Zu viel Sicherheit?
Müssen die IT-Provider wirklich so viele Massnahmen aus unterschiedlichsten Quellen implementieren?
Artikel erschienen in Swiss IT Magazine 2023/06
Artikel erschienen in Swiss IT Magazine 2023/06
Bereits in den 80er Jahren wurde ich persönlich das erste Mal «konfrontiert» mit Standards im Zusammenhang mit der Sicherheit und Ordnungsmässigkeit in der elektronischen Datenverarbeitung (EDV) – wie das damals so schön hiess. Noch vor der Gründung des Switzerland Chapter der EDP Auditors Association (heute ISACA Switzerland) haben wir uns im Revisorat der SKA mit ersten Versionen solcher Kontroll-Standards auseinandergesetzt. Mit der Zeit kamen dann neben den ISACA-Standards weitere hinzu, wie beispielsweise der nachfolgend noch speziell erwähnte ISO27000.
Wie bereits im letzten ISACA-Beitrag im IT-Magazin vom März 2023 aufgezeigt, wurde in den 90er-Jahren das Fundament gelegt für die heutige, sehr umfassende ISO27000er-Serie. Ausgehend vom DTI Code of Practice for Information Security Management des British Standards Institute (letztlich basierend auf internen Standards von Shell, British Telecom, Midland Bank, Marks & Spencer, BOC, Nationwide und Unilever) folgten dann in zunehmendem Tempo immer mehr neue Versionen und Erweiterungen – unterdessen umfasst die ISO27000er-Serie zum Thema Informationssicherheitsmanagement knapp 40 unterschiedliche Sub-Standards.
Neben der ISO-Organisation sind auch andere Verbände und Institutionen recht fleissig an der Veröffentlichung neuer Normen und Standards. Das ist definitiv nicht nur positiv: Zwar stehen für immer mehr Sachverhalte standardisierte Sets von Kontrollzielen und/oder Kontrollen (Sicherheitsmassnahmen) zur Verfügung, was interessierten Unternehmungen eine raschere Verbesserung in diesen Themenbereichen ermöglicht. Das «Problem» aber ist, dass zum gleichen spezifischen Thema Standards aus unterschiedlichsten Organisationen vorhanden sind: Welcher ist jetzt besser: Der deutsche Grundschutzstandard vom Bundesamt für Sicherheit in der Informationstechnik (BSI 200), die ISO27000er-Familie zur Informationssicherheit oder z.B. die Cyber Security Standards von NIST?
Unternehmensintern wird wohl in den meisten Fällen einer der vielen möglichen (Sicherheits-)Standards zur Umsetzung gewählt – was bei deren typischen Umfang von vielleicht 80–100 Kontrollen schon genug Arbeit produziert. Unternehmen, welche darüber hinaus gegenüber ihren externen Kunden und Geschäftspartnern aufzeigen wollen, dass sie sich z.B. um das Thema Sicherheit ausreichend kümmern, «müssen» jedoch oft mehrere Standards verschiedenster Organisationen wie z.B. die bereits erwähnten BSI, ISO, NIST usw. umsetzen. Vor allem die Kunden von IT-Providern erwarten von diesen die Erfüllung (fast) unzähliger solcher Vorgaben. So sind beispielsweise bei den grössten Cloud-Providern nach einer Registrierung je Dutzende Attestierungen und Zertifizierungen frei herunterladbar, in denen unterschiedlichste Fragestellungen und Prüfungsstandards abgedeckt sind.
Ist das nicht alles etwas übertrieben?
An zwei ganz konkreten Beispielen möchte ich aufzeigen, dass es rein aus Optik der Sicherheit wohl in den meisten Fällen – auch für einen Provider und dessen Kunden! – reichen würde, vielleicht zwei bis drei Dutzend Sicherheitsmassnahmen zu implementieren und deren Umsetzung und Wirksamkeit z.B. in einem ISAE3000-Bericht bestätigen zu lassen.
Wie bereits im letzten ISACA-Beitrag im IT-Magazin vom März 2023 aufgezeigt, wurde in den 90er-Jahren das Fundament gelegt für die heutige, sehr umfassende ISO27000er-Serie. Ausgehend vom DTI Code of Practice for Information Security Management des British Standards Institute (letztlich basierend auf internen Standards von Shell, British Telecom, Midland Bank, Marks & Spencer, BOC, Nationwide und Unilever) folgten dann in zunehmendem Tempo immer mehr neue Versionen und Erweiterungen – unterdessen umfasst die ISO27000er-Serie zum Thema Informationssicherheitsmanagement knapp 40 unterschiedliche Sub-Standards.
Neben der ISO-Organisation sind auch andere Verbände und Institutionen recht fleissig an der Veröffentlichung neuer Normen und Standards. Das ist definitiv nicht nur positiv: Zwar stehen für immer mehr Sachverhalte standardisierte Sets von Kontrollzielen und/oder Kontrollen (Sicherheitsmassnahmen) zur Verfügung, was interessierten Unternehmungen eine raschere Verbesserung in diesen Themenbereichen ermöglicht. Das «Problem» aber ist, dass zum gleichen spezifischen Thema Standards aus unterschiedlichsten Organisationen vorhanden sind: Welcher ist jetzt besser: Der deutsche Grundschutzstandard vom Bundesamt für Sicherheit in der Informationstechnik (BSI 200), die ISO27000er-Familie zur Informationssicherheit oder z.B. die Cyber Security Standards von NIST?
Unternehmensintern wird wohl in den meisten Fällen einer der vielen möglichen (Sicherheits-)Standards zur Umsetzung gewählt – was bei deren typischen Umfang von vielleicht 80–100 Kontrollen schon genug Arbeit produziert. Unternehmen, welche darüber hinaus gegenüber ihren externen Kunden und Geschäftspartnern aufzeigen wollen, dass sie sich z.B. um das Thema Sicherheit ausreichend kümmern, «müssen» jedoch oft mehrere Standards verschiedenster Organisationen wie z.B. die bereits erwähnten BSI, ISO, NIST usw. umsetzen. Vor allem die Kunden von IT-Providern erwarten von diesen die Erfüllung (fast) unzähliger solcher Vorgaben. So sind beispielsweise bei den grössten Cloud-Providern nach einer Registrierung je Dutzende Attestierungen und Zertifizierungen frei herunterladbar, in denen unterschiedlichste Fragestellungen und Prüfungsstandards abgedeckt sind.
Ist das nicht alles etwas übertrieben?
An zwei ganz konkreten Beispielen möchte ich aufzeigen, dass es rein aus Optik der Sicherheit wohl in den meisten Fällen – auch für einen Provider und dessen Kunden! – reichen würde, vielleicht zwei bis drei Dutzend Sicherheitsmassnahmen zu implementieren und deren Umsetzung und Wirksamkeit z.B. in einem ISAE3000-Bericht bestätigen zu lassen.
Für die Zusammenstellung der Kontrollsets für IT-Provider setzen wir in unserer eigenen Prüfungs- und Beratungspraxis schon seit wohl 15 Jahren ein relativ pragmatisch gebautes und immer wieder angepasstes Werkzeug ein, das Kontrollen aus dem Handbuch für Wirtschaftsprüfer, aus dem uralten Vorgehensmodell IT-Risikoanalyse für KMU-Prüfer der EXPERTsuisse, aus dem IKT-Minimalstandard des Bundes (= NIST 800), aus dem Finanzprüfungsstandard ISA 315 revised, aus den beiden kürzlich aktualisierten FINMA-Rundschreiben 18/3 und 23/1 (vormals 08/21) und aus ISO27002 (aktuelle Version 2022) enthält.
Betrachtet man diese Kontrollen genauer, so ist gut erkennbar, dass die verschiedenen Quellen zu den spezifischen Themen eigentlich alle fast immer etwas sehr Ähnliches enthalten, wie ich an den folgenden beiden Beispielen kurz belegen möchte:
1. Vorgehensmodell #05, #61, der IKT-Minimalstandard ID.GV2, DE.DP1 sowie ISO27002 5.2, 6.2 verlangen alle in etwa: «Die Rollen und Verantwortlichkeiten für Einführung, Betrieb, Unterhalt und Schutz von IT-Ressourcen sind in Stellen- oder Prozessbeschreibungen schriftlich dokumentiert und werden mit internen Rollen und externen Partnern koordiniert.»
2. IKT-Minimalstandard ID.RA1, ID.RA3, PR.IP12, DE.CM8, RS.MI3 mit ISA315 revised NSC2 sowie ISO27002 8.8 regeln: «Neue oder bekannte Verwundbarkeiten (inkl. Cyber-Bedrohungen) der Betriebsmittel werden im Rahmen eines etablierten Prozesses gemanagt …».
Die Abb. 1 zeigt auf, wie aus vielen verschiedenen Standards (mehrere, untereinanderliegende rötlich dargestellte Zeilen) jeweils eine Kontrolle synthetisiert werden kann (weiss hinterlegte Zeile). Nur in vereinzelten Fällen kommen spezifische Kontrollen nur in einem der analysierten Standards vor.
Führt man dieses Verdichten konsequent durch, lässt sich alleine dadurch die Anzahl der grundsätzlich sinnvollen Kontrollen dieser Standards von rund 500 auf etwa 100 reduzieren – oder etwas plakativ ausgedrückt: Es reicht wohl in den meisten Fällen, dass wir in einem Unternehmen einen der einigermassen vergleichbaren Standards wie NIST 800, ISO72002 oder den IKT-Minimalstandard der EXPERTsuisse auswählen und nur diesen implementieren. Diese Verdichtung alleine kann die Kosten für die zu einem rechten Teil überflüssigen Kontrollen eliminieren.
Aus Optik eines ressourcensparenden Umgangs mit Risiken jeglicher Art gibt es aber noch eine weitaus dramatischere Faktenlage, welche durch einen Angehörigen des oberen Kaders eines grossen Finanzdienstleisters im Rahmen eines internen Forschungsprojektes erkannt wurde. Er hat analysiert, wie gut die grössten intern wirklich bestehenden Geschäftsrisiken mit IT-Aspekten sowie die grössten IT-Risiken jeweils durch die verschiedenen Sicherheitsmassnahmen aus ISO27002 reduziert werden können. Die auf den ersten Blick erstaunliche Erkenntnis war, dass es reicht, einen Bruchteil der damals rund 100 ISO27002-Kontrollen zu implementieren, um diese Risiken zu entschärfen. Unterdessen bin ich persönlich überzeugt, dass dies wohl für die allermeisten der in diesem Beitrag erwähnten Standards ebenfalls zutrifft.
Betrachtet man diese Kontrollen genauer, so ist gut erkennbar, dass die verschiedenen Quellen zu den spezifischen Themen eigentlich alle fast immer etwas sehr Ähnliches enthalten, wie ich an den folgenden beiden Beispielen kurz belegen möchte:
1. Vorgehensmodell #05, #61, der IKT-Minimalstandard ID.GV2, DE.DP1 sowie ISO27002 5.2, 6.2 verlangen alle in etwa: «Die Rollen und Verantwortlichkeiten für Einführung, Betrieb, Unterhalt und Schutz von IT-Ressourcen sind in Stellen- oder Prozessbeschreibungen schriftlich dokumentiert und werden mit internen Rollen und externen Partnern koordiniert.»
2. IKT-Minimalstandard ID.RA1, ID.RA3, PR.IP12, DE.CM8, RS.MI3 mit ISA315 revised NSC2 sowie ISO27002 8.8 regeln: «Neue oder bekannte Verwundbarkeiten (inkl. Cyber-Bedrohungen) der Betriebsmittel werden im Rahmen eines etablierten Prozesses gemanagt …».
Die Abb. 1 zeigt auf, wie aus vielen verschiedenen Standards (mehrere, untereinanderliegende rötlich dargestellte Zeilen) jeweils eine Kontrolle synthetisiert werden kann (weiss hinterlegte Zeile). Nur in vereinzelten Fällen kommen spezifische Kontrollen nur in einem der analysierten Standards vor.
Führt man dieses Verdichten konsequent durch, lässt sich alleine dadurch die Anzahl der grundsätzlich sinnvollen Kontrollen dieser Standards von rund 500 auf etwa 100 reduzieren – oder etwas plakativ ausgedrückt: Es reicht wohl in den meisten Fällen, dass wir in einem Unternehmen einen der einigermassen vergleichbaren Standards wie NIST 800, ISO72002 oder den IKT-Minimalstandard der EXPERTsuisse auswählen und nur diesen implementieren. Diese Verdichtung alleine kann die Kosten für die zu einem rechten Teil überflüssigen Kontrollen eliminieren.
Aus Optik eines ressourcensparenden Umgangs mit Risiken jeglicher Art gibt es aber noch eine weitaus dramatischere Faktenlage, welche durch einen Angehörigen des oberen Kaders eines grossen Finanzdienstleisters im Rahmen eines internen Forschungsprojektes erkannt wurde. Er hat analysiert, wie gut die grössten intern wirklich bestehenden Geschäftsrisiken mit IT-Aspekten sowie die grössten IT-Risiken jeweils durch die verschiedenen Sicherheitsmassnahmen aus ISO27002 reduziert werden können. Die auf den ersten Blick erstaunliche Erkenntnis war, dass es reicht, einen Bruchteil der damals rund 100 ISO27002-Kontrollen zu implementieren, um diese Risiken zu entschärfen. Unterdessen bin ich persönlich überzeugt, dass dies wohl für die allermeisten der in diesem Beitrag erwähnten Standards ebenfalls zutrifft.
Abb. 1: Verdichtung von Kontrollen aus 3–4 Standards zu einer einzigen (Quelle: ISACA)
Schlüsselkontrollen gemäss dieser unternehmensspezifischen Analyse waren u.a. die erwarteten Sicherheitsmassnahmen:
- zeitnahe Anpassung von Zugriffsberechtigungen sowie deren regelmässige Überprüfung (Access Management)
- stringentes Änderungswesen (Change Management)
- lückenlose Protokollierung wichtiger Aktivitäten innerhalb Systeme/Anwendungen, ausreichender Schutz dieser allenfalls kritischen Informationen sowie ihre regelmässige Auswertung und Analyse
Sicherlich korrekt sind die weniger offensichtlichen Schlüsselkontrollen:
- regelmässige Prüfung der Einhaltung von (technischen) Vorgaben
- Schwachstellen-Management und gutes Meldewesen
- sorgfältiger und «engmaschiger» Umgang mit den mächtigen Systemwerkzeugen für IT-Betrieb, Überwachung und Revision
Interessant finde ich persönlich, dass auch einige Massnahmen als zentral erkannt wurden, welche zwar die Eintretenswahrscheinlichkeit der eigentlichen Schadensereignisse nicht wirklich positiv beeinflussen, aber das Schadensausmass im Eintretensfall durch Reduktion der potentiellen Haftung deutlich herunterbringen. Das kann zum Beispiel für IT-Provider – nicht nur im amerikanischen Umfeld – durchaus relevant sein. Hierzu gehören z.B.:
- klare Verträge mit Lieferanten, Mitarbeitenden aber auch Kunden
- Vertraulichkeitsvereinbarungen für alle Benutzer jeglicher Art
- Regelung des zulässigen Einsatzes verschiedenster IT-Mittel
- zeitnahe Anpassung von Zugriffsberechtigungen sowie deren regelmässige Überprüfung (Access Management)
- stringentes Änderungswesen (Change Management)
- lückenlose Protokollierung wichtiger Aktivitäten innerhalb Systeme/Anwendungen, ausreichender Schutz dieser allenfalls kritischen Informationen sowie ihre regelmässige Auswertung und Analyse
Sicherlich korrekt sind die weniger offensichtlichen Schlüsselkontrollen:
- regelmässige Prüfung der Einhaltung von (technischen) Vorgaben
- Schwachstellen-Management und gutes Meldewesen
- sorgfältiger und «engmaschiger» Umgang mit den mächtigen Systemwerkzeugen für IT-Betrieb, Überwachung und Revision
Interessant finde ich persönlich, dass auch einige Massnahmen als zentral erkannt wurden, welche zwar die Eintretenswahrscheinlichkeit der eigentlichen Schadensereignisse nicht wirklich positiv beeinflussen, aber das Schadensausmass im Eintretensfall durch Reduktion der potentiellen Haftung deutlich herunterbringen. Das kann zum Beispiel für IT-Provider – nicht nur im amerikanischen Umfeld – durchaus relevant sein. Hierzu gehören z.B.:
- klare Verträge mit Lieferanten, Mitarbeitenden aber auch Kunden
- Vertraulichkeitsvereinbarungen für alle Benutzer jeglicher Art
- Regelung des zulässigen Einsatzes verschiedenster IT-Mittel
Die wichtige Schlussfolgerung
Etwas plakativ (und stark vereinfacht) formuliert heisst das:a) Es reicht, die Sicherheitsmassnahmen aus einem einzigen Standard zu implementieren. Aus Optik einer Risikoreduktion ist es in aller Regel egal, ob wir uns z.B. auf ISO27002, auf NIST 800 oder den Grundschutz nach BSI 200 fokussieren.
b) Zusätzlich reicht es aus, in diesem ausgewählten Standard genau diejenigenvielleicht 15–20 Sicherheitsmassnahmen zu implementieren, welche aufgrund der aktuellen Risikolage wirklich notwendig und sinnvoll sind, um einen ausreichenden Schutz zu erzielen.
c) Nur diese wenigen Kontrollen sind formal zu dokumentieren und (z.B. in einem ISAE3000-Bericht) durch die externen Prüfer so bestätigen zu lassen. Dies reduziert bei gleichbleibendem Risiko die Kosten ebenfalls.
Das heisst nicht, dass die anderen Sicherheitsmassnahmen des ausgewählten Standards sowie die anderen Standards unsinnig sind – aber im Rahmen eines formal dokumentierten Managementsystems wie z.B. für Provider-Attestierungen reicht es absolut aus, wenige aber dafür die wirklich «wichtigen» Schlüsselkontrollen auf einem ausreichend hohen Maturitätsniveau zu implementieren. Zudem bin ich überzeugt, dass sich mit diesem Ansatz bei allen Unternehmensgrössen erhebliche Risikominderungen mit einem Bruchteil der Kosten für die Sicherheitsmassnahmen erzielen lassen.
Neues «Vorgehensmodell» der EXPERTsuisse
Einen entsprechenden Ansatz verfolgt derzeit auch die IT-Subkommission der KWP der EXPERTsuisse. Bestärkt durch den anhaltenden Nutzen des ursprünglichen «Vorgehensmodell IT-Risikoanalyse für KMU-Prüfer» aus dem Jahr 2010 sind wir aktuell in diesem Gremium daran, als Nachfolger des Vorgehensmodells eine Matrix zu erstellen mit vielleicht 30–40 Schlüsselkontrollen, welche aus verschiedenen Perspektiven sinnvolle minimale Kontrollsets aufzeigen. Geplant sind derzeit die folgenden Kontroll-Blickwinkel:- finanzrelevantes IKS (für Abschlussprüfer, so minimal wie möglich; entspricht den generellen IT-Kontrollen)
- IT-Betrieb (mit Fokus Stabilität, Robustheit, Verfügbarkeit; insbesondere für kritische Infrastruktur)
- Überwachung Outsourcing/Provider (insbesondere für kritische ausgelagerte Finanzprozesse zur Abdeckung z.B. der FINMA 18/03- und FINMA 23/1-Rundschreiben).
- Cyber Security (mit Fokus auf Data Loss, Ransomware, Spionage usw.)
- Compliance (generische Massnahmen, welche die korrekte Umsetzung rechtlicher Anforderungen im Bereich DSG/CID, GeBüV, Urheberrecht, … unterstützen)
- Datenschutz (spezifische Kontrollen für Persönlichkeitsschutz)
Einsparungen auch bei Kunden
Unternehmen, welche bei Providern einen dermassen schlanken aber hochgradig fokussierten und damit wirksamen Kontrollset akzeptieren, können auch ihre eigenen Kosten deutlich reduzieren, wenn sie den vom Provider erhaltenen ISAE-Bericht genau analysieren und auf ihr eigenes Managementsystem mappen, um allfällige Lücken zu erkennen.Der Autor
Peter R. Bitterli, Bprex Group AG; CISA, CISM, CGEIT, CRISC, CDPSE
(Quelle: ISACA)
Artikel kommentieren
