entwicklungsprozessen in diversen Geschäftsbereichen eines Unternehmens durchaus unterschiedlich ausgeprägt sein könnten.

Rahmenbedingungen: Anforderungen auf Ebene der Policy bzw. Sicherheitspolitik

Die benötigten Rollen der Sicherheitsverantwortlichen müssen auf dem Niveau einer Weisung, Policy oder Sicherheitspolitik definiert und institutionalisiert werden.

Vorgängig ist ein Aufteilung der Verantwortlichkeiten in den typische Bereiche nötig:

Die Verantwortung für die Sicherheit von Business Services, Applikationen und IT-Infrastruktur wird durch sogenannte Sicherheitsverantwortliche (Security Owner) wahrgenommen, die durch die Geschäftsleitung nominiert und mit Entscheidungskompetenzen bezüglich Festlegung von Sicherheitszielen und Risikoakzeptanz versehen werden. Sicherheitsverantwortliche sind in der Regel Mitglieder des höheren oder mittleren Managements.

Abgrenzung

Diser Artikel befasst sich ausschliesslich mit sicherheitsrelevanten Aufgaben und Verantwortungen. So wird dann auch von Sicherheitsverantwortlichen oder Security Owners und nicht generell von IT- oder Business-Owners gesprochen.

Es ist selbstverständlich möglich und u.U naheliegend, die Rolle eines Security Owner Business Service dem Business Owner eines Services zuzuweisen, sofern der betreffende Geschäftsbereich des Unternehmens die Rolle des Business Owners implementiert hat. Entsprechendes gilt für die Rolle des IT-Owners und des Sicherheitsverantwortlichen IT-Infrastruktur.

Begriffsbestimmungen

In diesem Dokument werden die Rollen der Sicherheitsverantwortlichen für Business Services oder Applikationen und der Sicherheitsverantwortlichen für IT-Infrastruktur beschrieben. Diese Rollen beziehen sich auf folgende Definitionen:

Im Zusammenhang mit der Risikoverantwortung von Sicherheitsverantwortlichen gilt:

Rollenbeschreibungen

In einer ersten Betrachtung werden nun die Rollen der Sicherheitsverantwortlichen in abstrakter zusammenfassender Form beschrieben. Ein Zuordnung der Verantwortlichkeiten für die anfallenden Sicherheitsaufgaben, sowie eine Erläuterung der spezifischen Risikoverantwortung von Sicherheitsverantwortlichen erfolgt in den nachfolgenden Kapiteln.

Sicherheitsverantwortliche für Business Services / Applikationen

Sicherheitsverantwortliche für Business Services / Applikationen sollten die Gesamtverantwortung für die Sicherheit der Applikation, bzw. des Business Services und der mit damit zu bearbeitenden Daten während des gesamten Lebenszyklus der Applikation, bzw des Business Services tragen.

Für jeden Business Service und für jede geschäftsrelevante Applikation, die nicht einem Business Service zugeordnet ist, wird ein Sicherheitsverantwortlicher ernannt.

Sicherheitsverantwortliche für IT-Infrastruktur

Sicherheitsverantwortliche für IT-Infrastruktur sollten die Gesamtverantwortung für die Sicherheit der IT-Infrastruktur während des gesamten Lebenszyklus der IT-Infrastruktur tragen. Falls es die IT-Infrastruktur eigene Datenbestände hat, sind die Sicherheitsverantwortlichen für IT-Infrastruktur auch verantwortlich für Sicherheit der zugehörigen Daten.

Sicherheitsverantwortliche für Entwicklung

Sicherheitsverantwortliche für Entwicklung verantworten die Umsetzung der Sicherheitsanforderungen und die Einhaltung der sicherheitsrelevanten Prozessvorgaben bei der Entwicklung von Software oder beim Engineering von IT-Infrastruktur. Sie

Risikosteuerung

Sicherheitsverantwortlicher IT-Infrastruktur

Sicherheitsverantwortliche für IT-Infrastruktur sind zuständig für die Steuerung der Sicherheitsrisiken, die dem Unternehmen aufgrund von Schwachstellen der IT- Infrastruktur in seinem Verantwortungsbereich entstehen. Entscheidungsgrundlagen für die Risikosteuerung sind das angestrebte Sicherheitsniveau der IT-Infrastruktur, sowie die identifizierten und bewerteten Risiken und Schwachstellen.

Die Entscheidung über die Umsetzung von Massnahmen zur Risikominderung und die Akzeptanz von Risiken erfolgt durch den Sicherheitsverantwortlichen.

Sicherheitsverantwortlicher Business Service / Applikation

Der Sicherheitsverantwortliche eines Business Services oder einer Applikation ist zuständig für die Steuerung der Sicherheitsrisiken, die das Unternehmen durch den Business Service, bzw. die Applikation entstehen.

Entscheidungsgrundlagen für die Risikosteuerung sind das angestrebte Sicherheitsniveau des Business Services / der Applikation und die identifizierten und bewerteten Risiken.

Die Entscheidung über die Umsetzung von Massnahmen zur Risikominderung und die Akzeptanz von Risiken erfolgt durch den Sicherheitsverantwortlichen

Der Sicherheitsverantwortliche eines Business Services / einer Applikation kann bei der Risikosteuerung voraussetzen, dass der IT-Infrastrukturbetreiber die für die IT-Infrastrukturkomponenten vereinbarten Sicherheitsniveaus einhält.

Risikoausschuss der Unternehmensführung

Der Risikoausschuss entscheidet über Unternehmensweite Sicherheitsmassnahmen und die Akzeptanz von Geschäftsbereichübergreifende Sicherheitsrisiken. Darüberhinaus ist der Risikoausschuss Eskalationsgremium bei Meinungsverschiedenheiten über Risikoeinschätzungen.

Sicherheitsaufgaben

Der folgende Abschnittg identifiziert die im Zusammenhang mit der Sicherheit von Business Services, Applikationen oder IT-Infrastruktur anfallenden Aufgaben und ordnet Verantwortlichkeiten zu.

Im Fokus sind dabei die generell für Sicherheitsverantwortliche anfallenden Aufgaben. Ausnahmen, in denen auf einige dieser Aufgaben verzichtet werden kann oder Ausnahmefälle, in denen zusätzliche Aufgaben zu erledigen sind, werden nicht betrachtet.

Die Zuordnung von Aufgaben zu Funktionen erfolgt zweistufig. Es wird jeweils angegeben, welche Funktion die Verantwortung für die korrekte und termingerechte Ausführung der Aufgabe trägt und –soweit aus exemplarischer Unternehmenssicht möglich-, welche Funktion die zuständig für die Ausführung der Aufgabe ist. Es werden folgende Abkürzungen verwendet:

Risikoverantwortung

Aufgabe Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Identifikation, Messung und Beurteilung von Risiken SB D SI D
Erarbeitung von Massnahmenplänen SB D SI D
Umsetzung von Massnahmen SB D SI D
Risikosteuerung: Abnahme der Risikoanalysen aus Sicht Business, bzw. IT-Betreiber Geschäfts- bereichs- führung SB IT-Führung SI
Kontrolle der Massnahmenumsetzung SB D SI D

Klassifikation von Informationen

Aufgabe Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Klassifikation der bearbeiteten Informationen bezüglich Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit SB D SI D
Festlegen der Archivierungspflichten SB D SI D

Sicherheitsanforderungen festlegen und umsetzen

Aufgabe – Sicherheitsanforderungen für Entwicklung / Engineering Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Klassifikation des zu entwickelnden Produkts bezüglich Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit SB D SI D
Identifikation der Compliance-Anforderungen aus gesetzlichen und regulatorischen Vorgaben, sowie aus obligatorischen Standards (z.B. Datenschutzanforderungen, Bankkundengeheimnis, Aufbewahrung von Geschäftsunterlagen etc.). SB D SI D
Identifikation der Compliance-Anforderungen aus internen Vorschriften(z.B. Einhalten von der Richtlinien zur sicheren Programmierung, Einhaltung von Hardening, Einhaltung der Namenskonventionen, der Vorgaben zur Authentisierung und Nachvollziehbarkeit etc.). SE D SE D
Definition von Sicherheitsanforderungen, die sich nicht direkt aus den Compliance-Anforderungen ergeben (z.B. Business Continuity Anforderungen, Archivierung) SB D SI D
Spezifikation der konkreten Sicherheitsanforderungen an das zu entwicklende Produkt (z.B. Chiffrierung bestimmter Datenfelder, lückenloses Logging, Verwendung elektronischer Signaturen, etc.) SE D SE D
Abnahme der Sicherheitsanforderungen SE SB SE SI
Umsetzung des Zugriffskonzepts SE D SE D
Umsetzung der Sicherheitsanforderungen SE D SE D
Kontrolle der Umsetzung(z.B. Tests, Code Reviews, Penetration Tests) SB D SI D
Aufgabe – Sicherheitsanforderungen an den Betrieb Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Festlegen der Betriebsverantwortung SB D SI D
Identifikation von Compliance-Anforderungen, die beim Betrieb des Produkts einzuhalten sind. SB D SI D
Definition der konkreten Sicherheitsanforderungen an den Betrieb (z.B. Überwachung von Logs, Integrity-Checks, Disaster Recovery Plans und -Tests) SB D SI D
Dokumentation der Compliance-Anforderungen und konkreten Sicherheitsanforderungen in der verbindlichen Vereinbarung zum Betrieb des Produkts (z.B. SLA, usw.) SB D SI D
Kontrolle der Umsetzung / Einhaltung der betrieblichen Sicherheitsvorgaben SB D SI D
Aufgabe – Erstellung und Pflege der Sicherheitsdokumentation (Risikoanalysen, Sicherheitskonzepte etc.)) Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Festlegen der zu erstellenden Sicherheitsdokumentation (Risiko- bzw. Sicherheitskonzept notwendig? Vollständiges Konzept oder Kurzform?) SE CSO SE CSO
Erstellung des Sicherheitskonzepts im festgelegten Umfang. SE D SE D
Regelmässige Aktualisierung des Sicherheitskonzepts SB D SI D
Erstellung des Zugriffskonzepts (Funktions-, Rollen- und Berechtigungsmatrix) SE D SE D
Regelmässige Aktualisierung des Zugriffskonzepts. SB D SI D
Erstellen der Netzwerk- / Kommunikationsmatrix SE D SE D
Regelmässige Aktualisierung Netzwerk- / Kommunikationsmatrix SB D SI D
Für Produkte mit Business Continuity-Anforderungen: Erstellung des Business Continuity Plans mit technischen und geschäftlichen Recovery-Prozessen und Testanforderungen. SE D SE D
Regelmässige Aktualisierung der Business Continuity Plans SB D SE D
Prüfung und Freigabe der Sicherheits-dokumentation: Fachlich CSO CSO CSO CSO
aus Sicht Sicherheitsverantwortlicher SB D SI D

Sicherheitsadministration

Aufgabe – Zugriffsmanagement Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Prüfung und Freigabe von neuen, geänderten oder zu löschenden Zugriffsberechtigungen. SB D SI D
Korrekte Implementierung der Zugriffsrechte SB D SI D
Regelmässige Überprüfung der aktuellen Zugriffsberechtigungen auf Korrektheit und Nachvollziehbarkeit. CSO SB CSO SI
Aufgabe – Management von Authentisierungsmitteln Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Zertifikatsmanagement n.a. n.a. SI D
Management von Security Token n.a. n.a. SI D

Betriebliche Sicherheitsaufgaben

Aufgabe Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Sicherheitsüberwachung(z.B. Log-Auswertung, Integrity-Checks, Intrusion Detection) SB D SI D
Vulnerability- und Security Patch Management und Security Incident Response: dispositive Vorkehrungen und aktive Teilnahme SB D SI D
Durchführung der fachgerechten Archivierung. SB D SI D

Audits

Aufgabe Komponente
Business Service / Applikation IT-Infrastruktur
Verant- wortung Aus- führung Verant- wortung Aus- führung
Abgabe von verbindlichen Stellungnahmen zu Befunden interner oder externer Audits SB D SI D
Definition und Umsetzung von verbindlichen Massnahmen zu Pendenzen, die aus Audit-Befunden resultieren SB D SI D

Umsetzungsoptionen

Es sollte im Verantwortungs- und Kompetenzbereich der Geschäftsbereiche eralubt sein, die Umsetzung dieses Konzepts entsprechend der Bereichsinternen Prozesse zu gestalten. Im folgenden werden einige Varianten für die Umsetzung in Geschäftsbereichen aufgezeigt.

Falls ein Geschäftsberiech z.B Rollen wie Business Owner oder Business Operation Owner etabliert haben, dann bieten sich folgende Optionen an:

Beispiele: Definition der Sicherheitsanforderungen an den Betrieb, Prüfung/Freigabe von Zugriffsanträgen, Durchführung der fachgerechten Archivierung, Aktualisierung der Kommunikationsmatrix

Weitere Optionen

Fazit

Verantwortung ist ein schönes Wort: Das allerdings typischerweise dann an edlem Glanz verliert, wenn es konkret werden soll – Wer trägt wem gegenüber welche Verantwortung? In Unternehmen wird oft der Eindruck erweckt, dass in Bezug auf die Ownership alles klar definiert ist und es keine Verantwortungskonflikte geben kann.

Das mag aus der Vogelperspektive wohl stimmen, aber Verantwortung zerfällt bei genauerem Hinschauen in viele Partikular-Verantwortungen, die nicht unbedingt miteinander harmonieren. Es herrscht ja bei weitem nicht immer Einklang der Interessen und somit natürlich auch nicht der Verantwortungen. Daher ist es von eminenter Bedeutung, sich darüber im Klaren zu werden, welche Aufgaben und Verantwortungen an welcher Stelle durch wen wargenommen werden müssen, um die Risiken in einem Unternehmen umfassend und lückenlos zu steuern.

About the Author

Flavio Gerbino

Flavio Gerbino has been in information security since the late 1990s. His main areas of expertise in cybersecurity are the organizational and conceptual security of a company.

General Data Protection Regulation GDPR is a Challenge?

Our experts will get in contact with you!

×
I want a "Red Teaming"

I want a "Red Teaming"

Michael Schneider

Human and AI

Human and AI

Marisa Tschopp

Vehicle forensics

Vehicle forensics

Michèle Trebo

Isn’t business continuity part of security?

Isn’t business continuity part of security?

Andrea Covello

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here