Drei Ebenen der Informationssicherheit

Informationssicherheit ist kein Projekt. Es ist eine Daueraufgabe. Und wie bei jeder Daueraufgabe braucht es eine klare Struktur, damit sie funktioniert.

Diese Struktur besteht aus drei Ebenen: strategisch, taktisch und operativ. Die operative Ebene hat dabei zwei Teile. Jede Ebene hat ihre eigene Aufgabe, ihren eigenen Zeithorizont und ihre eigenen Verantwortlichkeiten. Zusammen bilden sie den Rahmen, innerhalb dessen Informationssicherheit messbar, steuerbar und nachvollziehbar wird.

Ein durchgehendes Beispiel hilft beim Verständnis. Nehmen wir einen Maschinenbaubetrieb mit 50 Mitarbeitenden. Solide Auftragslage, eigene Konstruktionszeichnungen, eine IT-Sicherheitsperson die eigentlich die IT-Leitung ist.

Die strategische Ebene gehört der Geschäftsführung. Hier wird nicht entschieden, was technisch umgesetzt wird. Hier wird entschieden, warum Informationssicherheit überhaupt betrieben wird.

Das Ergebnis dieser Ebene ist die Informationssicherheitsrichtlinie. Sie beantwortet eine einzige Frage: Was ist schützenswert, und warum? Keine Systeme, keine Prozesse, keine Massnahmen. Nur das Warum.

Diese Klarheit ist die Voraussetzung für alles andere. Ohne ein definiertes Warum fehlt jeder nachgelagerten Massnahme die Grundlage. Die Verantwortung für dieses Warum liegt immer bei der Geschäftsführung. Sie kann Aufgaben delegieren. Die Verantwortung nicht.

Die Geschäftsführung des Maschinenbaubetriebs erkennt: Unsere Konstruktionszeichnungen sind unser wichtigstes Kapital und müssen geheim bleiben.

Das ist das Warum. Es landet in der Richtlinie. Kein Wort darüber, wie das sichergestellt wird. Das ist nicht Aufgabe dieser Ebene.

Die taktische Ebene übersetzt das Warum in konkrete Prozesse. Hier wird entschieden, was umgesetzt werden muss, wer dafür verantwortlich ist und wie die Wirksamkeit überprüft wird.

Das ist die Ebene der IT-Leitung oder des ISMS-Verantwortlichen. Bei vielen KMUs ist das dieselbe Person, die auch operativ tätig ist. Wichtig ist, dass diese Ebene bewusst ausgefüllt wird – auch wenn keine eigene Stelle dafür existiert.

Prozesse auf dieser Ebene sind herstellerneutral und systemunabhängig. Es geht nicht darum, welches Tool eingesetzt wird. Es geht darum, was geregelt werden muss, wer die Verantwortung trägt und wo die Grenzen der Befugnis liegen: was darf eigenständig entschieden werden, und wann muss die Geschäftsführung einbezogen werden.

Aus dem Warum der Geschäftsführung leitet die IT-Verantwortliche einen Zugriffsmanagement-Prozess ab. Er legt fest, wer Zugriff auf schützenswerte Systeme erhält, wie dieser Zugriff beantragt und genehmigt wird, und wer regelmässig prüft, ob die Berechtigungen noch aktuell sind.

Ausserdem regelt der Prozess: Verlässt jemand das Unternehmen, müssen seine Zugriffsrechte innerhalb von 24 Stunden entzogen werden. Die Personalabteilung informiert. Die IT setzt um. Kein Tool, kein Befehl. Nur die Regel.

Der erste Teil der operativen Ebene beschreibt den Standard. Er beschreibt, wie ein Prozess konkret ausgeführt wird, mit klaren Verantwortlichkeiten. Noch immer herstellerneutral, aber nicht mehr abstrakt.

Hier steht, wer was meldet, was dokumentiert wird und was passiert, wenn ein Schritt nicht wie geplant funktioniert. Diese Anweisungen sind das Bindeglied zwischen dem definierten Prozess und der täglichen Arbeit.

Ein Konstrukteur verlässt das Unternehmen. Die Personalabteilung informiert die IT am selben Tag. Die IT prüft alle aktiven Zugriffsrechte dieser Person, entzieht sie vollständig, dokumentiert den Vorgang und bestätigt die Erledigung an die Personalabteilung.

Kein Tool, kein Befehl. Der Ablauf gilt unabhängig davon, welches System eingesetzt wird.

Der zweite Teil der operativen Ebene beinhaltet die Arbeitsanweisungen, Playbooks, usw... und ist herstellerspezifisch. Hier kommen konkrete Systeme, Werkzeuge und Befehle ins Spiel. Eine Anleitung für eine Windows-Umgebung sieht anders aus als eine für Linux. Beide setzen denselben Standard um.

Diese Ebene ist auch die einzige, die echtes Feedback in den Regelkreis einspeist. Was im Alltag nicht funktioniert, wird hier sichtbar. Dieses Feedback fliesst zurück an die taktische Ebene und verbessert die Prozesse.

Der Administrator deaktiviert das Benutzerkonto im eingesetzten Verzeichnisdienst, entfernt die Gruppenmitgliedschaften, entzieht die Zugriffsrechte auf das CAD-System und schliesst das Ticket mit einem Zeitstempel.

Drei Monate später zeigt ein Zugriffsreview, dass ein weiterer ehemaliger Mitarbeitender noch aktive Berechtigungen hat. Die Arbeitsanweisung wurde befolgt. Der Review hat trotzdem eine Lücke aufgedeckt. Das Feedback geht zurück an die taktische Ebene: der Prozess muss angepasst werden.

Das ist der Regelkreis in der Praxis.

Die Ebenen sind kein Wasserfallmodell, bei dem oben entschieden und unten ausgeführt wird. Sie sind ein Regelkreis.

Das Warum gibt die Richtung. Das Was schafft die Struktur. Das Wie beschreibt den Ablauf. Das Wie genau bringt es in die Praxis – und liefert Feedback zurück nach oben.

Fehlt eine Ebene, entstehen typische Probleme. Ohne Warum fehlt die Grundlage für alles. Ohne Was fehlen Prozesse und Verantwortlichkeiten. Ohne Wie weiss niemand konkret, wie er handeln soll. Ohne Wie genau bleibt alles theoretisch – und ohne Feedback verbessert sich nichts.

Hinweis: Dieser Artikel beschreibt die grundlegende Struktur eines ISMS. Wie diese Ebenen in Ihrem Unternehmen konkret aussehen, hängt von Ihrer Grösse, Ihrer Branche und Ihren Risiken ab. Wir helfen Ihnen dabei, das herauszufinden.