Autorin –
Stephanie Niemann, Projektmanagerin und Leiterin Marketing bei RÜHLCONSULTING GmbH
Fast täglich finden sich Hiobsbotschaften über gestohlene Daten oder gehackte Kundenkonten in den Medien – selbst erfolgreiche Cyberangriffe auf Regierungseinrichtungen erringen immer wieder die Top-Plätze in der Berichterstattung. Denn für Organisationen entstehen ständig neue Risikopotenziale, flankiert von neuen technischen Lösungen wie Cloud oder Mobile Solutions. Mit anderen Worten: Nichts scheint sicher bis auf das Unsichere in Zeiten, in denen Informationen Macht bedeuten.
Das Spielfeld Informationsdiebstahl ist längst kein graues Feld mehr, sondern bunt, lebhaft und abwechslungsreich: „Wirtschaftsspionage und wirtschaftskriminelle Handlungen sind allgegenwärtig. Letztlich geht es den Angreifern fast immer um brisante Informationen“, diese Einschätzung bestätigt Uwe Rühl, Geschäftsführer des Beratungsunternehmens RÜHLCONSULTING GmbH. Zum Schutz der eigenen Informationen und, mehr noch, um eine durchgängige Sicherheits- und Risikomanagementstrategie in der Gesamtorganisation zu verankern, müssen sich Unternehmen auf diese Entwicklung einstellen. Das Ziel heißt Risiken vorbeugen und Chancen erkennen – in allen Unternehmensbereichen. Hilfestellung und Orientierung bieten Normen wie der Internationale Standard ISO/IEC 27001:2013 zur Umsetzung eines Informationssicherheitsmanagement-Systems (ISMS). Ende 2013 wurde die zweite Ausgabe dieses Standards veröffentlicht.
Von der Rolle rückwärts zum Vorwärtsgang
Die Rolle rückwärts kennt man aus dem Sportunterricht oder von Clowns aus dem Zirkus. In vielen Fällen sahen die Übungen im Risikomanagement der vergangenen Jahre ähnlich aus. Der einzige Unterschied liegt darin, dass diese weniger erheiternd waren, dafür ebenfalls rückwärtsgewandt und den Blick auf das hinter sich Liegende fixiert. Eine Fehleinschätzung vieler Entscheider und Risikomanager, entstehen Risiken doch in der Zukunft. Anders gesprochen: Zukunftsweisende Methoden und Standards im Risikomanagementumfeld müssen stärker in den Mittelpunkt der Betrachtung und Anwendung rücken. „Für Unternehmen ist es entscheidend, ihre kritischen Informationen zu kennen. Das sind die sensiblen Daten, die ein Unternehmen braucht, um wirtschaftlich und innovativ zu sein. Nur so können sie diese wirksam schützen“, so Uwe Rühl.
In Organisationen jeder Größe und in allen Bereichen ist in diesem Kontext eine vorausschauende Sicherheitsplanung und die Verankerung eines durchgängigen Risikomanagements ein elementares Bindeglied. Denn IT-Risiken sind mittlerweile ein integraler Bestandteil von Unternehmensrisiken. Eines der Hauptziele von Organisationen muss es daher sein, das IT-Risikomanagement mit dem allgemeinen Unternehmensrisikomanagement zu verzahnen. Doch wie lässt sich solch ein Prozess aufsetzen und worauf müssen Unternehmen dabei achten?
Im neuen ISO-27001-Standard ist die Chancenwahrnehmung ausdrücklich verankert. Das bedeutet, nicht nur Risiken in die Gesamtbetrachtung des Unternehmens einzubeziehen, sondern eine zukunftsgewandte Chancensicht aufzubauen. Ein wichtiger Schritt, führt doch der Rückwärtsgang nur zu einer reinen Risikobuchhaltung. Um Risiken und Chancen in Organisationen besser abzubilden, braucht es im Gegensatz dazu den Vorwärtsgang und einen in die Zukunft gerichteten Blick. Demnach ist ein Risiko ein Risiko und eine Chance zugleich. Heruntergebrochen auf den aktualisierten ISO-Standard sollen unter dem Punkt „Planen“ Risiken und Chancen erkannt (IS Risk Assessment) werden. Wichtig ist das Festlegen eine dementsprechende Risiken- und Chancenbehandlung (IS Risk Treatment).
ISO 27001: das Top-Management in der Pflicht
Nach gängiger Definition des Branchenverbandes BITKOM erlaubt ein ISMS „ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren“. Im Grunde beinhaltet der aktualisierte Standard eine neue Grundstruktur für Managementsystem-Normen. Darin sollen aktualisierte Erkenntnisse aus Wissenschaft und Technik sowie Best Practices einfließen. Eine wichtige Neuerung liegt in der konkreten Anforderung an das Top-Management, das die im Rahmen der ISO-Ausgestaltung beschriebenen Aufgaben wahrnehmen muss. Für Uwe Rühl eine längst überfällige Neuerung: „Ich bin überrascht, dass das Top-Management die eigene Unternehmensstrategie so klar als Schwachpunkt ausmacht, wenn es um mögliche Risiken und ihre Abwehr geht. Andererseits verschließen die Unternehmer ihre Augen vor der eigenen Verantwortung, wenn sie nichts dagegen tun.“
Dies zu verhindern ist im aktuellen ISO-27001-Standard konkretisiert. Für das Management heißt das: Die ISMS-Konformität mit den strategischen Zielen der Gesamtorganisation in Einklang zu bringen. In diesem Kontext reicht es beispielweise nicht aus, dass nur Sicherheitsstrukturen im Auftrag der Geschäftsführung in der eigenen Organisation etabliert werden. Vielmehr kommt es vor allem auf die Überwachung der Prozesse und die Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheitsmanagements durch das Management selbst an.
Als Hintergrund für die inhaltliche Ausgestaltung von ISO 27001 dient der neue Annex SL (Proposals for Management System Standards), der für alle Managementsysteme zukünftig als Maßstab dient. Ziel ist es, dass unterschiedliche Managementsysteme einfacher in Organisationen integriert werden können. Und für diesen Gesamtprozess sind die Top-Manager zukünftig stärker verantwortlich – vom Etablieren der Prozesse bis zum Überwachen der Wirksamkeit als Gesamtsystem in der Organisation.
Hinzu kommt das Bereitstellen von Ressourcen zum Implementieren, dem Betrieb und der Verbesserung eines ISMS inklusive der Risikobehandlung in der eigenen Organisation. Hierzu sind Risikoverantwortliche zu benennen, die als klare „Process/Risk Owner“ in der Organisation benannt sind. Wichtig sind die Überwachung der Prozesse und die Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheitsmanagements. Im konkreten Fall heißt das auch, die Ressourcen für das Implementieren, den Betrieb und die Verbesserung des ISMS bereitzustellen. Hierzu zählen gleichfalls personelle Ressourcen und die Qualifizierung der Mitarbeiter – von Schulungen bis zum Sensibilisieren (Stichwort: Awareness-Ausbau).
Mittelstand: vielfach fehlt die Vorausschau
Um Gefahrenpotenziale dauerhaft zu verringern, ist ein durchgängiges Verständnis der Risiken erforderlich. Dies setzt in letzter Konsequenz eine starke Unternehmenskultur voraus. Initiiert, vorgelebt und getragen von der Firmenleitung, gilt der bewährte Spruch „Informationssicherheit und Risikomanagement sind zunächst Chefsache“. Und das zählt für Organisationen jeder Größe, in allen Branchen. Uwe Rühl: „Die Gefahren für Konzerne und Mittelständler ähneln sich. Und einem potenziellen Angreifer dürfte die Gesellschaftsform des Unternehmens gänzlich egal sein. Für ihn zählt allein der Wert der Daten oder der Schaden, den er anrichten kann.“ Entscheider müssen demnach Standards als einen integralen Bestandteil von Organisationsprozessen verstehen und Methoden in diesem Sinne systematisch, strukturiert und zeitgemäß auswählen. In diesem Kontext bieten Frühwarnsysteme (inklusive der beschriebenen Chancenerkennung) ein zusätzliches und probates Mittel für die Unternehmenssteuerung.
Für die Umsetzung einer Sicherheitsstrategie ist es zunächst sinnvoll, sich an einem Leitfaden zu orientieren, ein Schritt, den viele Unternehmen gehen. In einer im Spätjahr 2013 durchgeführten Befragung zum Risikomanagement im deutschen Mittelstand [1] zeigt sich, dass sich der Großteil der Unternehmen an Leitfäden aus der Informationstechnik orientiert. Dies bestätigt wiederum die starke Fokussierung auf den Bereich IT. Den Ergebnissen zufolge wird auch der Standard ISO 27001 von rund 18 Prozent der befragten Mittelständler eingesetzt. Vielfach zeigt sich aber auch, dass Unternehmer zwar eine Risikobewertung durchführen, aber keine gründliche Analyse. „Ich sehe häufig, dass Teilbereiche im Unternehmen betrachtet werden, die wenigsten Firmen aber eine umfassende, strukturierte Methode anwenden“, resümiert Uwe Rühl. Doch genau diese Methodensicht ist wichtig, um ein strukturiertes und zukunftsgewandtes Informationssicherheitsmanagement zu etablieren und unternehmenskritische Daten zu schützen.
Quellenhinweis
[1] Für die Online-Umfrage „Alles auf Risiko“, Risikomanagement im deutschen Mittelstand, befragte die RÜHLCONSULTING GmbH 117 Geschäftsführer mittelständischer Unternehmen. Die Umfrage wurde branchenübergreifend durchgeführt, mit überwiegend folgenden Bereichen: Maschinen- und Anlagenbau, Konsumgüter, Handel, Transport und Logistik. Rund ein Drittel der Firmen ist international tätig. Weitere Informationen zu den Ergebnissen unter: www.ruehlconsulting.de.
www.ruehlconsulting.de
Stephanie Niemann ist Projektmanagerin und Leiterin Marketing beim Beratungsunternehmen RÜHLCONSULTING GmbH. Die RÜHLCONSULTING GmbH ist ein Beratungs-, Trainings- und Auditspezialist für Risikomanagement, Informationssicherheitsmanagement sowie Business Continuity Management (BCM). Im Mittelpunkt steht die branchenübergreifende Arbeit und Verzahnung von Integrierten Managementsystemen (IMS) zu nachhaltigen und wertsteigernden Sicherheitskonzepten und -lösungen.
