Wer ein Unternehmen führt, trifft mitunter Entschei-dungen, die mit einem gewissen Risiko behaftet sind. So können externe Faktoren der Umsatzplanung schnell einen Strich durch die Rechnung machen. Außerdem muss das Management für eine hohe Infor-mationssicherheit sorgen. Erst mit der Kombination von Risiko- und Informationssicherheits-Management stehen Führungskräfte auf der sicheren Seite.

Warum ein ISMS?Mit einem Informationssicherheits-Managment- System (ISMS) schafft es eine Organisation, ihre Prozesse rund um die Datensicherheit effizienter zu steuern und zu überwachen. Dazu gehören sowohl technische und organisatorische Sicherheitsmaßnah-men als auch festgelegte Prozesse und Verfahren zur Umsetzung.

Das Bundesamt für Sicherheit in der Informationstech-nik (BSI) schreibt in seinem Dokument BSI-Standard 100-1 unter anderem: „Mögliche Schäden für die Ge-schäftstätigkeit und Aufgaben einer Institution durch Sicherheitsvorfälle müssen analysiert und bewertet werden. Eine Methode zur Risikobewertung ist daher Bestandteil jedes Management-Systems für Informati-onssicherheit.“

Hierbei spielt es nur eine Nebenrolle, an welchen Standards sich die Risikoanalyse orientiert – sei es auf der Basis von IT-Grundschutz oder den bekannten Standards der ISO-2700x-Reihe. Wichtig ist, dass die für die Umsetzung eines ISMS eingesetzten Werkzeuge in der Lage sind, den für ein Unternehmen optimierten Normen-Mix zu konfigurieren und abbilden zu können. Gerade für international aufgestellte Unternehmen ist dies eine Schlüsselfunktion. Besonders wichtig hier-bei: ein Software-gestützter und verbindlicher Prozess zur umfassenden Risikoerhebung.

Risiken analysierenDie Anwendung von Risikomatrizen im Zusammenhang mit ISO 27001 und FMEA (Failure Mode and Effects Analysis) sind international anerkannte Methoden. Mit FMEA sind Unternehmen in der Lage, die Auswirkung von Risiken zu analysieren und darzustellen.

Jedoch wird dieses Verfahren von den Verantwortli-chen längst nicht konsequent implementiert, wenn sie ein ISMS einführen. Doch woran liegt das?

Vielfach ist das übliche Verfahren mit einer einzigen Risikomatrix zu „sperrig“ und „abstrakt“. Mitarbeiter wollen zwar ihre Einschätzung zu einem konkreten Sachverhalt abgeben, finden sich aber in der aus Scha-denshöhe und Auftretenswahrscheinlichkeit gebildeten Matrix nicht wieder.

Die „reine“ FMEA-Lehre definiert einige wichtige Begriffe und Forderungen, die als Grundlage für eine Zweiteilung des klassischen Risiko-Managements dienen.

Begriffe und Forderungen• Bewertung eines Risikos nach drei Kriterien - Auftretenswahrscheinlichkeit - Entdeckungswahrscheinlichkeit - Schadenshöhe• Funktionale Zusammenhänge und mögliche Fehler

früh erkennen• Rechtzeitig ermitteln• Firmenerfahrung und Know-how der Mitarbeiter

nutzen• Einschätzungen der Mitarbeiter als Basis

für ein umfassendes Risiko-Management

COMPLIANCE AS A SERVICE: UNTERNEHMERISCHE RISIKEN ABSICHERN

Die Compliance Suite der S&L Firmengruppe unterstützt die Kombination von Risiko- und Informationssicherheits-Management und hilft damit, Risiken zu minimieren.

Informationssicherheit und Risiko-Management

TECHNOLOGIE UND WISSEN I 56

Materna Monitor I 3 I 2016

Die Abbildung 1 zeigt die Abgabe der Risikoeinschätzung im Rahmen einer Befragung mit der Compliance Suite von S&L.

Die Erfahrung zeigt, dass viele Projektbeteiligte das FMEA-Verfahren zwar nicht kennen, aber gut einschätzen können, wo in ihrem Unternehmen die Sicherheitsrisiken liegen. Werden Forderungen der reinen FMEA-Lehre und reale Aussagen aus Unter-nehmen gegenübergestellt, fällt auf, dass die Betei-ligten im Kern das gleiche meinen. Innerhalb eines laufenden ISMS-Projektes sollten daher anwendungs-gestützt die Beteiligten, wie zum Beispiel Mitarbei-ter, Administratoren und externe Firmen, konkret zu den jeweiligen Bausteinen und Maßnahmen befragt werden. Hier ist schon im ersten Schritt eine einfache Einschätzung erforderlich, die sich auf den konkreten Sachverhalt bezieht.

Die Compliance SuiteDie von der S&L Firmengruppe angebotene Compli-ance Suite ist ein umfassendes Software-Werkzeug. Für die Risikoanalyse tragen die Beteiligten ihre Ein-schätzung in eine Matrix bestehend aus Auftretens-wahrscheinlichkeit und Entdeckungswahrscheinlich-keit ein. Hier geht es bewusst um eine Einschätzung, sodass die Beteiligten in ihrer „Wohlfühlzone“ abge-holt werden. Beispielsweise kann der Administrator einer Firewall eine solche Einschätzung bezogen auf die konkrete Frage nach dem Schutz vor äußeren Angriffen sehr gut treffen und damit seine zuvor gegebenen Antworten mit dem Hinweis auf ein nicht implementiertes, aber notwendiges Intrusion Detec- tion System untermauern. Dieser erste Schritt deckt

TECHNOLOGIE UND WISSEN I 57

Frage: Bitte geben Sie eine Einschätzung bezogen auf Ihre Antwort ab - sofern möglich in diesem Kon-text. Nutzen Sie dazu bitte die Schieberegler auf der rechten Seite.

Materna Monitor I 3 I 2016

bereits einen Großteil der oben genannten Forderungen ab und ermittelt quasi an der Basis „nebenbei“ die ersten wichtigen Erkenntnisse.

In einem übergreifenden Cockpit sieht der Auditor bezie-hungsweise Projektverantwortliche jederzeit übersicht-lich alle getroffenen Einschätzungen und kann daraus die Priorisierung für das erforderliche Risiko-Management ableiten oder korrigieren. Auf einen Blick sind Häufig-keiten und Verteilungen über alle relevanten Bereiche hinweg erkennbar, beispielsweise bezogen auf Physik, Logik, Compliance und Prozesse.

Mit der Einschätzung als Grundlage für das klassische Risiko-Management können die Projektbeteiligten nun gemeinsam die notwendigen weiteren Eckpunkte erar-beiten. Der Auditor spricht mit dem Beteiligten, der die Einschätzung getroffen hat, und behandelt Themen wie Schadenshöhe sowie eventuell notwendige Korrekturen am Schutzbedarf und erweitert unter Umständen die Gefährdungs- und Bedrohungsanalyse.

Dieser Schritt ist ein ganz wesentlicher Aspekt: Erst im Dialog können Themen wie Schutzbedarf und Gefähr-dungspotenzial sinnvoll abgewogen und justiert werden. Vor allem fühlen sich die Beteiligten dadurch nicht nur als „Lieferant von Antworten“, sondern sind ein wichtiger Bestandteil des Projektes.

So schließt sich der Kreis, und mit Einschätzungen als Basis können konkrete Risiken und Folgen diskutiert

Die Abbildung 2 zeigt die Summe der getroffenen Einschät-zungen (Anzahl) in der Compliance Suite von S&L.

TECHNOLOGIE UND WISSEN I 58

Materna Monitor I 3 I 2016

Die Abbildung 3 zeigt die Summe der definierten Risiken (Anzahl) in der Übersicht im Risiko-Cockpit in der

Compliance Suite von S&L.

werden, ohne dass die Beteiligten aneinander vorbei-reden. Nicht jede Einschätzung muss dabei zwin-gend ein Risiko werden. Es geht vielmehr darum, alle Beteiligten in ihrer Wohlfühlzone abzuholen und das Thema Risiko-Management praxisnah und projekt-begleitend zu implementieren.

FazitOhne eine vorgeschaltete und praxisnahe Risiko-einschätzung ist eine priorisierte und zielführende Nachbesserung bei Normabweichungen nur bedingt möglich. Auditoren, Mitarbeiter und Externe sollten als Team zusammenarbeiten. Hierbei werden Ein-schätzungen und Risiken im laufenden Projekt pa-rallel ermittelt und Cockpit-Ansichten liefern einen aktuellen Überblick.

Die S&L Firmengruppe bietet dafür mit der COM-PASS-Strategie (Compliance as a Service) – gemein-sam mit Materna – entsprechende Consulting-Kon-zepte inklusive einer eigenen Anwendung. Die S&L Compliance-Suite läuft entweder im eigenen Rechen-zentrum oder wird als Software as a Service ohne Vertragsbindung gebucht. •Die AutorenOliver Schmitt und Klaus Keukert sind Geschäfts-führer der S&L Firmengruppe.

TECHNOLOGIE UND WISSEN I 59

Damit Unternehmen nicht im Regen stehen, wenn es um die Sicherheit von Informationen geht, stellt die Compliance Suite von S&L die

Geschäftsprozesse in den Vordergrund und berücksichtigt hierbei sukzessive alle betei-

ligten Anwendungen, Technologien, Dienste, Prozesse und Vertragswerke.

Materna Monitor I 3 I 2016