Die Zeitschriften sind voll von Artikeln über Cyber Security; das Thema ist zu einem absoluten Hype verkommen. Viele der Beiträge sind aber relativ trivial und praktisch wertlos; die meisten Inhalte konnte man schon vor 20 Jahren unter dem Thema Internet-Sicherheit lesen. Also «alter Wein in neuen Schläuchen»?
Das Gefährliche an den meisten Artikeln, ja sogar an den Fachbüchern oder nationaler Cyber Security-Strategien ist der Fokus auf die technologischen Verwundbarkeiten und die entsprechenden Angriffe. Es macht aber absolut keinen Sinn, technologische Schwachstellen zu stopfen, wenn grundsätzliche (Sicherheits-) Massnahmen fehlen. Bevor der Grundschutz gewährleistet werden kann, ist (fast) jeder in Cyber Security investierte Franken herausgeworfenes Geld. Der Artikel von Martin Andermatten zeigt sehr gut auf, dass auch so «triviale» Themen wie z.B. Change Management oder Configuration Management für Cyber Security resp. Cyber Resilience von zentraler Bedeutung sind. Aus seiner Optik betrachtet ist Service Management ein unabdingbare Voraussetzung für ausreichende Cyber Security. Analog sind die Überlegungen im klassischen Sicherheitsbereich: Bevor ich die neue ISO Norm 27032 für Cyber Security implementiere, sollte ich die Aufbau- und Ablauforganisation nach ISO27001 und die Sicherheitsmassnahmen nach ISO27002 implementiert haben.
Ob jetzt ITIL Service Management oder ISO2700x Security Management – eigentlich sollte man noch weiter oben beginnen. Der korrekte Ansatz wäre, eine wirksame Governance zu implementieren. Governance heisst, die Sache im Griff zu haben. Man sorgt als Geschäftsleitung und oberes Management dafür, dass sich die verantwortlichen Stellen wie Compliance, Risk Management, Security Management, IT Management usw. sich wirklich um ihre Aufgabe kümmern. Governance in diesem Sinne heisst, Verantwortlichkeiten klar zuzuweisen und dann auch zu verifizieren, ob diese wahrgenommen werden.
Für Governance gibt es mit COBIT 5 ein hervorragendes Werkzeug und mit CGEIT auch ein entsprechendes Zertifikat. Ich möchte jetzt nicht das CSX- gegen das CGEIT-Zertifikat ausspielen; aber CGEIT zeigt das übergeordnete Vorgehen auf, das alle anderen Themen (also auch Cyber Security) abdecken könnte.