Operatives Risikomanagement im Unternehmen

Wollen Sie die Informationssicherheit in Ihrem Unternehmen stärken? Nachhaltiges Risikomanagement ist unverzichtbar!

Das Risikomanagement leistet einen wertvollen Beitrag dazu, sich als Unternehmen vor Angriffen, Gefahren und Bedrohungen zu schützen und Schäden zu vermeiden. Zudem ermöglicht es, alle gesetzlichen Vorgaben einzuhalten und liefert den Nachweis für eine verantwortungsvolle Unternehmensführung.

Auch wenn wir es alle nicht gern hören, Abhörskandale und Datenspionage verdeutlichen uns eindrücklich, dass es mehr Interesse an unseren Informationen gibt, als wir es im Allgemeinen für möglich halten. Dass besonders die Geschäftsgeheimnisse und Werte von technologisch führenden europäischen Unternehmen interessant für andere sind, liegt auf der Hand und wird permanent in zahlreichen Studien zur Cyberkriminalität dokumentiert.

Aber auch Datenpannen in Unternehmen oder Organisationen aufgrund mangelnder Kontrolle und lückenhafter Prozesse im IT-Management führen häufig zu hohen, ungeplanten Kosten und Imageverlusten. Doch was ist zu tun? Aufgeben, abwarten und hoffen, dass das eigene Unternehmen nicht betroffen sein wird, oder sinnvolle Schritte unternehmen, das Risikomanagement betreiben, um die Risiken zu minimieren? Die Antwort liegt klar auf der Hand.

Operatives Risikomanagement als Bestandteil erfolgreicher Unternehmensführung.

Heute sind nahezu alle Geschäftsprozesse IT-gestützt und nahezu alle Informationen werden digital be- und verarbeitet. Deshalb leistet operatives Risikomanagement im Bereich Informationssicherheit (IS) einen wesentlichen Beitrag zum erfolgreichen Gesamtrisikomanagement eines Unternehmens oder einer Organisation.
Risikomanagement in der Informationssicherheit dient
  • dem Schutz vor Gefahren und Bedrohungen,
  • der Vermeidung von Schäden und damit,
  • der Vermeidung von Schäden und damit der Minimierung von Risiken für die Organisation.
Neben der Einhaltung gesetzlicher Vorgaben trägt die Umsetzung eines planvollen, auf die Unternehmensbedürfnisse abgestimmten Risikomanagements wesentlich zum Nachweis verantwortungsvoller Unternehmensführung und der Gewähr der Vertrauenswürdigkeit gegenüber Lieferanten, Kunden, Banken und Versicherungen bei. Wirksames und methodisches Risikomanagement ermöglicht die Verbindung von Geschäftsprozessen, Informationen und IT-Assets. Nur so wird transparent, welche Geschäftsprozesse und Informationen (einschließlich unterstützender Systeme) hochkritisch, kritisch und weniger kritisch sind.
Diese Kenntnis erlaubt ein differenziertes Vorgehen und bietet die Möglichkeit:
  • auch in einer komplexen IT-Landschaft nachhaltige Prozesse zu etablieren, die Gefahren vorausschauend identifizieren,
  • entsprechende Risikobegegnungsmaßnahmen rechtzeitig einzuleiten,
  • Kosteneinsparpotenziale bei den Investitionen in technische Produkte, bei den Service-Level-Agreements und durch die Standardisierung von Prozessen zu identifizieren und
  • auf Basis von belegbaren Fakten zu entscheiden und bedarfsgerecht zu agieren.

Wirksames Risikomanagement

Wirksames Risikomanagement muss kontinuierlich betrieben werden, wie es die Plan-Do-Check-Act-Methodik beispielsweise im ISO-Standard 27005 vorsieht. Es sollte in der Lage sein, Geschäftsprozesse und Informationen mit den IT-Assets so zu verbinden, dass alle Geschäftsprozesse und Informationen entsprechend ihrer Kritikalität vollständig, wirtschaftlich und methodisch identifiziert und optimal bedarfsgerecht abgesichert werden können.

Risikomanagement ist zudem dann erfolgreich, wenn es

  • an den individuellen Erfordernissen des Unternehmens ausgerichtet ist,
  • alle branchenspezifischen Anforderungen abbilden kann,
  • den Compliance-Anforderungen entspricht und eine vollständige Analyse und Behandlung aller IS-Risiken erlaubt,
  • so konzipiert ist, dass es die beteiligten Fachabteilungen dazu motiviert, sich zu beteiligen, auch wenn diese nicht täglich mit der Thematik befasst sind,
  • die Verantwortlichen für das Risikomanagement so unterstützt, dass die Kapazitäten für die Kernaufgaben genutzt werden können,
  • keine Insellösung ist, sondern die Möglichkeit bietet, die erhobenen Daten über das gesamte Unternehmen bei Bedarf zu aggregieren und zu vergleichen,
  • sich soweit möglich in die vorhandene IT-Landschaft integriert, sodass Daten nicht doppelt erfasst werden müssen und über Schnittstellen an andere Systeme, beispielsweise das Gesamtrisikomanagement, übergeben werden können.

Auf professionelle und erprobte Lösungen vertrauen

Grundsätzlich kann operatives Risikomanagement mit Hilfe von Standard-Software wie beispielsweise Microsoft Excel betrieben werden.

Führt man sich jedoch die komplexen Geschäftsprozesse größerer Organisationen und die damit verbundenen hochintegrierten IT-Landschaften vor Augen, wird schnell deutlich, dass dies ein komplexes Unterfangen ist. Ohne tiefe Kenntnisse bezüglich der erforderlichen Methodik und Umsetzung bzw. der Erfordernisse an ein entsprechendes Datenmodell kommt man schnell vom Weg ab, stößt an technische Grenzen und/oder riskiert am Ende eine teure und nicht den Erwartungen entsprechende Eigenentwicklung.

Ein erfolgversprechender und wirtschaftlicher Weg ist es, auf professionelle und erprobte Risikomanagement-Lösungen zu vertrauen, die häufig auch den Mehrwert eines kompletten IS GRC (Governance, Risk & Compliance) Systems bieten und die Compliance-Anforderungen bereits integrieren.

Moderne, benutzerfreundliche Lösungen bringen nicht nur die gesamte Methodik und die Inhalte internationaler Standards (einschließlich bereits umgesetzter Fragenkataloge und Best-Practice- Maßnahmenvorschläge) mit. Systeme, die sich flexibel an die Anforderungen der Anwender anpassen lassen, unterstützen Verantwortliche darüber hinaus durch die Integration und automatische Verknüpfung aller zusammengehörenden Abläufe.

Umfassende Berechtigungssysteme moderner Applikationen ermöglichen es auch großen Unternehmen, ihre Strukturen wirtschaftlich in einer Lösung abzubilden. Die Ergebnisse einzelner Organisationen können so verglichen und konsolidiert werden. Lösungsunterstützung im Risikomanagement ermöglicht es, nachhaltig wirtschaftlich und kostengünstig zu arbeiten.Eine gute Entscheidungshilfe bietet das Qualitätssiegel „IT Security made in Germany“, das vom „TeleTrusT Bundesverband IT-Sicherheit e. V.“ vergeben wird. Lösungshersteller mit diesem Kennzeichen verpflichten sich in besonderem Maße dazu, bei der Herstellung ihrer Produkte strenge Maßstäbe in Bezug auf Sicherheitsanforderungen zu beachten.

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück

Datenschutz und Informationssicherheit – ein gutes Team

Die Etablierung eines DIMS und die Vorteile integrierter Managementsysteme

Die Verbindung von Datenschutz und Informationssicherheit ist nach den Vorgaben der DSGVO ein Vorgehen mit vielen Synergieeffekten. Unser Beitrag beschreibt, worauf bei der Etablierung eines DIMS geachtet und warum auf den Mehrwert eines integrierten Managementsystems nicht verzichten werden sollte.

Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Mai letzten Jahres und den nun potenziell drohenden Strafen hat auch das Thema Informationssicherheit in den Unternehmensführungen deutlich an Bedeutung gewonnen. So nimmt zum Beispiel Artikel 5 der DSGVO Bezug auf die Etablierung eines Information-Security-Management-Systems (ISMS) im Unternehmen hinsichtlich der Integrität und Vertraulichkeit. Beide sind bereits bekannte Kriterien aus dem Informationssicherheitsmanagement, die in den vormals geltenden gesetzlichen Vorgaben jedoch nicht derart gefordert waren. Ebenso fordert Artikel 32 zur Etablierung eines dem Risiko angemessenen Schutzniveaus auf – auch diese Thematik ist über das Risikomanagement ein Hauptbestandteil eines ISMS.

Aufgrund der diversen Schnittmengen in der Erfüllung der Compliance in Bezug auf ISMS und Datenschutz haben bereits etliche Unternehmen erkannt, dass die Etablierung eines integrierten ISMS und Datenschutz-Systems (Datenschutz-Informationssicherheits Management-Systems (DIMS)) eine synergieträchtige Vorgehensweise darstellt. Jedoch sehen sich auch 2019 noch diverse Unternehmen von der Komplexität der Anforderungen überfordert bzw. müssen erkennen, dass sich mit MS-Excel oder anderen Listen diese komplexen Themen nicht mehr umfassend und nachhaltig lösen lassen.

Hilfreich sind hier eindeutig moderne integrierte DIMS: Ihr Einsatz unterstützt professionell alle Anforderungen des Datenschutzes und der Informationssicherheit. Neben methodischem, ganzheitlichem Vorgehen liefert ihre Nutzung auch grundsätzlich positive Aspekte für das Ansehen des gesamten Unternehmens.

Das sind zum Beispiel aus Geschäftsführungssicht:

  • die nachhaltige, ganzheitliche Risikominimierung,
  • die umfassende Absicherung der Unternehmenswerte,
  • die revisionssichere Dokumentation der Aktivitäten,
  • die Darstellung der Einhaltung der Compliance-Anforderungen gegenüber Geschäftspartnern, Kunden, Interessenten, Banken und Versicherungen.

Das richtige Produkt finden

Betrachtet man nun jedoch die Produktlandschaft, die zum Beispiel im europäischen Markt angeboten wird, etwas genauer, so lässt sich feststellen, dass längst nicht gleich ist, was gleich scheint, und nur billig nicht zum erwünschten Ergebnis führt. Der Markt ist in etwa so heterogen wie der der Automobilbranche. Dort gibt es den Kleinwagen aus Fernost zum geringen Preis ebenso wie den europäischen Luxuswagen mit neuestem technischem Entwicklungsknowhow. Beides sind Pkw, jedoch ist jedem in diesem Fall klar, dass die Produkte nicht gleich sind. Ähnlich ist es im Markt der DIMS beziehungsweise IMS, nur sind die Unterschiede dort nicht so offensichtlich, und leider werden oft Äpfel mit Birnen verglichen.

Wesentlich ist, ein DIMS genau anhand der individuellen Bedürfnisse zu prüfen und sich dann für eine professionelle und erprobte Lösung zu entscheiden, die zu den eigenen Anforderungen passt.

Anforderungen an eine DIMS-Lösung

Aber zurück zu dem, was moderne DIMS leisten können und auf welche Punkte Wert gelegt werden sollte. Ein modernes DIMS, wie zum Beispiel QSEC, arbeitet auf Basis der DSGVO und ISO 27001 und/oder IT-Grundschutz und etabliert anerkannte Verfahren, mit denen methodische Prozesse und Richtlinien in ein Unternehmen eingeführt werden können. Das ermöglicht, Risiken zu erkennen und einschließlich aller technischen und organisatorischen Maßnahmen zu steuern, zu kontrollieren und permanent zu verbessern (Plan-Do Check-Act-Kreislauf des ISMS). Die Umsetzung der Anforderungen aus der DSGVO basieren, wie auch im klassischen ISMS, auf Geschäftsprozessen und IT-Systemen. Dabei bietet die Umsetzung eines DIMS mit QSEC den Vorteil, alle Informationen zu betrachten, unabhängig davon, ob diese Daten in Papierform oder digital vorliegen und ob sie personenbezogen sind oder nicht.

Schutzbedarfsanalyse und Risikobeurteilung, einschließlich der daraus abgeleiteten Maßnahmen zur Risikobegegnung im Datenschutz, sollten im DIMS methodisch integriert sein. Die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen und -Diensten in Bezug auf den Datenschutz sollten ähnlich wie im ISMS umgesetzt werden. Ebenso ist es sinnvoll, dass die Reifegradbestimmung (Ist-Soll-Vergleich) der vorhandenen Datenschutz-Aktivitäten analog dem Vorgehen beim ISMS umgesetzt wird.

Nachhaltige DIMS ermöglichen neben den allgemeinen ISMS-Funktionen nach ISO 27001 und/oder BSI IT-Grundschutz immer die komplette und revisionssichere Dokumentation der Datenschutzund Informationssicherheitsaktivitäten, wie zum Beispiel:

  • das Führen eines Verzeichnisses von Verarbeitungstätigkeiten,
  • die Dokumentation der Weisung bei Auftragsverarbeitung, mit allen AV-Verträgen und den Dienstleistern je Geschäftsprozess und
  • die Meldung von Datenschutzvorfällen.

Benutzer unterstützen

Neben diesen datenschutzrelevanten Themen sollte ein DIMS folgende grundsätzliche Inhalte eines modernen datenbankgestützten

ISMS bieten, um die Verantwortlichen möglichst optimal zu unterstützen:

  • Das System ist integriert programmiert und wird komplett mit allen Modulen (Compliance, Risk Management, Maßnahmenmanagement, Information Assets, Security- Incident-Management, Dokumentenmanagement, Reporting) ausgeliefert. So lassen sich auch die Kosten im Vorhinein exakt bestimmen.
  • Die Lösung bietet einen hohen Anpassungsgrad an die Anforderungen der individuellen Organisationsstrukturen.
  • Fachabteilungen können für Interviews und zur Bewertung der Geschäftsprozessrisiken über Workflows der Lösung in den ISMS-Prozess eingebunden werden, ohne dass eine Schulung im System nötig ist. Dadurch wird Zeit gespart und die Benutzerakzeptanz gesteigert.
  • Das Managementsystem bietet tagesaktuelle Managementreports zum Stand von Datenschutz und Informationssicherheit, wie zum Beispiel Heatmaps, Soll-Ist-Vergleich etc. Dadurch kann der Verantwortliche jederzeit den Fortschritt seiner Aktivitäten dokumentieren und die Geschäftsleitung erhält aussagekräftige Berichte über alle verantwortungs- und entscheidungsrelevanten Themen.

Die genannten Punkte zeigen, dass die Verbindung von Datenschutz und Informationssicherheit in jedem Fall eine gute Entscheidung darstellt und die Umsetzbarkeit dieses Vorgehens sollte als wichtige Voraussetzung bei der Prüfung von zu beschaffenden Systemen geprüft werden.

 

Vom DIMS zum IMS

Darüber hinaus können Unternehmen ein DIMS zu einem ganzheitlichen integrierten Managementsystem (IMS) ausbauen. Die Etablierung eines professionellen DIMS verursacht Investitionen, die sich möglichst optimal auszahlen sollen. Da viele Unternehmen nicht nur ISMS und Datenschutz erfüllen müssen, sondern auch diversen anderen gesetzlichen und Branchenstandards Rechnung tragen wollen, ist es empfehlenswert, eine Systemerwerbung auch aus Sicht der Erfüllung weiterer gesetzlicher Anforderungen, Normen und Standards zu prüfen. So kann schrittweise ein IMS etabliert werden, das umfassende weitere Anforderungen abdeckt.

Die Vorteile eines solchen Managementsystems sind zum Beispiel:

  • Etablierung einer einheitlichen, unternehmensweiten Datenbasis und Methodik.
  • Alle weiteren erforderlichen additionalen Standards, Normen, Gesetze können im gleichen System abgebildet und von mehreren Verantwortlichen genutzt werden.
  • Keine Redundanzen und Doppelaufwendungen. Dadurch ergeben sich Ressourcen-, Zeit- und Investitionskostenersparnisse.
  • Hohe Nutzerakzeptanz durch weniger Schulungsaufwand, Benutzerfreundlichkeit und Workflowunterstützung.

 

Fazit

Abschließend sei jedoch noch angemerkt, dass es unabhängig von einer Softwarelösung wesentliche Punkte gibt, die für jede Datenschutzmanagement-, ISMS-, DIMS- und IMS-Einführung grundsätzlich wesentlich sind, wenn diese erfolgreich sein und echten Nutzen für eine Organisation erzielen sollen.

Diese sind:

  • Nachhaltige und wirksame Erfolge werden nur durch eine ganzheitliche Sichtweise und deren Umsetzung erzielt.
  • Die Datenschutz-, ISMS-, DIMS-, IMS-Strategie muss von der Geschäftsstrategie und -situation abgeleitet werden.
  • Verantwortliche benötigen klare Kompetenzen und die erforderlichen betriebswirtschaftlichen, juristischen, organisatorischen oder technischen Kenntnisse.
  • Nachhaltiges Management ist ein laufender Prozess, der schrittweise und stufenweise und nicht mit einem „Big Bang“ erfolgen sollte.

Die Unterstützung der Geschäftsführung ist für ein erfolgreiches Management erforderlich.
Der Aufwand lohnt sich jedoch: Denn richtig verstandene und ganzheitliche Unternehmens- und Datenschutz- und Informationssicherheit minimiert die Risiken, erhöht die Transparenz, spart Kosten und wird so zum Erfolgsfaktor für eine Organisation.

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück