Kommunikation als zentraler Aspekt der IT-Sicherheit
Aus Sicht der Informationssicherheit ist es sehr wichtig, Regelungen zur Kommunikation aufzustellen. Fehler in dieser Beziehung sind leicht geeignet, das gesamte System zu untergraben.
Wie Information verbreitet wird und wer darauf Zugriff hat, ist essentiell. Korrekte Entscheidungen setzen eine verlässliche und vollständige Informationsbasis voraus; insbesondere auf Ebene des Managements. Auf der anderen Seite dürfen bestimmte Informationen aber auch nicht unkontrolliert verbreitet werden und nicht jeder darf darauf Zugriff haben.
Wichtig sind verbindliche, klare und verlässliche Rahmenbedingungen für die Kommunikation. Informationssicherheit lebt von solchen Regelungen, Absprachen und deren Einhaltung und ermöglicht so allen Mitarbeitern Ihren Beitrag zu leisten.
Interne und externe Kommunikation
Nach den Vorgaben von Kapitel 7.4 der Norm ISO 27001 beginnt der Prozess mit der Ermittlung des Bedarfs für interne und externe Kommunikation. Es werden also die internen Kommunikationswege betrachtet, aber auch die Verbindungen zu externen Stellen, etwa zu Dienstleistern und Geschäftspartnern.
Für die korrekte Einordnung ist wichtig zu verstehen, dass sich Kapitel 7.4 mit dem Inhalt der Kommunikation beschäftigt. Es geht hier allein um die organisatorischen Regelungen. Technische Gesichtspunkte der Kommunikation werden dagegen im Rahmen des Annex A behandelt. Dort finden sich Hinweise zur Kommunikation in Netzwerken und den unterstützenden Informationsverarbeitungseinrichtungen. Im Annex A geht es um Regelungen, die eine Steuerung der sicheren Übertragung von Informationen sowohl innerhalb als auch außerhalb des Unternehmens ermöglichen. Es geht darum, wie die Kommunikation durch technische Maßnahmen geschützt werden kann und weniger darum, was inhaltlich mitgeteilt wird.
5 Schritte zur normgemäßen Kommunikation nach ISO 27001
1. Inhalte der Kommunikation
Zunächst gilt es herauszufinden, welche konkreten Inhalte transportiert werden müssen bzw. dürfen. Dabei sollte Wesentliches von Unwesentlichem getrennt werden. Es ist folglich zu fragen, welche Informationen für den Betrieb oder die Optimierung des ISMS notwendig sind oder grundsätzliche haben Bedeutung und welche nicht:
- Im Bereich der internen Kommunikation ist wesentlich insbesondere die Kommunikation im Personalbereich. Hierunter fallen beispielsweise Entwicklungsgespräche mit Mitarbeitern, regelmäßige Teammeetings, aber auch strategische Entscheidungen des Managements.
- Im Bereich der externen Kommunikation sind typischerweise die Übermittlung der betriebswirtschaftlichen Auswertung (BWA) des Unternehmens an Banken relevant. Aber auch das Vorhalten von Zertifizierungen beispielsweise nach ISO 27001 oder ISO 9001 auf der Unternehmenswebsite, wodurch indirekt gegenüber Kunden und Interessenten die Einhaltung von gewissen (Qualitäts-)Standards garantiert wird, kann hohe Bedeutung haben.
2. Kommunikation und Zeit
Wichtig können zudem die Zeitpunkte der Kommunikation sein. Ist es im Einzelfall entscheidend, dass eine Information pünktlich zu einer bestimmten Zeit zum Empfänger gelangt (beispielsweise, wenn neue Regelungen im Unternehmen eingeführt und gegenüber den Mitarbeitern kommuniziert werden sollen, um die Einhaltung sicherzustellen) oder spielt eine konkrete Zeit keine Rolle? Es kann auch notwendig sein, etwas regelmäßig zu kommunizieren (beispielsweise für die Berichterstattung der Leistung des ISMS).
3. Adressaten der Kommunikation
Mindestens ebenso wichtig ist die Frage, wohin eine Information gelangen muss, wer also der konkrete Empfänger sein soll oder darf. Welche Stelle oder welche Person braucht die Information? Dies ist vorab zu untersuchen. Wer braucht welche Informationen zur Erfüllung seiner Aufgaben und wer muss ggf. lediglich informiert werden.
4. Verantwortliche für die Kommunikation
Ergänzend müssen auch in diesem Zusammenhang die Verantwortlichen festgestellt oder festgelegt werden. Wer ist für die Weitergabe einer Information zuständig? Welche Person oder Stelle diese Rolle innehat, muss stets individuell und nach den Umständen des Einzelfalls entschieden werden. Dies kann beispielsweise derjenige sein, der eine Information erhoben hat, oder auch der jeweilige Abteilungsleiter oder die Geschäftsführung.
5. Kommunikationsprozesse
Schließlich sind die jeweils angemessene Art und Weise der Kommunikation und der dazu passende Kommunikationsweg zu ermitteln. Insbesondere das Medium und die Form sind hier relevant. So ist es gängige Praxis, dass interne Meetings mündlich erfolgen, wohingegen die wesentliche Kommunikation mit Interessenten und Kunden schriftlich erfolgt.
Es ist ratsam, bedeutende Informationen ausschließlich schriftlich zu kommunizieren bzw. mündlich Kommuniziertes entsprechend zu Dokumentationszwecken schriftlich festzuhalten.
Verbindliche Regelungen für die Kommunikation
Ergebnis der beschriebenen Ermittlung der genannten Kriterien sollte eine verbindliche Regelung sein, die den jeweiligen Feststellungen angemessen Rechnung trägt.
Üblich und geeignet ist ein eigenes Konzept zur sicheren Kommunikation, um die Kommunikationsvorgänge zu strukturieren und zu kanalisieren.
Beispiel: interne Kommunikation im Rahmen der Softwareprogrammierung
Bezeichnung | Inhalt | Zeitpunkte | Adressat | Verantwortlicher | Prozess |
Daily SCRUM | Update der erledigten Aufgaben, Planung des Tages | täglich | Entwicklungsteam | SCRUM Master | mündlich mit Dokumentation |
2 Weekly Sprint Meeting | Überblick Fortschritte | alle 2 Wochen | Entwicklungsteam | SCRUM Master | mündlich mit Dokumentation |
Monthly | Reporting an Product Owner | monatlich | Entwicklungsteam und SCRUM Master | Product Owner | mündlich mit Dokumentation |
Beispiel: andere Kommunikation
Bezeichnung | Inhalt | Zeitpunkte | Adressat | Verantwortlicher | Prozess |
Changes | Freigabe von Changes durch IT-Leiter | wöchentlich | IT | IT-Leiter | schriftlich |
Statusmeldungen | Statusbericht DSB/ISB | monatlich | GF, ISB, DSB | Geschäftsführung | mündlich mit Protokoll |
Informationssicherheits-störung | Meldung | unverzüglich | Jeweilige Team-Mitglieder | ISB | mündlich mit sofortiger Dokumentation |
Rechenschaftsbericht | Bericht über die Tätigkeit der Gesellschaft im abgelaufenen Geschäftsjahr | Ende des Geschäftsjahrs | Abschlussprüfer | Vorstand | schriftlich |
Datenschutzverletzung | Meldung eines Datenpanne | Unverzüglich, maximal 72 Stunden | DSB, Verantwortliche der betroffenen Einheit, Aufsichtsbehörde | Management | schriftlich |
Fazit: Organisationen müssen wissen, welche Informationen wichtig sind und für wen
Allzu oft erfolgt in der Praxis keine grundsätzliche Auseinandersetzung mit der Kommunikation der Organisation. Es werden zwar ggf. technische Lösungen bereitgestellt, wie und wofür diese eingesetzt werden, wird dann dem gesunden Menschenverstand überlassen. Verbunden mit auch noch unklaren Verantwortlichkeiten geht so sehr schnell etwas schief. Das verursacht mindestens Stress und schlimmstenfalls ein ernstzunehmendes Risiko.