Was ist das Besondere an Checklisten - warum sind Checklisten vor allem in der Luftfahrt Standard und warum sind sie auch für die Informationssicherheit unerlässlich?
Piloten kennen Sie zur Genüge, sie existieren für nahezu jede Situation:
Checklisten
Jeder hat im ein oder anderen Film sicherlich schon gesehen, dass Piloten zu Checklisten greifen, sei es in einer Notfallsituation, aber auch zur Flugvorbereitung, zum Prüfen der Maschine usw.
Als Pilot lernt man ziemlich schnell, verlass Dich nicht auf Dein Gedächtnis, wenn Du eine Checkliste benutzen kannst.
Warum ist das so und weshalb macht es deshalb auch in der Informationssicherheit Sinn?
Piloten lernen von Anfang an mit Checklisten zu arbeiten.
Ich selbst verwende für den Flug mit einem Helikopter üblicherweise vier Checklisten:
Preflight-Checkliste (Technische Prüfung des Helikopters von außen)
Before-Engine-Start-Checkliste (Alle Prüfungen, im Helikopter sitzend, bevor der Motor / die Turbine gestartet wird)
Engine-Start and Run-Up-Checkliste (Ablauf des Motorstarts und Prüfung technischer Elemente)
Shutdown-Procedure-Checkliste (Ablauf des Abschaltens des Helikopters)
Anders als z.B. im Passagierflugzeug gibt es keine Notfall-Checklisten, da man im Helikopter nur Sekunden hat zu reagieren und keine Zeit für Checklisten in der Situation einfach keine Zeit mehr ist.
Was ist der große Vorteil einer Checkliste?
Checklisten sagen uns mit wenigen Worten oder Schritten, was zu tun ist.
Checklisten sind wie Notizzettel, mit denen wir uns zum einen daran erinnern, was wir tun müssen und zum anderen, damit wir keinen wichtigen Punkt (insbesondere, wenn die Reihenfolge entscheidend ist) vergessen.
Man kann jeden Punkt vor dem geistigen Auge oder tatsächlich abhaken und reduziert damit das Risiko, einen wichtigen Punkt zu vergessen, denn dies passiert, auch und gerade, weil man es schon so oft getan hat.
Warum können Checklisten nun auch in der Informationssicherheit einen spürbaren Mehrwert bieten?
Auditoren / Prüfer nutzen Checklisten, um das Audit / die Prüfung zu strukturieren und keine Prüfpunkte zu vergessen.
Der Status eines ISMS will auch permanent geprüft werden, damit erstellen wir hierfür eine Checkliste und haben damit immer alle relevanten Punkte zusammen und können diese strukturiert prüfen.
Technische Prüfungen: Es ist nicht unüblich, verschiedene Sicherheitselemente auf ihre Funktionstüchtigkeit hin zu prüfen, z.B. die Firewall, der unternehmensweite Malwareschutz, das SIEM, der zentrale LOG-Server, die Softwareverteilung etc. All diese Punkte in einer Liste zusammengetragen und in eine sinnvolle Reihenfolge gebracht, schon haben wir unsere Checkliste.
Dienstleisterprüfung - hier kommen ebenfalls häufig Checklisten zum Einsatz, denn wir wollen das Sicherheitslevel unserer Dienstleister prüfen, die für oder bei uns Aufgaben wahrnehmen. Damit nicht jeder Dienstleister eine andere Prüfung erfährt, haben wir eine Checkliste und danach prüfen wir alle gleich. Natürlich ist es möglich, Checklisten mit unterschiedlichen Detailgraden zu entwickeln, aber innerhalb eines Niveaus sollte die Prüfung der Vergleichbarkeit wegen stets identisch sein.
Notfallmanagement - dies ist ein weiterer wichtiger Bereich in denen Checklisten vorteilhaft sind. In Notfällen muss schnell reagiert werden, Abläufe müssen sitzen und ggf. auch von Personen durchgeführt werden, die damit nicht so sehr vertraut sind. Checklisten sind hier die perfekte Lösung, um Abläufe strukturiert anzugehen und abzuarbeiten.
Fazit
Wir haben festgestellt, Checklisten können auch in der Informationssicherheit einen großen Mehrwert bieten.
Im Rahmen des kontinuierlichen Verbesserungsprozesses werden sie zudem regelmäßig eine Überarbeitung erfahren und sind damit stets aktuell.
Es ist zweifelsohne ein Vorteil, wenn bestimmte Tätigkeiten anhand einer Checkliste nachvollziehbar sind, stets in der gleichen Art durchgeführt werden, unabhängig von dem Wissensstand des Prüfenden. Die Chancen, dass das gewünschte Ergebnis erreicht wird, steigt bei der Verwendung einer Checkliste massiv an.
Arbeitest Du bereits mit Checklisten?
Wie sind Deine Erfahrungen damit?
Oder möchtest Du gerne mit Checklisten Deine Sicherheit optimieren, bist Dir aber unsicher, wie und wo Du beginnen sollst? Dann komm gern auf mich zu!
Comments