Embed Size (px)
Citation preview
4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Compliance, August 2019
Management und Wissen
Die DSGVO und beispiels-weise ein IT-Sicherheitskatalog ge-mäß § 11 (1a) EnWG als Ausprägung der NIS-Richtlinie eint ein wesentli-cher Punkt: Das Risikomanagement und das Umsetzen risikomindernder Maßnahmen. Bei der DSGVO sind es die Datenschutz-Folgenabschätzung und die technisch/organisatorischen Maßnahmen (TOMs) beziehungs-weise konkrete Maßnahmenemp-fehlungen, zum Beispiel aus der ISO 27552, die sich derzeit in Abstim-mung befindet. Bei dem genannten IT-Sicherheitskatalog ist es das Risi-komanagement als zentraler Prozess der ISO 27001. Sowohl bei der Ab-sicherung kritischer Infrastrukturen beziehungsweise Dienstleistungen als auch der Absicherung perso-nenbezogener Daten besteht eine zentrale Aufgabe darin, risikobasiert Maßnahmen zu beurteilen und um-zusetzen, um am Ende Compliance mit gesetzlichen und regulatorischen Vorgaben nachzuweisen.
Risikomanagement: eine reine Compliance-
Aktivität?
Es gilt zu beachten: Maß-nahmenempfehlungen wie die des Anhangs A der ISO 27001 sind keine Handlungsanweisungen, was genau zur Absicherung der In-
Ohne Risikomanagement keine werthaltige ComplianceDie Einhaltung von Vorgaben (Compliance) ist ein wesentlicher Bestandteil der Corpo-
rate Governance eines Unternehmens. Im Bereich der Sicherheit von Informationen und
kritischen Dienstleistungen wurden die Unternehmen in den vergangenen Jahren mit ge-
setzlichen und regulatorischen Vorgaben, wie beispielsweise der NIS-Richtlinie und deren
nationalen Umsetzungen oder der DSGVO, vor zahlreiche Herausforderungen gestellt.
Hier erweist sich das Risikomanagement als zentrale Drehscheibe, um werthaltig Com-
pliance mit diesen Vorgaben zu erreichen, die zum Teil recht unterschiedliche Stoßrich-
tungen haben.
Von Dr. Michael Gehrke, TTS Trusted Technologies and Solutions GmbH
formationsverarbeitung in einem Unternehmen gemacht werden muss. Die ISO 27001 und mithin die Regulierung fordert, dass man die umzusetzenden Maßnahmen und deren Ausprägung(sstärke) erst einmal durch eine Risikobeurteilung detailliert ermittelt und in Risikobe-handlungsplänen konkrete, für das Unternehmen passende risikomin-dernde Maßnahmen zur Umsetzung festlegt. Nur so können Risikover-antwortliche adäquate Entscheidun-gen treffen, in welche Maßnahmen sinnvollerweise die endlichen fi-nanziellen Mittel investiert werden sollten, um die größtmögliche Wir-kung gegen Risiken zu entfalten und potenzielle Angriffspunkte auf das Unternehmen zu schließen.
Also sollte auch die Erstel-lung von zielgerichteten internen Vorgaben, zum Beispiel von Richtli-nien, Handlungsanweisungen oder Prozessbeschreibungen als konkrete Ableitungen aus den Maßnahmen-empfehlungen erst dann erfolgen, wenn die Ergebnisse der Risikobeur-teilung und -behandlung vorliegen. Blindes Umsetzen von Maßnahmen-katalogen kann zwar oberflächlich Compliance erreichen, führt aber leider allzu häufig zu schlechten internen Vorgaben, die in der Praxis nicht gelebt werden (können).
Für das Unternehmen wert-haltige Compliance mit einem IT-Sicherheitskatalog oder der DSGVO, aber auch internen Vorgaben, setzt also zwingend ein funktionierendes Risikomanagement voraus.
Risikomanagement-Strategie
Risikomanagement heißt im Kern, ein Verfahren festzulegen, mit dem vergleichbare und wiederholba-re Ergebnisse erzielt werden.
Unternehmen tun sich ver-meintlich leicht, wenn sie festlegen, dass man den Ansatz aus dem allge-meinen Risikomanagement, so wie er im AktG und KonTraG gefordert wird, übernimmt. Compliance in der Informationssicherheit und im Datenschutz heißt aber, wesentliche Geschäftsprozesse, Informationen und unterstützende Werte (Anla-gen/Systeme, Gebäude, Mitarbeiter) zu schützen. Daraus folgt, dass auf operationeller Ebene konkrete Risi-ken und spezifische risikomindern-de Maßnahmen, zum Beispiel zur Absicherung des IT-Netzwerks oder zum Zugriff auf bestimmte Dateien, ermittelt werden müssen. Das Ag-gregationsniveau eines allgemeinen Risikomanagements reicht hierfür nicht aus. Zumal sich in den regu-
5© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Compliance, August 2019
Mit TTS trax werden anhand der Ausgangs- und Zielrisiken und unter Einbeziehung des Umsetzungsstandes von Maßnahmen die aktuellen Ist-Risiken errechnet.
latorischen Vorgaben zum Teil de-taillierte Anforderungen finden, mit welchen Gefährdungen und Bewer-tungsstufen Risiken mindestens zu ermitteln sind und welche Geschäfts-prozesse und unterstützenden Werte zu betrachten sind.
Im Rahmen der Risikoma-nagement-Strategie ist somit zu-nächst genau zu überlegen, welche Detailtiefe erreicht werden muss.
Integration von Informa-tionssicherheit und Da-
tenschutz
Die Integration von Infor-mationssicherheit und Datenschutz im Risikomanagement birgt eine Reihe von Vorteilen:
Es wird eine gemeinsame Sicht auf alle Risiken in der Informa-tionsverarbeitung möglich.
Die Risikobehandlungen werden erweitert, indem standardi-sierte Maßnahmenempfehlungen wie die der ISO 27552 oder der ISO 27018 hinzugefügt werden.
Die TOMs (intern/extern) können auf dieselbe Art und Weise während der Umsetzung getrackt werden wie alle anderen Maßnah-men zur Risikobehandlung.
Nicht zuletzt ist das ein wichtiger Schritt hin zu einer Integra-tion von ISMS und Privacy-Informa-tion-Management-System (PIMS), wie es in der ISO 27552 definiert wird.
Management-Reporting
Entscheidend dafür, dass das Risikomanagement zum unterneh-merischen Erfolg beitragen kann, ist auch eine wirksame Einbindung der Unternehmensleitung. Für sie muss in regelmäßigen Abständen ein Lagebild erstellt werden, was ohne adäquate Tool-Unterstützung im Risikomanagement eine nur schwer zu lösende Aufgabe ist. Geht es doch im Kern um die folgenden Punkte:
Eine Darstellung der aktu-ellen Risikoexposition, also eine Dar-stellung der zum Berichtszeitpunkt vorhandenen Ist-Risiken. Dazu muss der Umsetzungsstand bereits ergrif-fener Maßnahmen eingerechnet werden. Weder eine Betrachtung der Risikoexposition vor Maßnahmen (Ausgangsrisiko) noch die Risikositu-ation unter Berücksichtigung sämtli-cher Maßnahmen (Zielrisiko) ist hier zielführend.
Eine Historie der Risikoex-position, sodass Aussagen zur Wirk-samkeit des Risikomanagements
möglich sind, indem verdeutlicht wird, wie die Risikoexposition im zeitlichen Verlauf (hoffentlich) im-mer weiter bis auf ein akzeptables Niveau sinkt.
Eine Darstellung, mit wel-chen Mitteln diese Veränderung der Risikoexposition bewirkt wurde beziehungsweise in die Zukunft ge-richtet bewirkt werden soll.
Wohin geht die Reise?
Ganz sicher gewinnt das in-formationelle Risikomanagement an Bedeutung in den Organisationen, nicht nur, aber auch durch externe Vorgaben wie KritisVO, NIS-Richtli-nie oder DSGVO.
Das Kennen und Managen der eigenen Risikoexposition stellt nicht nur einen immensen Wettbe-werbsvorteil dar, indem sinnvolle Entscheidungen zum zielgerichte-ten Einsatz finanzieller Mittel zur Absicherung des Unternehmens getroffen werden können. Es legt auch ganz nebenbei den Grundstein für die werthaltige Compliance mit gesetzlichen und regulatorischen Vorgaben. n
