IT-Risikomanagement mit System

Die Beschäftigung mit den Risiken dient vor allem ihrer Erkennung und Bewertung sowie der Erarbeitung von Massnahmen und deren Umsetzung. Durch die Massnahmen sollen die Risiken auf akzeptable „Restrisiken“ reduziert werden.

Auf der Basis von Art, Quantität und Qualität der Risiken sowie einiger weiterer Kriterien sollen möglichst optimale Massnahmen-Lösungen gefunden und umgesetzt werden, aber auch akzeptable Restrisiken toleriert und ohne weitere Behandlung bewusst getragen werden können. Die koordinierten Aktivitäten zur Steuerung von Risiken im Unternehmen werden als „Risikomanagement“ bezeichnet. Die in Abbildung 2.1 gezeigten hauptsächlichen Aktivitäten eines Risikomanagements werden vorteilhaft in einer prozessorientierten Weise durchgeführt.

Nachdem in den vorangegangenen Kapiteln wesentliche Elemente, Definitionen und Hilfsmittel für das Risikomanagement erarbeitet wurden, wenden wir uns nun dem allgemeinen Prozess des Risikomanagements zu. Ein der Komplexität und Dynamik heutiger Risikosituationen angepasster Risiko-Management-Prozess ist als inhärent rekursiv, d.h. mit bedarfsgesteuerten Rückkopplungen, und nicht als rigide Abfolge einzelner Aktivitäten zu verstehen.

In dieser Eigenschaft soll der Prozess ein aktuelles, umfassendes und situationsgerechtes Verständnis der Risiken für die Anspruchsgruppen (Eigentümer, Mitarbeiter, Kunden etc.) und Entscheidungsträger liefern sowie gewährleisten, dass sich die Risiken innerhalb von akzeptierten Grenzen bewegen.

Die Grundstruktur dieses im Folgenden behandelten Prozesses wird an den derzeit verfügbaren Standards über Risikomanagement wie dem ISO Guide 73 [Isov09], sowie den Standards ISO 31000 [Isor09] und ISO/IEC 27005 [Isoi11] ausgerichtet.

Das Risikomanagement in einem Unternehmen und das in diesem Buch im Detail behandelte Informationssicherheits- und IT-Risikomanagement können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen. In diesem Buch verfolgen wir deshalb einen ganzheitlichen, integrierten Management-Ansatz. Dieser wird dadurch charakterisiert, dass verschiedene Management-Prozesse im Unternehmen mit ihren unterschiedlichen Zweckbestimmungen in ein übergeordnetes „Management-System“ oder „Führungssystem“ integriert sind. Der Risikomanagement-Prozess ist einer dieser Management-Prozesse. Die Notwendigkeit der Integration des Risikomanagement-Prozesses in das Management-System des Unternehmens ergibt sich aus der Tatsache, dass zum einen die Unternehmensziele durch die Risiken negativ beeinflusst werden können und zum anderen die Forderungen an das „Risikomanagement“ wichtige Bestandteile der „Corporate Governance“-Regeln sind.

In den weiteren Ausführungen im Teil B dieses Buches werden somit die wichtigsten Anforderungen, wie sie im Rahmen eines integrierten Risikomanagements auch für die Informationssicherheits- und IT-Risiken zutreffen, aus der Sicht der Unternehmensführung behandelt.

Die Risiken, die wir in diesem Buch behandeln, wirken in der einen oder anderen Weise dem Erreichen von Unternehmens-Zielen und dem Erhalten von Unternehmens-Werten entgegen. Dies gilt auch für die Informationssicherheits- und IT-Risiken. Ein effektives Risikomanagement muss deshalb im Management-System des Unternehmens verankert sein, gilt es doch, die Chancen und die Risiken in einem ausgewogenen und für die Lebensfähigkeit des Unternehmens richtigen Verhältnis wahrzunehmen. Den Prozess eines solchen ganzheitlichen Risikomanagements bezeichnen wir als „Integrierten Risikomanagement-Prozess“.

In Anlehnung an zurzeit gebräuchliche Management-Konzepte, wie das Qualitäts-Management-System nach ISO 9001:2008, das St. Galler-Management-Konzept [Bleic92] und das „Balanced Scorecard“-Konzept [Kapl01], werden im Folgenden die Führungsaspekte und Anforderungen an ein integriertes Risikomanagement diskutiert. Diese Aspekte und Anforderungen müssen sodann auch beim Einsatz von in Abschnitt 5.5 behandelten Frameworks und Standards für Management-Systeme berücksichtigt werden. In einem integrierten Risikomanagement-Prozess wird das Risikomanagement in die Managementprozesse für das „normative“, das „strategische“ und das „operative“ Management eingegliedert (Abbildung 5.1).

Bevor wir in die Einzelheiten der Informationssicherheits- und IT-Risiken eintauchen, besinnen wir uns auf die im ersten Teil dieses Buches getroffenen Grundlagendefinitionen.

Zum Risikomanagement bei Informationen und IT-Systemen werden vorteilhaft Schutzobjekte gebildet. In der angelsächsischen Literatur wird ein Schutzobjekt als „Asset“ bezeichnet. Mit diesem englischen Begriff wird gleichzeitig ausgedrückt, dass es um Werte geht, die es zu schützen und zu erhalten gilt. Für das in unserem Buch behandelte Informationssicherheits- und IT-Risikomanagement im Unternehmen sind diese „Assets“ Unternehmenswerte. Solche Unternehmenswerte können entweder materielle Werte (z.B. Hardware) oder immaterielle Werte (z.B. Informationen) sein.

In diesem Kapitel wird die für das Risikomanagement von Informationen und IT-Systemen geeignete Modellbildung vorgestellt. Es wird ein Einblick in die Bedeutung der Informationssicherheits- und IT-Risiken ganz allgemein gezeigt. Dazu werden die für die Informationsrisiken und deren Behandlung wichtigen Kriterien und Begriffe erläutert. Auch wird sozusagen als Vorspann zu den in den nächsten Kapiteln zu behandelnden konkreten Methoden und Verfahren ein genereller Einblick in die Möglichkeiten des Informationssicherheits- und IT-Risikomanagements vermittelt.

Zum Informations-Risikomanagement gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.

Im Teil B dieses Buches haben wir bereits die Anforderungen eines Unternehmens-Risikomanagements aus der Sicht der Corporate-Governance behandelt. Bevor wir uns nun den Inhalten, Methoden und Verfahren des Informations-Risikomanagements widmen, halten wir fest, wo das für ein Unternehmen immer wichtiger werdende Informations-Risikomanagement im Verhältnis zur Disziplin „Informationssicherheit“ zu positionieren ist.

Weiter behandeln wir die für ein Informations-Risikomanagement wesentlichen Aspekte der IT-Governance und der Informationssicherheits-Governance.

Die Steuerung des Informationssicherheits-Risikomanagements in einem Unternehmen lässt sich anhand einer Pyramide darstellen. Die Pyramide symbolisiert dabei, die von oben nach unten zunehmende Verfeinerung der zu steuernden und kontrollierenden Aspekte. Auf den einzelnen Ebenen der Pyramide sind sodann die Führungsinstrumente der jeweiligen Führungs- und Kontrollinstanzen angeordnet (Abbildung 8.1).

In diesem Kapitel wird die Bedeutung der Standard-Regelwerke in der Informationssicherheit behandelt und gezeigt, wie solche Regelwerke dem Informations-Risikomanagement dienen. Die hier als „Standard-Regelwerke“ bezeichneten Regelwerke sind nationale oder internationale Standards oder Rahmenwerke und Referenzmodelle, die den Status eines „De-facto-Standards“ erlangt haben. Einige der heute für die Informationssicherheit und das Informations-Risikomanagement gültigen Standard-Regelwerke werden übersichtsweise mit ihrem Ursprung und Einsatzzweck sowie mit einigen wichtigen Merkmalen vorgestellt. Viele dieser Regelwerke weisen für ihren Anwendungszweck Überschneidungen untereinander auf. Dennoch verfügt jedes Regelwerk über bestimmte Aspekte bevorzugte Gesichtszüge [Grue04]. Auch bestehen Unterschiede in der Anwendungsbreite und Unterstützungstiefe. Die Regelwerke der Reihe ISO/IEC 2700x sowie CobiT werden hinsichtlich der für das Informations-Risikomanagement wichtigen Aspekte näher behandelt. Für eine weitergehende und tiefere Behandlung ist auf die Originalquellen und die zahlreich vorhandene Spezialliteratur verwiesen.

Das Buch soll in erster Linie die Risiken und speziell die Informationssicherheits- und IT-Risiken aus der Perspektive des Unternehmens und der Governance behandeln. Deshalb sind in diesem Kapitel lediglich einige ausgesuchte Methoden und Werkzeuge behandelt, die im Rahmen des Informations-Risikomanagements eingesetzt werden; sie stehen somit für eine ganze Anzahl heute praktizierter Methoden und erhältlicher Werkzeuge. Bei der Behandlung in diesem Kapitel werden die Methoden und Werkzeuge jeweils an den Grundprinzipien eines Risikomanagement-Prozesses, wie er im Kapitel 3 zur allgemeinen Anwendung sukzessive aufgebaut wurde, reflektiert. Die Integration dieser Sub-Prozesse in die Unternehmensprozesse erfolgt im Teil D dieses Buches.

Wie die IT-Risiken einerseits zu grossen, oder gar „existenzbedrohenden“ Verlusten in Unternehmen führen können, stellen andererseits oft auch die Kosten der Massnahmen für die Informationssicherheit verhältnismässig hohe Kostenblöcke dar.

Deshalb werden im Rahmen der Strategie-, Investitions- und Budgetplanung oder zur Wertbestimmung bei Angeboten oder zu Kostenverrechnungen von Produkten und Dienstleistungen der IT vermehrt quantitative Aussagen über die Sicherheit verlangt.

Solche quantitativen Aussagen sollten nicht nur über die Risiken und Restrisiken sondern auch über die Kosten, die Wirksamkeit und die Angemessenheit der Massnahmen gemacht werden können.

Wie für die IT-Prozesse im Allgemeinen sind auch für die Informationssicherheits-Prozesse im Besonderen Kosten-/Nutzen-Nachweise zu erbringen. Das Finden von betriebswirtschaftlich optimalen Sicherheitsmassnahmen, wie dies in Abbildung 10.1 veranschaulicht ist, setzt voraus, dass sowohl die Risiken wie auch die Massnahmen kostenmässig analysierbar sind. Für „faire“ Vergleiche gelten dabei als Massnahmenkosten sämtliche Kosten, die zur Behandlung der Risiken aufgewendet werden.

Im Teil B dieses Buches haben wir die Anforderungen an ein RM im Unternehmen aufgezeigt. Aus diesen Anforderungen ging hervor, dass das RM auf höchster Unternehmensebene zur Frühwarnung und Steuerung der Risiken im Gesamtunternehmen für eine gute Corporate Governance unerlässlich ist. Die Einblicke in das Führungssystem zeigten, dass das Risikomanagement Einfluss auf die Strategiefindung im Unternehmen haben muss. Um den Erfordernissen einer risikoabhängigen Strategiefindung bezüglich Strategien und Massnahmen gerecht zu werden, ist sogar die Integration des RM in den Führungs- und Strategieprozess des Unternehmens zu empfehlen.

Im Teil C wurden Modelle, Methoden und Verfahren für das Management der Informationssicherheits- und der IT-Risiken beleuchtet. Ausgehend von den Erläuterungen in Abschnitt 6.5 werden die beiden Prozesse des Informationssicherheits-Managements und des IT-Risikomanagements in einem einzigen Risikomanagement-Prozess mit der Bezeichnung Informations-Risikomanagement zusammengelegt. Die Differenzierung der unterschiedlichen Risiken findet über die Risikoarten und in der Unterscheidung der Informationskriterien (Systemziele) statt (s. Abschnitt 6.3). Selbstverständlich liegt es in der Eigenheit des Unternehmens die beiden Bereiche Informationssicherheits-Governance und IT-Governance auch mit jeweils eigenständigen Risikomanagement-Prozessen und Management-Rollen (Risk Manager, Security Officer usw.) zu behandeln.

In diesem Teil D des Buches wird veranschaulicht, wie der Informations-RM-Prozess und auch andere RM-Prozesse mit dem Gesamt-RM-Prozess und dem Strategie-Prozess verzahnt werden können. Auch werden die aus der Sicherheits-Perspektive des Unternehmens wichtigen Prozesse der „Geschäftskontinuitäts-Planung“, des „Vulnerability Management“, des „Incident Management“, des „Outsourcing“ und der Auslagerung auf „Cloud-Computing“ aufgezeigt.

Aus der ganzheitlichen Sicht der Unternehmens-Risiken, aus der dieses Buch geschrieben ist, kommt der Geschäftskontinuität (Business Continuity) eine hohe Bedeutung zu. In vielen Unternehmen ist die Geschäftskontinuität in einem solchen Mass von den IT-Systemen und den Informations-Ressourcen abhängig, dass bei Ausfällen der IT auch die gesamten Geschäftsprozesse zum Erliegen kommen.

Bevor wir zur Behandlung der IT-Kontinuität im Einzelnen gelangen, gehen wir auf das übergeordnete Management der Geschäftskontinuität und deren notwendigen Planungsaspekte ein. Das Management der Geschäftskontinuität ist eine „Schlüsselaufgabe“ der Unternehmensführung und gehört zu einer guten Corporate Governance.

Unter dem englischen Begriff des „Business Continuity Management“ (BCM) wird heute ein Management-System verstanden, das ähnlich dem Qualitäts-Management-System oder dem Informationssicherheits-Management-System die Geschäftskontinuität in einem „PDCA-Zyklus“ effektiv und nachhaltig steuert.

Die Informationen wie ihre technologischen Gefässe (Informationen, Prozeduren, Hardware usw.) sind während ihres ganzen Lebenszyklus schutzbedürftig. Für die Informationen können die Schutzphasen „Entstehung“, „Bearbeitung“, „Übertragung (Übermittlung)“, „Speicherung (Archivierung)“ und „Entsorgung (Löschung)“ unterschieden werden. Ein pragmatischer Ansatz, die Information durch jeden Mitarbeitenden risikogerecht zu schützen, besteht darin, die Einstufungskriterien in Form einer kurzen Anleitung den Mitarbeitenden in die Hand zu geben. Die Einstufungskriterien leiten sich von gesetzlichen, regulativen, vertraglichen Anforderungen oder aufgrund von „Impacts“ ab. Sind die Informationen eingestuft, dann können pro Schutzphase und Informationseinstufung mit einem „Massnahmen-Rezept“ die angemessenen „Werkzeuge“ (z.B. Chiffrier-Programm) direkt am Arbeitsplatz-Computer eingesetzt werden. Das Risikomanagement der IT-Systeme kann mit einer „First cut“-Risikoanalyse vor der Anforderungsdefinition und mit einem IT-Sicherheitskonzept in einer Grobfassung vor dem Entscheid für die Entwicklung respektive Beschaffung des Systems und in einer Detailfassung vor der Systemeinführung sichergestellt werden.

Das „Outsourcing“ kann für ein Unternehmen eine Reihe von Vorteilen haben, wie Komplexitätsreduktion, Variabilisierung von Fixkosten; vor allem aber die Reduktion der Kosten in der Grössenordnung von 20 %. Bei aller Attraktivität eines Outsourcing müssen die neuen Kosten, vor allem die der Sicherheit und der Risiken, frühzeitig in die Betrachtungen einbezogen werden. Für die Auslagerung von Prozessen mit hoher Informationsabhängigkeit muss dem Vorgehen ein gründliches Risikomanagement zugrunde gelegt werden. Es ist zu beachten, dass Gesetze, Regulative und vertragliche Abmachungen Sicherheitsmassnahmen vorschreiben und dass die Sicherheit auch ein „Qualitätsmerkmal“ ist. Die Sicherheit muss daher auf einem angemessenen Niveau nachhaltig gewährleistet werden. Die Gartner Group empfiehlt u.a. anhand ihres Sourcing-Lifecycle-Modells die sorgfältige Analyse und Berücksichtigung der Risiken bis zum Vertragsabschluss in den Phasen der „Strategiefindung“, der „Evaluation“ und der „Vertragsdefinition“. Im ganzen Outsourcing Lifecycle soll das auslagernde Unternehmen „Due Diligence“ ausüben. Als Instrument zur Analyse und Abstimmung der IT-Risiken und Massnahmen zwischen den Partnern bietet sich ein IT-Sicherheitskonzept mit den Eigenschaften eines Risikomanagement-Prozesses an. Das als integrierender Bestandteil des Outsourcing-Vertrages geltende Sicherheitskonzept wird im Dialog zwischen Dienstleister und Kunde erarbeitet und abgestimmt. Es bildet somit im späteren Betrieb die gemeinsame und überprüfbare Basis für die Risiken und die Sicherheit des ausgelagerten Prozesses oder Systems.

Dieses Kapitel folgt dem Kapitel über Outsourcing, da viele Aspekte des „Outsourcing“ sowohl aus der Sicht des Anbieters als auch aus Sicht des Kunden ebenfalls zutreffen. Auch können die Prozesse für das Risikomanagement und das Sicherheitsmanagement, soweit diese generisch sind, beim Cloud-Computing angewandt werden. Hingegen erfordert die Virtualisierung von IT-Komponenten und die Inanspruchnahme von IT-Leistungen in der Form von „Services aus der Steckdose“ eine neue Art der Risiko-Ermittlung und Massnahmenbestimmung, um für Cloud-Computing sowohl auf der Anbieterseite als auch auf der Kundenseite akzeptable Restrisiken erreichen zu können. Die Risiken beim Cloud-Computing und damit das Sicherheitskonzept sind daher nicht alleine von den Akteuren (Cloud-Provider und Kunde), sondern auch von der eingesetzten „Charakteristik“ sowie dem „Service Modell“ und dem verwendeten „Deployment-Modell“ abhängig. Das Informations-Risikomanagement auf der Kundenseite wird vorteilhaft mit einem IT-Sicherheitskonzept in den Phasen „Cloud-Sourcing-Strategie“, Evaluation und Auswahl“, „Vertragsentwicklung“ und „Cloud-Sourcing-Management“ abgewickelt. Aus den Ausführungen über den Cloud-Sourcing-Lifecycle auf Kundenseite werden auch die komplementären Anforderungen auf der Provider-Seite offensichtlich. Dabei verfolgt der Provider eine seinem Geschäftsmodell angemessene Strategie und wird versuchen, die für jeden Kunden individuellen Anforderungen mit möglichst allgemeinen Lösungen abzudecken, um den Skaleneffekt und das Serviceangebot als „Commodity“ nicht zu verlieren.