Alle Risiken im Griff

Seit der Novellierung der ISO 9001 als Mutter aller Normen für Management-Systeme lässt ein Thema die Verantwortlichen nicht mehr los. Nein, es ist nicht so sehr die mittlerweile nicht mehr ganz so neue High-Level-Structure. Die bedeutsamere Neuerung ist: Die „guten alten“ Management-Systeme, die noch ohne einen Bezug zum Risikomanagement auskommen, sterben langsam aus. Das ist auch ganz gut so: Denn jedes Risiko ist ein unternehmerisches Wagnis. Dabei sollte klar sein: Der Bereich, in dem offene Risiko-Flanken sehr schnell existenzbedrohend werden können, ist heute die Informationssicherheit. Reicht hier das einfache Abarbeiten der ISO 27 001 aus?

Sie erinnern sich noch an Ihre ersten Gehversuche mit der ISO 27 001? Oder sind Sie gerade im Begriff, erste Erfahrungen mit diesem Standard zur Informationssicherheit zu machen? Dann kennen Sie ja den „Regelprozess“: Zunächst wird die Entscheidung zur Implementierung eines zertifizierbaren Informationssicherheitsmanagementsystems (ISMS) getroffen. Die Norm wird besorgt – es kann also beginnen. Das kann ja nicht so schwer sein. Man muss doch einfach nur wie üblich die Normforderungen unternehmensspezifisch umsetzen.

Die ersten Schritte laufen wie gewohnt: Man definiert Leitlinie, Planung und Steuerung der ISMS-relevanten Prozesse. Weil man ja up to date ist, denkt man auch an ein Passwortmanagement – kein Problem bis dahin.

Aber machen wir uns nichts vor: Man beginnt immer zuerst mit Dingen, die einfach und leicht abzuarbeiten sind. Man liest erstmal kreuz und quer in der Norm und pickt sich die Forderungen heraus, zu denen es schon Regelungen im Unternehmen gibt – oder die mit einem Meeting oder Interview der Verantwortlichen schnell erfüllt und dokumentiert sind; zum Beispiel der Kontext, Führung und Unterstützung, Betrieb, Bewertung und natürlich auch die Verbesserung. Und am Ende bleibt ein Kapitel stehen…

Spätestens aber mit dem Punkt 6.1ff der ISO 27 001, nämlich den „Maßnahmen zum Umgang mit Risiken und Chancen“, wächst ein Gefühl der Unsicherheit. Dieses Gefühl ist insofern fatal, als man weiß: Aus den genannten Gründen ist ausgerechnet das Risikomanagement der wohl wichtigste und komplexeste Teil bei der Implementierung eines ISMS. Und hier kommen wir zu dem eigentlichen Inhalt dieses Artikels.

Wer nicht alles neu erfinden und mit einem flauen Gefühl im Bauch leben will, setzt auf bewährte und anerkannte Instrumente. In diesem Fall ist das ganz eindeutig die ISO 27 005. Dieser Standard für das „Information Security Risk Management“ enthält die nötigen Leitlinien für ein systematisches und prozessorientiertes Risikomanagement und kann Ihnen wertvolle Handlungshilfen für die Umsetzung geben.

Die ISO/IEC 27 001 fordert einen reproduzierbaren und systematischen Risikobewertungsansatz. Hierzu gehört das Erstellen eines geeigneten und dokumentierten Prozesses, der die Methodik und Regeln zur Erfüllung eines Risikomanagements beschreibt. Ferner sind Rahmenbedingungen, wie Kriterien zur Bewertung und Akzeptanz von Risiken, Schutzklassen und Verantwortlichkeiten, Umfang und Grenzen sowie Betrachtungszyklen festzulegen (siehe Annex A).

In diesem Schritt werden Sie aufgefordert Ihre Unternehmenswerte, die Assets, die es zu schützen gilt, aufzulisten (Risk Identification). Denken Sie zum Beispiel an die Räumlichkeiten oder die Hardware, dann vergessen Sie bitte auch die Prozesse und das Personal nicht. Wichtig dabei ist, sich bewusst zu machen, was alles einem Risiko ausgesetzt ist und den laufenden Geschäftsprozess nachhaltig stören könnte (siehe Annex B).

Darüber hinaus müssen Sie nun diesen Werten mögliche Bedrohungen – Feuer oder Ausfall dürften hier die „einfachsten“ sein – zuordnen und gleichzeitig die vorhandenen Schwachstellen ermitteln. Das können beispielsweise erhöhte Brandlasten oder fehlende Ressourcen sein (siehe Annex C). Im gleichen Atemzug ermitteln Sie die bereits durchgeführten Maßnahmen, die zum Beispiel das Vorhandensein einer Alarm- oder Brandmeldeanlage oder Redundanzen sein können und somit schon das Schadensausmaß reduziert haben.

Um hier nichts, aber auch gar nichts auszulassen, bietet die ISO 27 005 eine ausführliche Liste an, die für Unbeteiligte ein Horrorszenario sein mag – für Verantwortliche aber eine gute Hilfestellung bietet:

physical damage,

natural events,

loss of essential services,

disturbance due to radiation,

compromise of information,

technical failures,

unauthorised actions

compromise of functions,

human: hacker/cracker, computer criminal, terrorist, industrial espionage, insiders

Spätestens an diesem Punkt wird klar, dass die Beschäftigung mit Risiken und ihrer Bewertung heute ein Feld ist, dessen Bedeutung gegenüber früher deutlich gewachsen ist. Anhand einer solchen Liste kann die Eintrittswahrscheinlichkeit, mit der die Bedrohung auf die Schwachstelle treffen könnte, ermittelt werden – wobei die Spannbreite hier von Minimal bis Maximal gehen kann. Sind diese Basisarbeiten gemacht, sind Sie in der Lage, die Konsequenzen zu benennen, die zum Beispiel Imageschaden oder Kundenverlust lauten könnten (siehe Annex D).

Ob eine Risikoanalyse (Risk Analysis) mit qualitativen (etwa niedrig, mittel, hoch) oder quantitativen (etwa monetäre oder prozentuale Betrachtung) Methoden erfolgt, liegt im Ermessen jedes Einzelnen. Bei der Risikoabschätzung (Risk Estimation) entsteht aus der Formel Risikohöhe = Häufigkeit x Schaden eine Risikomatrix, die man im Rahmen der Risikobewertung (Risk Evaluation) mit den eingangs festgelegten Risikokriterien (zum Beispiel Risikoakzeptanz) vergleicht.

Darüber hinaus ist hiermit eine Entscheidungsgrundlage für die kommende Risikobehandlung gelegt. Da nicht alle Risiken gleichwertig zu behandeln sind, erfolgt in diesem Schritt eine Priorisierung (siehe Anhang E).

Jedes einzelne Risiko gilt es nun einer Behandlungspräferenz zuzuordnen:

Während die akzeptierten Risiken unbehandelt bleiben dürfen, müssen für die drei verbleibenden Behandlungen Maßnahmen definiert werden.

Während der Umsetzung der Anforderungen der ISO/IEC 27 001 stößt man unweigerlich auf ein Dokument, dass die Norm SoA (Statement of Applicability = Anwendbarkeitserklärung) nennt. Was verbirgt sich dahinter und warum findet sie hier ihre Anwendung ?

Diese SoA ist das zentrale Dokument im Informationssicherheitsmanagement und verknüpft die 114 Sicherheitsmaßnahmen (Controls) aus dem Anhang A der ISO/IEC 27 001 mit der Risikoanalyse. Aus ihr wird ersichtlich, welche dieser Controls bei Ihnen in den Prozessen zur Anwendung kommen, welche Ausschlüsse es gibt und wie deren Umsetzung zu erfolgen hat. Sie brauchen nur Ihre ermittelten Risiken den Sicherheitsmaßnahmen zuzuordnen und haben somit einen komplexen Überblick über den Stand Ihres Informationsmanagementsystems.

Die häufigste Option zur Risikobehandlung ist eindeutig die Risikoreduktion. Nach Anwendung der entsprechenden Sicherheitsmaßnahmen ergeben sich verbleibende Restrisiken, über deren Akzeptanz Ihre Unternehmensleitung jetzt explizit und dokumentiert entscheiden muss.

Mit dem Ermitteln und Aufzeigen der Risiken im Unternehmen können Sie alle Stakeholder, Mitarbeiter oder Interessierte einfangen und an ihr Verantwortungsgefühl appellieren und somit das Sicherheits – und das Risikobewusstsein deutlich erhöhen.

Eine regelmäßige Prüfung auf Angemessenheit und Aktualität gilt auch für das Risikomanagement und schließt alle Einflussgrößen wie beispielsweise Assets, technologische Änderungen, Schwachstellen oder Eintrittswahrscheinlichkeiten mit ein.

Zusammenfassend lässt sich somit festhalten: Das Risikomanagement schein zunächst überschaubar. Allerdings gilt hier wie üblich: Was sich so einfach liest – erweist sich oftmals in der Praxis an der einen oder anderen Stelle doch noch als Herausforderung. Denn bei genauerer Betrachtung zeigt sich, dass es das Risikomanagement für die Implementierung von ISMS der wohl zentralste und gleichzeitig komplexeste Begriff überhaupt ist.

Erfahrungen des TÜV Hessen zeigen: Mit dem strukturierenden Risikomanagementansatz der ISO 27 005 können Sie eine fundierte und reproduzierbare Risikoermittlung für Ihr Unternehmen schaffen, die transparent und nachweisbar ist. Irgendwann werden Sie eine Risikoanalyse geschaffen haben, die perfekt auf Ihr Unternehmen zugeschnitten ist – auch wenn diese eine zweistellige Versionsnummer aufweist. Und dann können Sie sagen: „ Ja, ich habe meine Risiken im Griff.“ ■

Susanne ArzigTÜV-Proficert

Lead Auditorin

TÜV Hessen