Nichts scheint sicher bis auf das Unsichere

ISO 27001: Risiken erkennen, Chancen nutzen


ISO 27001: Risiken erkennen, Chancen nutzen Kolumne

Jüngst vermeldeten die Medien folgende Nachricht: Der frühere US-Präsident Jimmy Carter steigt aufgrund von Spionage-Angst auf den altbewährten Briefwechsel um. Klassisch auf Papier schreiben, kuvertieren und zur Post bringen. Eine Methode, um dem Abhörwahn unserer Zeit zumindest teilweise zu entkommen. Was für alternde Ex-Präsidenten durchaus ein gangbarer Weg ist, gestaltet sich für Unternehmen in unserer Epoche eher als schwieriges Unterfangen. Gerade wenn Zeit Geld bedeutet und unsere globalen Marktstrukturen ein elektronisches Miteinander erfordert. In diesem Kontext entstehen für Organisationen permanent neue Risikopotenziale. Mit anderen Worten: Nichts scheint sicher bis auf das Unsichere in Zeiten, in denen Informationen Macht bedeuten. Das wissen Schurken aller Couleur und mischen munter mit beim Datensammeln – angefangen bei Einzeltätern über kriminelle Vereinigungen bis zu den Geheimdiensten.

Das Spielfeld Informationsdiebstahl ist längst kein graues Feld mehr, sondern bunt, lebhaft und abwechslungsreich. Auf diese Tatsache müssen sich Unternehmen einstellen. Zum Schutz der eigenen Informationen und mehr noch, um eine durchgängige Sicherheits- und Risikomanagementstrategie in der Gesamtorganisation zu verankern. Das Ziel heißt Risiken vorbeugen und Chancen erkennen – in allen Unternehmensbereichen. Hilfestellung bieten Standardisierungen, wie der Internationale Standard ISO/IEC 27001:2013 zur Umsetzung eines Informationssicherheitsmanagement-System (ISMS). Ende 2013 wurde die zweite Ausgabe des ISO-Standards veröffentlicht.

Der Blick nach vorne heißt in die Zukunft schauen

Das Gute vorweg: Im neuen ISO-27001-Standard ist die Chancenwahrnehmung ausdrücklich verankert. Das bedeutet, nicht nur Risiken in die Gesamtbetrachtung des Unternehmens einzubeziehen, sondern eine zukunftsgewandte Chancensicht aufzubauen. Ein wichtiger Schritt, führt doch ein Rückwärtsgang mit einem Blick auf das hinter uns liegende zur reinen Risikobuchhaltung. Eine Prävention wird in diesem Kontext schwierig, da nur Ereignisse aus der Vergangenheit im Fokus stehen. Eine Fehleinschätzung vieler Entscheider und Risikomanager, entstehen Risiken doch in der Zukunft. Ein Aspekt, der zum Umdenken anregen sollte.

Das Kritische hinterher: Warum wird der vorwärtsgewandte Blick erst jetzt im aktualisierten Standard verankert? Schließlich ist bereits seit dem vulgärlateinischen "risicare" sowie dem  altgriechische "rhiza" (Wurzel, Klippe) bekannt, dass Risiko zwei Seiten beinhaltet. Der Begriff Risiko wurde zumindest seit dem 14. Jahrhundert in der Handelsschifffahrt der italienischen Seestädte verwendet. Die Seefahrer wussten, dass sie entweder die Klippe umschiffen (Chance) oder eben nicht (Gefahr bzw. umgangssprachlich Risiko).

Analyse der Chancen und Risiken in der Zukunft

Mit anderen Worten: Um Risiken und Chancen in Organisationen besser abzubilden, braucht es einen in die Zukunft gerichteten Blick. Das heißt, dass zukunftsweisende Methoden und Standards im Risikomanagementumfeld stärker in den Mittelpunkt der Betrachtung und Anwendung rücken sollten. Unternehmen müssen ihre kritischen Informationen kennen. Das heißt die sensiblen Daten, die ein Unternehmen braucht, um wirtschaftlich und innovativ zu sein. Nur so können sie diese in Sicherheit bringen und wirksam schützen.

Im Umkehrschluss ist hierzu eine vorwärtsgewandte Sicht auf potenzielle Risiken notwendig, um Risiken zu minimieren und mögliche Chancen in die Planungen aufzunehmen. In Organisationen jeder Größe und in allen Bereichen ist in diesem Kontext eine vorausschauende Sicherheitsplanung und die Verankerung eines durchgängigen Risikomanagements ein elementares Bindeglied. Denn Informationssicherheits-Risiken sind mittlerweile ein integraler Bestandteil von Unternehmensrisiken.

Heruntergebrochen auf den aktualisierten ISO-Standard sollen unter dem Punkt "Planen" Risiken und Chancen erkannt (IS Risk Assessment) werden. Wichtig ist das Festlegen eine dementsprechende Risiken- und Chancenbehandlung (IS Risk Treatment).

Erkenntnisse aus Wissenschaft und Technik sowie Best Practices

Nach gängiger Definition des Branchenverbandes BITKOM erlaubt ein ISMS  "ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren". Im Grunde beinhaltet der aktualisierte Standard eine neue Grundstruktur für Managementsystemnormen. Darin sollen aktualisierte Erkenntnisse aus Wissenschaft und Technik sowie Best Practices einfließen. Eine wichtige Neuerung liegt in der konkreten Anforderung an das Top-Management, das die im Rahmen der ISO-Ausgestaltung beschriebenen Aufgaben wahrnehmen muss. Längst überfällig, verschließen viele Unternehmer ihre Augen vor der eigenen Verantwortung, wenn sie nichts gegen Risiken tun. Dies zu verhindern ist im aktuellen ISO-27001-Standard konkretisiert. Für das Management heißt das: Die ISMS-Konformität mit den strategischen Zielen der Gesamtorganisation in Einklang zu bringen. In diesem Kontext reicht es beispielweise nicht aus, dass nur Sicherheitsstrukturen im Auftrag der Geschäftsführung in der eigenen Organisation etabliert werden. Vielmehr kommt es vor allem auf die Überwachung der Prozesse und die Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheitsmanagements durch das Management selbst an.

ISO 27001 nimmt Entscheider in die Pflicht

Als Hintergrund für die inhaltliche Ausgestaltung von ISO 27001 dient der neue Annex SL (Proposals for management system standards), der für alle Managementsysteme zukünftig als Maßstab dient. Ziel ist es, dass unterschiedliche Managementsysteme einfacher in Organisationen integriert werden können. Und für diesen Gesamtprozess "Integrierter Managementsysteme" sind die Top-Manager zukünftig stärker verantwortlich – vom Etablieren der Prozesse bis zum Überwachen der Wirksamkeit als Gesamtsystem in der Organisation.

Hinzu kommt das Bereitstellen von Ressourcen zum Implementieren, dem Betrieb und der Verbesserung eines ISMS inklusive der Risikobehandlung in der eigenen Organisation. Hierzu sind Risikoverantwortliche zu benennen, die als klare "Process/Risk Owner" in der Organisation benannt sind. Wichtig sind die Überwachung der Prozesse und die Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheitsmanagements.

Im konkreten Fall heißt das auch, die Ressourcen für die Einführung, den Betrieb und die Verbesserung des ISMS bereitzustellen sind. Hierzu zählen gleichfalls personelle Ressourcen und die Qualifizierung der Mitarbeiter – von Schulungen bis zum Sensibilisieren (Stichwort: Awareness-Ausbau).

Mittelstand und der Umgang mit Risiken

Um Gefahrenpotenziale dauerhaft zu verringern ist ein durchgängiges Verständnis der Risiken erforderlich. Dies setzt in letzter Konsequenz eine starke Unternehmenskultur voraus. Initiiert, vorgelebt und getragen von der Firmenleitung, gilt der bewährte Spruch "Informationssicherheit und Risikomanagement sind zunächst Chefsache". Und das zählt für Organisationen jeder Größe, in allen Branchen. Denn die Gefahren für Konzerne und Mittelständler ähneln sich. Und einem potenziellen Angreifer dürfte die Gesellschaftsform des Unternehmens gänzlich egal sein. Entscheider müssen Standards als einen integralen Bestandteil von Organisationsprozessen verstehen und Methoden in diesem Sinne systematisch, strukturiert und zeitgemäß auswählen. In diesem Kontext bieten Frühwarnsysteme (inklusive der beschriebenen Chancenerkennung) ein zusätzliches und probates Mittel für die Unternehmenssteuerung.

Gerade im Mittelstand ist nicht selten der Umgang mit Risiken in vielen Fällen wenig systematisch und nur selten vorausschauend. Leider dominiert in der Praxis vielfach noch der Blick in den Rückspiegel. Das Ergebnis ist eine nicht besonders aussagekräftige Risikobuchhaltung.

In einer im Spätjahr 2013 von Rühlconsulting durchgeführten Befragung zum Risikomanagement im deutschen Mittelstand zeigt sich, dass sich der Großteil der Unternehmen an Leitfäden aus der Informationstechnik orientiert. Dies bestätigt wiederum die starke Fokussierung auf die IT eines Unternehmens. ISO 27001 wird den Ergebnissen zufolge von rund 18 Prozent der befragten Mittelständler als Standard eingesetzt. Vielfach zeigt sich, dass die mittelständischen Unternehmer zwar eine Risikobewertung durchführen, aber keine gründliche Analyse. Häufig werden Teilbereiche im Unternehmen betrachtet. Eine umfassende, strukturierte Methode wenden aber nur die wenigsten Firmen an. Doch genau diese Methodensicht ist wichtig, um ein strukturiertes und zukunftsgewandtes Informationssicherheitsmanagement zu etablieren und unternehmenskritische Daten zu schützen.

 

Für die Online-Umfrage "Alles auf Risiko", Risikomanagement im deutschen Mittelstand, befragte Rühlconsulting 117 Geschäftsführer mittelständischer Unternehmen. Die Umfrage wurde branchenübergreifend durchgeführt, mit überwiegend folgenden Bereichen: Maschinen- und Anlagenbau, Konsumgüter, Handel, Transport und Logistik. Rund ein Drittel der Firmen ist international tätig. Weitere Informationen unter www.ruehlconsulting.de


Uwe Rühl ist Experte für Risiko- und Krisenmanagement sowie Geschäftsführer der Rühlconsulting GmbH.Autor:

Uwe Rühl ist Experte für Risiko- und Krisenmanagement sowie Geschäftsführer der Rühlconsulting GmbH.

 

 

 

 

 

 

[Bildquelle oben: © beermedia - Fotolia.com]

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.