Unternehmen setzen IT-gestützte Prozesse ein, ohne sich Gedanken über die Folgen von Ausfällen zu machen. Die Risiken werden oft unterschätzt. Dies ist nicht zuletzt der Leistung der IT zu verdanken, die grösstenteils im Hintergrund wirkt, verborgen von der Wahrnehmung der Anwender. Um die Risiken zu minimieren, müssen die Anforderungen an die IT-Sicherheit dem Unternehmen jedoch bekannt sein. Diese lassen sich mit Fragebögen ermitteln.
Von Stefan Schmid, Dipl. El.-Ing. ETH, BSG Unternehmensberatung AG
Eine der wichtigsten Aufgaben der IT-Infrastruktur ist, dass Systeme und Applikationen sowie die darin enthaltenen Daten ohne Unterbruch verfügbar sind. Dabei ist oft unklar, welche konkreten Anforderungen an Sicherung und Aufbewahrung das Unternehmen an die IT-Mittel stellt. Anwender gehen häufig von utopischen Anforderungen an die Verfügbarkeit aus, wenn sie noch nie einen Ausfall des Computers oder einer wichtigen Applikation erlebt haben. Sie glauben, dass die Informatik solche Szenarien durch Systemauslegung und Produktwahl ausschliessen kann.
Risiken kennen
Will ein Unternehmen die IT auf seine Bedürfnisse ausrichten und Ausfallrisiken minimieren, muss es die Anforderungen an die Prozesse bzw. an die verwendeten Applikationen kennen. Gerade in grossen Organisationen oder Verwaltungen, wo die Spannweite an verschiedenen Applikationen und Daten sehr gross ist, ist es wichtig, das die Forderungen an die IT-Sicherheit bekannt sind. Kennzahlen zu Verfügbarkeit, Datenexistenz, Integrität und Vertraulichkeit sollten systematisch und reproduzierbar erfasst sein. Dies ermöglicht es, Systeme, Prozesse und Notfallszenarien der IT anhand der Anforderungen zu priorisieren. Risiken werden so gezielt minimiert. Ziel ist schliesslich, die Anforderungen an die Sicherung und Archivierung für die Organisation zu kennen, die Folgen von Ausfällen und deren zeitliche Auswirkungen zu beziffern und damit IT-Dienste anzubieten, die an die Schutzbedürfnisse angepasst sind.
Vorgehen definieren
Der Schutzbedarf kann auf verschiedene Arten ermittelt werden. Ein Risikodialog in Form von Interviews im Unternehmen ist am einfachsten, um die Schlüsselparameter zu erfragen. Basierend auf den Reaktionen der befragten Personen können gezielt individuelle Risiken herausgefiltert werden. Die relevanten Grössen für die IT werden mit den Fragen systematisch ermittelt.
Beim diesem Vorgehen gibt es viele Stolpersteine. Zielen die Fragen zum Beispiel einzig auf die Schlüsselindikatoren zu Sicherung und Aufbewahrung ab, ohne dass genaueres Hintergrundwissen berücksichtigt wird, können die Ergebnisse später schlecht nachvollzogen werden. Es können keine geschäftskritischen Faktoren ermittelt werden, die eine Umsetzung der erhobenen Anforderung begründen. Der Risikodialog darf also nicht direkt auf die Performanz-Indikatoren zielen, sondern muss gemäss dem „Was wäre wenn?“-Prinzip erfolgen: Was wären mögliche Folgen von Ausfällen oder Fehlern hinsichtlich Aufgabenerfüllung, Reputation oder rechtlicher Konsequenzen? Dabei ist es vorteilhaft, verständliche Schadensszenarien als Beispiele einzusetzen.
Umfeld berücksichtigen
Kleinere und mittlere Unternehmen können Anforderungen mit dem beschriebenen Risikodialog direkt ermitteln. In grossen, heterogenen Organisationen eignet sich eine elektronische Umfrage besser. Eine solche Business Impact Analyse erfasst den gesamten Bestand der Applikationen. Natürlich bringt sie auch Nachteile mit sich: Durch den fehlenden persönlichen Kontakt fehlt das Gespür dafür, welche Aussagen auf ihre Relevanz geprüft werden müssten. Dies kann dadurch gelöst werden, indem nach der Umfrage vereinzelt das Gespräch gesucht wird, wenn Ausprägungen extrem erscheinen oder Ungereimtheiten bestehen.
Anforderungen erfassen
Die Anforderungen an Backup und Aufbewahrung werden mithilfe eines Multiple-Choice-Fragekatalogs ermittelt. Dieser ist auf die Backup-Richtlinien abgestimmt und besteht aus 25 Fragen in drei Kapiteln: Datensicherung, Datenaufbewahrung und Informationssicherheit. Im Abschnitt über Datensicherung werden zum Beispiel die maximal akzeptable Unterbrechungszeit oder der maximal tolerierbare Datenverlust ermittelt. Diese Werte fliessen direkt in die Sicherungs-Richtlinie ein. Weil die Antworten der Befragten oft subjektiv sind, ist es notwendig, auch die Folgen von Systemausfällen oder Datenverlust zu berücksichtigen. Die Folgen werden in Form des zeitlichen Verlaufs des Schweregrads erfasst. Mit diesem Verlauf können die absoluten Angaben verifiziert werden. So erhält die IT auch die wichtigste Stellgrösse für die Datensicherung: die mittlere Wiederherstellungszeit eines Systems.
Das Kapitel über die Datenaufbewahrung zielt darauf ab, die Aufbewahrungszeit und damit die Vorhaltezeit der Sicherungen auszulegen. Wichtige Compliance-Vorgaben wie die rechtliche Mindestaufbewahrungsfrist werden ermittelt und zeitliche Auswirkungen bei Nichteinhaltung eruiert – wie schon im Kapitel über die Datensicherung. Die Datenaufbewahrung erfordert aufgrund der explodierenden Menge an Daten und der unterschiedlichen, teilweise langen Aufbewahrungsdauer viel Fingerspitzengefühl. Wer meint, aus der Befragung eine vollständige Aufbewahrungs-Richtlinie abzuleiten, wird enttäuscht. Auf die Frage, wie lange Sicherungen konkret aufbewahrt werden müssen, können nicht einmal IT-Experten eine abschliessende Antwort geben. Neben den theoretischen Anforderungen spielen dabei immer auch wirtschaftliche Aspekte und die strategische Ausrichtung der Informatik eine Rolle.
Der letzte Teil des Fragebogens greift Aspekte zur Datensicherheit auf und behandelt zum Beispiel die Folgen von ungewolltem Informationsabfluss. Antworten in diesem Themenbereich geben neben Schutzanforderungen für Sicherungen und Archive auch Hinweise darauf, wie die Informatik mit Informationen aus den Applikationen umgehen sollte.
Der Fragebogen gibt letztendlich Aufschluss darüber, welche Anforderungen die Benutzer an Sicherung und Aufbewahrung stellen und welche Auswirkungen Ausfälle, Verluste und Compliance-Verstösse mit sich bringen. Aus diesen Resultaten werden die Schwerpunkte für Sicherung und Aufbewahrung quantifiziert. So können zum Beispiel eine Sicherungs- und Aufbewahrungs-Richtlinie erstellt und ein Backup-Konzept erarbeitet werden, das auf Anforderungen von über 100 Applikationen aufbaut.
Effektiver Nutzen
Gerade für mittlere und grosse IT-Organisationen ist der geschilderte Ansatz, um Anforderungen zu erheben, sehr attraktiv. Mit überschaubarem Aufwand wird abgetastet, was für Bedürfnisse die Benutzer an die Applikationen stellen. Die Methode verschafft einen Überblick über die Erwartungen an das Betriebskontinuitäts-Management (BCM) und eine effiziente Sicherung. Dem Sicherheitsverantwortlichen in einem Unternehmen stehen Anforderungen an Compliance und Gerichtsfestigkeit ganzheitlich zur Verfügung. Der CIO wiederum verfügt mit den gewonnen Angaben über eine nachvollziehbare und wiederholbare Auswirkungsanalyse, basierend auf den Standards ISO 27001 sowie ISO 22301. Anhand dieser Erkenntnisse weiss die IT, was punkto Sicherung und Aufbewahrung effektiv von ihr gefordert wird. Der Umsetzung steht nichts mehr im Wege.