Wer 27 001 sagt, sollte am besten gleich 27 005 denken Alle Risiken im Griff - Quality Engineering

Wer 27 001 sagt, sollte am besten gleich 27 005 denken

Alle Risiken im Griff

Das Risikomanagement ist für die Implementierung eines Informationssicherheitsmanagementsystems der wohl zentralste und gleichzeitig komplexeste Begriff Bild: TÜV Hessen
Anzeige
Jedes Risiko ist ein unternehmerisches Wagnis. Dabei sollte klar sein: Der Bereich, in dem offene Risiko-Flanken sehr schnell existenzbedrohend werden können, ist heute die Informationssicherheit. Das einfache Abarbeiten der „guten alten“ ISO 27 001 reicht dafür nicht mehr aus.
Seit der Novellierung der ISO 9001 als Mutter aller Normen für Management-Systeme lässt ein Thema die Verantwortlichen nicht mehr los. Nein, es ist nicht so sehr die mittlerweile nicht mehr ganz so neue High-Level-Structure. Die bedeutsamere Neuerung ist: Die „guten alten“ Management-Systeme, die noch ohne einen Bezug zum Risikomanagement auskommen, sterben langsam aus. Das ist auch ganz gut so: Denn jedes Risiko ist ein unternehmerisches Wagnis. Dabei sollte klar sein: Der Bereich, in dem offene Risiko-Flanken sehr schnell existenzbedrohend werden können, ist heute die Informationssicherheit. Reicht hier das einfache Abarbeiten der ISO 27 001 aus?
Sie erinnern sich noch an Ihre ersten Gehversuche mit der ISO 27 001? Oder sind Sie gerade im Begriff, erste Erfahrungen mit diesem Standard zur Informationssicherheit zu machen? Dann kennen Sie ja den „Regelprozess“: Zunächst wird die Entscheidung zur Implementierung eines zertifizierbaren Informationssicherheitsmanagementsystems (ISMS) getroffen. Die Norm wird besorgt – es kann also beginnen. Das kann ja nicht so schwer sein. Man muss doch einfach nur wie üblich die Normforderungen unternehmensspezifisch umsetzen.
Die ersten Schritte laufen wie gewohnt: Man definiert Leitlinie, Planung und Steuerung der ISMS-relevanten Prozesse. Weil man ja up to date ist, denkt man auch an ein Passwortmanagement – kein Problem bis dahin.
Aber machen wir uns nichts vor: Man beginnt immer zuerst mit Dingen, die einfach und leicht abzuarbeiten sind. Man liest erstmal kreuz und quer in der Norm und pickt sich die Forderungen heraus, zu denen es schon Regelungen im Unternehmen gibt – oder die mit einem Meeting oder Interview der Verantwortlichen schnell erfüllt und dokumentiert sind; zum Beispiel der Kontext, Führung und Unterstützung, Betrieb, Bewertung und natürlich auch die Verbesserung. Und am Ende bleibt ein Kapitel stehen...
Spätestens aber mit dem Punkt 6.1ff der ISO 27 001, nämlich den „Maßnahmen zum Umgang mit Risiken und Chancen“, wächst ein Gefühl der Unsicherheit. Dieses Gefühl ist insofern fatal, als man weiß: Aus den genannten Gründen ist ausgerechnet das Risikomanagement der wohl wichtigste und komplexeste Teil bei der Implementierung eines ISMS. Und hier kommen wir zu dem eigentlichen Inhalt dieses Artikels.
Wer nicht alles neu erfinden und mit einem flauen Gefühl im Bauch leben will, setzt auf bewährte und anerkannte Instrumente. In diesem Fall ist das ganz eindeutig die ISO 27 005. Dieser Standard für das „Information Security Risk Management“ enthält die nötigen Leitlinien für ein systematisches und prozessorientiertes Risikomanagement und kann Ihnen wertvolle Handlungshilfen für die Umsetzung geben.
Schritt 1: Festlegung des Kontext / Context Establishment
Die ISO/IEC 27 001 fordert einen reproduzierbaren und systematischen Risikobewertungsansatz. Hierzu gehört das Erstellen eines geeigneten und dokumentierten Prozesses, der die Methodik und Regeln zur Erfüllung eines Risikomanagements beschreibt. Ferner sind Rahmenbedingungen, wie Kriterien zur Bewertung und Akzeptanz von Risiken, Schutzklassen und Verantwortlichkeiten, Umfang und Grenzen sowie Betrachtungszyklen festzulegen (siehe Annex A).
Schritt 2: Risikoeinschätzung / Risk Assessment
In diesem Schritt werden Sie aufgefordert Ihre Unternehmenswerte, die Assets, die es zu schützen gilt, aufzulisten (Risk Identification). Denken Sie zum Beispiel an die Räumlichkeiten oder die Hardware, dann vergessen Sie bitte auch die Prozesse und das Personal nicht. Wichtig dabei ist, sich bewusst zu machen, was alles einem Risiko ausgesetzt ist und den laufenden Geschäftsprozess nachhaltig stören könnte (siehe Annex B).
Darüber hinaus müssen Sie nun diesen Werten mögliche Bedrohungen – Feuer oder Ausfall dürften hier die „einfachsten“ sein – zuordnen und gleichzeitig die vorhandenen Schwachstellen ermitteln. Das können beispielsweise erhöhte Brandlasten oder fehlende Ressourcen sein (siehe Annex C). Im gleichen Atemzug ermitteln Sie die bereits durchgeführten Maßnahmen, die zum Beispiel das Vorhandensein einer Alarm- oder Brandmeldeanlage oder Redundanzen sein können und somit schon das Schadensausmaß reduziert haben.
Um hier nichts, aber auch gar nichts auszulassen, bietet die ISO 27 005 eine ausführliche Liste an, die für Unbeteiligte ein Horrorszenario sein mag – für Verantwortliche aber eine gute Hilfestellung bietet:
physical damage,
natural events,
loss of essential services,
disturbance due to radiation,
compromise of information,
technical failures,
unauthorised actions
compromise of functions,
human: hacker/cracker, computer criminal, terrorist, industrial espionage, insiders
Spätestens an diesem Punkt wird klar, dass die Beschäftigung mit Risiken und ihrer Bewertung heute ein Feld ist, dessen Bedeutung gegenüber früher deutlich gewachsen ist. Anhand einer solchen Liste kann die Eintrittswahrscheinlichkeit, mit der die Bedrohung auf die Schwachstelle treffen könnte, ermittelt werden – wobei die Spannbreite hier von Minimal bis Maximal gehen kann. Sind diese Basisarbeiten gemacht, sind Sie in der Lage, die Konsequenzen zu benennen, die zum Beispiel Imageschaden oder Kundenverlust lauten könnten (siehe Annex D).
Ob eine Risikoanalyse (Risk Analysis) mit qualitativen (etwa niedrig, mittel, hoch) oder quantitativen (etwa monetäre oder prozentuale Betrachtung) Methoden erfolgt, liegt im Ermessen jedes Einzelnen. Bei der Risikoabschätzung (Risk Estimation) entsteht aus der Formel Risikohöhe = Häufigkeit x Schaden eine Risikomatrix, die man im Rahmen der Risikobewertung (Risk Evaluation) mit den eingangs festgelegten Risikokriterien (zum Beispiel Risikoakzeptanz) vergleicht.
Darüber hinaus ist hiermit eine Entscheidungsgrundlage für die kommende Risikobehandlung gelegt. Da nicht alle Risiken gleichwertig zu behandeln sind, erfolgt in diesem Schritt eine Priorisierung (siehe Anhang E).
Schritt 3: Risikobehandlung / Risk Treatment
Jedes einzelne Risiko gilt es nun einer Behandlungspräferenz zuzuordnen:
  • Reduzierung
  • Vermeidung
  • Übertragung
  • oder Akzeptanz
Während die akzeptierten Risiken unbehandelt bleiben dürfen, müssen für die drei verbleibenden Behandlungen Maßnahmen definiert werden.
Während der Umsetzung der Anforderungen der ISO/IEC 27 001 stößt man unweigerlich auf ein Dokument, dass die Norm SoA (Statement of Applicability = Anwendbarkeitserklärung) nennt. Was verbirgt sich dahinter und warum findet sie hier ihre Anwendung ?
Diese SoA ist das zentrale Dokument im Informationssicherheitsmanagement und verknüpft die 114 Sicherheitsmaßnahmen (Controls) aus dem Anhang A der ISO/IEC 27 001 mit der Risikoanalyse. Aus ihr wird ersichtlich, welche dieser Controls bei Ihnen in den Prozessen zur Anwendung kommen, welche Ausschlüsse es gibt und wie deren Umsetzung zu erfolgen hat. Sie brauchen nur Ihre ermittelten Risiken den Sicherheitsmaßnahmen zuzuordnen und haben somit einen komplexen Überblick über den Stand Ihres Informationsmanagementsystems.
Schritt 4: Risikoakzeptanz / Risk Acceptance
Die häufigste Option zur Risikobehandlung ist eindeutig die Risikoreduktion. Nach Anwendung der entsprechenden Sicherheitsmaßnahmen ergeben sich verbleibende Restrisiken, über deren Akzeptanz Ihre Unternehmensleitung jetzt explizit und dokumentiert entscheiden muss.
Schritt 5: Risikokommunikation / Risk Communication and Consultation
Mit dem Ermitteln und Aufzeigen der Risiken im Unternehmen können Sie alle Stakeholder, Mitarbeiter oder Interessierte einfangen und an ihr Verantwortungsgefühl appellieren und somit das Sicherheits – und das Risikobewusstsein deutlich erhöhen.
Schritt 6: Risikoüberwachung und -review / Risk Monitoring and Review
Eine regelmäßige Prüfung auf Angemessenheit und Aktualität gilt auch für das Risikomanagement und schließt alle Einflussgrößen wie beispielsweise Assets, technologische Änderungen, Schwachstellen oder Eintrittswahrscheinlichkeiten mit ein.
Zusammenfassend lässt sich somit festhalten: Das Risikomanagement schein zunächst überschaubar. Allerdings gilt hier wie üblich: Was sich so einfach liest – erweist sich oftmals in der Praxis an der einen oder anderen Stelle doch noch als Herausforderung. Denn bei genauerer Betrachtung zeigt sich, dass es das Risikomanagement für die Implementierung von ISMS der wohl zentralste und gleichzeitig komplexeste Begriff überhaupt ist.
Erfahrungen des TÜV Hessen zeigen: Mit dem strukturierenden Risikomanagementansatz der ISO 27 005 können Sie eine fundierte und reproduzierbare Risikoermittlung für Ihr Unternehmen schaffen, die transparent und nachweisbar ist. Irgendwann werden Sie eine Risikoanalyse geschaffen haben, die perfekt auf Ihr Unternehmen zugeschnitten ist – auch wenn diese eine zweistellige Versionsnummer aufweist. Und dann können Sie sagen: „ Ja, ich habe meine Risiken im Griff.“ ■

Die Autorin
40420623
Susanne ArzigTÜV-Proficert
Lead Auditorin
TÜV Hessen
Anzeige

Quality Engineering

Messe Control

Die Welt der Qualitätssicherung zu Gast in Stuttgart

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper zum Thema Qualitätssicherung

Videos

Die QS-Branche vor der Kamera

Medtech meets Quality

Das Forum für Qualitätssicherung in der Medizintechnik

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de