Anders als die Vorgängerversion ISO/IEC 27001:2005, deren Risikobewertung auf der Basis von Vermögenswerten aufgebaut war, setzt die neue Version ISO/IEC 27001:2013 auf den rein riskoorientierten Ansatz aus der Norm ISO 31000 für Enterprise Risk Management. Dieser Schulterschluss bringt mehr Freiheit und weniger Aufwand bei der Risikobewertung, aber auch mehr Verantwortung der Anwender für das Ergebnis.
Mit der Revision der ISO 27001 für Informationssicherheit (IS) wurde auch deren Risikomanagement-Ansatz neu ausgerichtet. Die Risikobewertung der Vorgängerversion ISO/IEC 27001:2005 war auf der Basis von Vermögenswerten aufgebaut. Das heißt es wurden IS-relevante Assets wie Datenbanken, Hardware, Mitarbeiter und ähnliche Risikoträger auf ihr Gefahrenpotenzial hin betrachtet, was aufwendig sein konnte. Die neue Version ISO/IEC 27001:2013 hingegen setzt nun auf den rein risikoorientierten Ansatz aus der Norm ISO 31000 für Enterprise Risk Management. Dabei werden Basis-Security-Anforderungen als breiter Mindeststandard definiert, für eine detaillierte Risikoanalyse jedoch nur Risikoträger mit höheren Sicherheitsanforderungen herangezogen.
Geringerer Aufwand bei der Risikobewertung
Der Risikomanagement-Ansatz der aktuellen ISO 27001:2013 enthält keine konkreten Vorschriften, auf welcher Basis oder wie detailgenau Risiken und deren deren Auswirkungen zu identifizieren und analysieren sind. Die Detailtiefe bestimmt die Organisation anhand ihrer spezifischen Anforderungen nunmehr selbst. Auch die Identifizierung der Vermögenswerte sowie die Identifizierung von Bedrohungen und Schwachstellen in Verbindung zu den bestehenden Kontrollzielen ist in der neuen Version keine Thema mehr. Vielmehr ist das Unternehmen nun gefordert, die für ihre Anforderungen zielführende und angemessene Basis für die Risikobewertung zu entwickeln — das heißt also, relevante Risikoträger zu definieren — was durchaus zu geringeren Aufwänden bei der regelmäßigen Durchführung der Risikoanalyse führen kann.
Mehr Verantwortung für das Ergebnis
Die Anwender genießen bei dieser Vorgehensweise einerseits mehr Freiheit, tragen andererseits aber auch mehr Verantwortung für das Ergebnis. Ein Beispiel für mögliche Risikoträger sind IT-Services wie etwa der Messaging-Dienst. Nach dem neuen Risikomanagement-Ansatz wird nun nicht mehr der gesamte Asset-Baum durchgegangen, sondern die möglichen Risiken und Gefahren werden von einer höheren Ebene aus betrachtet und bewertet — der Dienst könnte ausfallen oder ausspioniert werden etc. Bei Hochsicherheitsanforderungen kann es aber doch sinnvoll sein, wieder bis auf die Ebene der Assets hinunter zu gehen, um einen hohen Detailierungsgrad zu erreichen.
Aus Risiken entstehen Chancen
Die von der ISO/IEC 27001:2013 gestellten Forderungen hinsichtlich Risikobewertung und Risikobehandlung sind an die diesbezüglichen Forderungen der ISO 31000 angepasst und daher mit dieser vollständig kompatibel. Eine allfällige Integration in ein Enterprise Risk Management nach ISO 31000 kann nun wesentlich leichter erfolgen. Als eine wichtige Neuerung im Risk Management nennt die aktuelle IS-Norm die Identifizierung der vorhandenen Risiken in Verbindung mit den damit einhergehenden Chancen, um die Ziele des Information Security Management Systems (ISMS) zu erreichen. Das Risk Management soll demnach so aufgebaut werden, dass die daraus abgeleiteten Maßnahmen direkt die IS-Ziele unterstützen. Wird diese Forderung konsequent umgesetzt, kann sie dazu beitragen, ein zielgerichtetes und effizientes Risikomanagement zu etablieren und zu betreiben. Als Beispiel könnte hier das IS-Ziel einer „strukturierten und definierten Berechtigungsvergabe“ dienen. Die Chance dabei wäre, bei der Berechtigungsvergabe effizienter zu werden. Ein Risiko bei Nicht-Erreichung des IS-Ziels wäre zum Beispiel: unberechtigter Zugang zu sensiblen Daten.
Mehr Effizienz durch Neuausrichtung
Existiert bereits ein Riskomanagement-System, das noch nach ISO 27001:2005 entwickelt wurde, besteht nicht die Notwendigkeit, die Systematik grundlegend zu verändern, da die Risikobewertung auf Basis der identifizierten Assets nicht grundsätzlich im Widerspruch zur ISO 27001:2013 steht. Eine Überarbeitung der Risikomanagement-Methode gemäß den neuen Normforderungen kann aber, neben der Erhaltung der Normkonformität, durchaus zu einer Steigerung der Existenz führen.
ISO 27005 verliert stark an Bedeutung
Der Schulterschluss zwischen Security- und Enterprise Risk Management spiegelt sich auch darin wieder, dass die neue ISO 27001:2013 nicht mehr explizit auf die vor Jahren entwickelte Risikomanagement-Subnorm ISO 27005 referenziert, sondern ausschließlich auf die ISO 31000. Entsprechend ist es ratsam, im Rahmen der Implementierung eines Informationssicherheits-Managamentsystems bei Fragen zur Risikoanalyse zuerst die ISO 31000 zu Rate zu ziehen, und erst in einem zweiten Schritt eventuell noch ergänzende Aspekte aus der ISO 27005 hinzuzunehmen. In ihrer Gesamtheit allerdings verliert die altgediente Risikomanagement-Subnorm ISO 27005 stark an Bedeutung.
Last but not least sei an dieser Stelle noch auf die ISO 31010 verwiesen, die die ISO 31000 ergänzt und sehr detailliert auf die Auswahl und Anwendung von Risikobewertungs-Methoden eingeht.
Risiken in Euro beziffern
Da im Enterprise Risk Management die Bewertung von Risiken monetär erfolgt, sind im Falle einer Integration auch die relevanten Informationssicherheits-Risiken in Euro-Beträgen auszudrücken. Dies mag zu Beginn herausfordernd erscheinen, denn die Folgen einer Datenpanne oder eines Systemausfalls können vielschichtig und schwer einschätzbar sein. Letztlich lässt sich aber nur so eine Vergleichbarkeit der unternehmensweiten Risiken und die gewünschte Gesamtsicht erreichen.
Robert Jamnik
Letzte Artikel von Robert Jamnik (Alle anzeigen)
- Mehr Freiheit, mehr Verantwortung - 21. November 2014