Informationssicherheit: Eine Reise, kein Ziel

In meiner Rolle als CISO habe ich die Gelegenheit gehabt, tief in die Welt der Informationssicherheit einzutauchen. Heute möchte ich ein Thema ansprechen, das mir besonders am Herzen liegt: die kontinuierliche Verbesserung der Informationssicherheit.

Als Technik-Enthusiast war ich immer bestrebt, Dinge zu ordnen und zu strukturieren.

In der Informationssicherheit gibt es viele Möglichkeiten dazu, da fast jeder Standard oder Ansatz so etwas wie “Controls” bietet. Diese sind „Maßnahmen“, die man ergreifen kann, um die Informationssicherheit zu verbessern und Risiken zu minimieren.

Die aktuelle Fassung der ISO 2700x kennt vier Gruppen dieser Controls oder Maßnahmen:

  1. Organisatorische Maßnahmen (37 Maßnahmen): Diese betreffen die organisatorischen Aspekte der Informationssicherheit.
  2. Personenbezogene Maßnahmen (8 Maßnahmen): Diese beziehen sich auf die Menschen in der Organisation.
  3. Physische Maßnahmen (14 Maßnahmen): Diese beziehen sich auf physische Objekte und die physische Sicherheit.
  4. Technologische Maßnahmen (34 Maßnahmen): Diese beziehen sich auf Technologien und technische Sicherheitsaspekte.

Es könnte verlockend sein, schnell eine Checkliste zu erstellen und sicherzustellen, dass wir zu jedem dieser Punkte etwas umsetzen. Aber das wäre ein Missverständnis der Idee eines Informationssicherheitsmanagementsystems.

Es geht nicht nur darum, einzelne Maßnahmen auszuwählen und umzusetzen. Vielmehr lebt das Managementsystem vom sogenannten PDCA-Zyklus: Planen, Durchführen, Überprüfen, Handeln. Dieser Zyklus steht für kontinuierliche Verbesserung.

Nehmen wir ein einfaches Beispiel: “Aufgeräumte Arbeitsumgebung und Bildschirmsperren”.

Es sollten klare Regeln für eine aufgeräumte Arbeitsumgebung hinsichtlich Unterlagen und Wechselspeichermedien und klare Regeln für Bildschirmsperren für informationsverarbeitende Einrichtungen festgelegt und angemessen durchgesetzt werden.

Es reicht jedoch nicht aus, eine Richtlinie oder Arbeitsanweisung zu erstellen.

Im Sinne der Norm müsste man regelmäßig prüfen, ob sich auch alle daran halten. Die Ergebnisse sollten dokumentiert werden und dann muss ich mir überlegen, ob alles so funktioniert wie geplant.

Die Praxis zeigt, dass es immer wieder Punkte gibt, die schwer umsetzbar sind oder einfach ignoriert werden. Also muss man “nachjustieren”, damit der Prozess sich weiter entwickelt.

Aus diesem Grund habe ich meine “Checklisten” komplett umgestellt.

Weg von “ist erfüllt oder nicht” hin zu einem “Reifegradmodell”.

Mit diesem erreiche ich maximal 20%, solange ich eine Maßnahme nur eingeführt habe. Die wichtige Aufgabe besteht darin, den Prozess hinter der Maßnahme weiter voranzubringen, damit er “reift”.

Wenn Sie denken, mit dem Erhalt des ersten Zertifikats sei alles getan, dann sollten Sie Ihre Haltung überdenken.

Die Informationssicherheit ist eine Reise, die man kontinuierlich weiter gehen muss.

Und wer sagt, dass man auf dieser Reise nicht auch tanzen darf?


As a CISO, I’ve delved deeply into the world of information security, with a focus on continuous improvement. As a tech enthusiast, I’ve always aimed to organize and structure things.

In information security, there are many opportunities for this, as almost every standard or approach offers something like “controls”. These are measures that can be taken to improve information security and minimize risks.

The current version of ISO 2700x recognizes four groups of these controls or measures:

Organizational measures (37 measures): These relate to the organizational aspects of information security.
Personal measures (8 measures): These relate to the people in the organization.
Physical measures (14 measures): These relate to physical objects and physical security.
Technological measures (34 measures): These relate to technologies and technical security aspects.

It might be tempting to quickly create a checklist and ensure that we implement something for each of these points. But that would be a misunderstanding of the idea of an information security management system.

It’s not just about selecting and implementing individual measures. Rather, the management system lives from the so-called PDCA cycle: Plan, Do, Check, Act. This cycle stands for continuous improvement.

For example, “Tidy workspace and screen locks”. Clear rules should be established and appropriately enforced for a tidy workspace regarding documents and removable media, and clear rules for screen locks for information processing facilities.

However, it is not enough to create a policy or work instruction. In the sense of the standard, one would have to regularly check whether everyone is adhering to it. The results should be documented and then I have to consider whether everything is working as planned.

Practice shows that there are always points that are difficult to implement or simply ignored. So, you have to “readjust” so that the process continues to develop.

For this reason, I have completely redesigned my “checklists”. Away from “is fulfilled or not” towards a “maturity model”. With this, I achieve a maximum of 20% as long as I have only introduced a measure. The important task is to advance the process behind the measure so that it “matures”.

If you think that everything is done with the receipt of the first certificate, then you should reconsider your attitude. Information security is a journey that must be continuously continued. And who says you can’t dance on this journey?