Das Sprich­wort „Aller Anfang ist schwer!“ ist all­seits bekannt und trifft auch auf die Imple­men­tie­rung eines Infor­ma­ti­ons­si­cher­heits­frame­works zu. Die Ein­füh­rung eines sol­chen Frame­works erfor­dert von allen Betei­lig­ten einen offe­nen Umgang mit Pro­ble­men und Kri­tik. Es wer­den immer wie­der Situa­tio­nen auf­tau­chen, in denen das „Das machen wir schon immer so.“ eine belieb­te Aus­sa­ge sein wird, um den aktu­el­len, opti­mier­ba­ren Zustand zu beschrei­ben. Aber genau die­se „Das machen wir schon immer so.“ und „Das haben wir bestimmt irgend­wo (doku­men­tiert).“ sind die Punk­te, die durch eine ers­te Rei­fe­grad­ana­ly­se ange­spro­chen wer­den sol­len. Zusätz­lich natür­lich zu den Berei­chen die bis­her ggf. noch gar nicht betrach­tet wur­den. Eine sol­che Rei­fe­grad­ana­ly­se, z.T. auch Audit genannt, spricht alle Teil­aspek­te der Infor­ma­ti­ons­si­cher­heit an und guckt, wo ent­spre­chen­de Opti­mie­rungs­mög­lich­kei­ten bestehen um anschlie­ßend einen Plan zur Umset­zung der Mög­lich­kei­ten zu erar­bei­ten.

Das Pro­jekt „Unter­neh­mensum­zug in die vir­tu­el­le Welt“ bei der knoo­ing GmbH hat als ein Teil­pro­jekt die Opti­mie­rung der Infor­ma­ti­ons­si­cher­heit. Hier wur­de, wie Oben beschrie­ben, jetzt eine Rei­fe­grad­ana­ly­se anhand des VDA ISA – Frame­works (TISAX) durch­ge­führt. Da die knoo­ing GmbH vie­le Kun­den aus dem Bereich der Auto­mo­bil­in­dus­trie hat und TISAX sich an dem inter­na­tio­nal aner­kann­ten Stan­dard ISO 27001 ori­en­tiert, ist die Ent­schei­dung auf eben die­ses Frame­work gefal­len.

Für die Ana­ly­se wur­den die 52 Con­trols aus dem Bereich der Infor­ma­ti­ons­si­cher­heit bzgl. ihres Rei­fe­gra­des bewer­tet und die Hin­wei­se aus dem TISAX – Kata­log (Excel-Sheet) durch­ge­ar­bei­tet. Dar­aus ent­stan­den ist eine umfang­rei­che Lis­te mit mög­li­chen Punk­ten für eine Opti­mie­rung der Infor­ma­ti­ons­si­cher­heit. Die­se wird im wei­te­ren Ver­lauf des Pro­jek­tes immer wie­der her­an­ge­zo­gen, um prio­ri­siert die Infor­ma­ti­ons­si­cher­heit best­mög­lich für den Umzug in die vir­tu­el­le Welt vor­zu­be­rei­ten. Ins­be­son­de­re das orts­un­ab­hän­gi­ge Arbei­ten stellt die Infor­ma­ti­ons­si­cher­heit und damit die Mit­ar­bei­ter vor beson­de­re Her­aus­for­de­run­gen. Die klas­si­schen Sicher­heits­pe­ri­me­ter feh­len und es müs­sen ent­spre­chen­de, alter­na­ti­ve Maß­nah­men zum Erhalt der Infor­ma­ti­ons­si­cher­heit imple­men­tiert wer­den. Die Maß­nah­men wer­den dabei sowohl orga­ni­sa­to­ri­scher als auch tech­ni­scher Natur sein müs­sen und es wer­den vie­le Neue­run­gen auf die Mit­ar­bei­ter der knoo­ing GmbH zukom­men.

Von: Lars Kel­ler