2.2 T HEORIE
2.2.4 Security Management
Wir sind mit einer komplexen Zukunft konfrontiert, in welcher Informationen und immaterielle Güter an Wert gewinnen, während im Vergleich dazu materielle Güter an Wert verlieren. Das Risikomanagement des 21. Jahrhunderts entfernt sich vom Fokus auf Compliance und Verlustminimierung in Richtung Chancenwahrnehmung. Organisationen möchten die „wahre Natur“ der Risiken verstehen und nicht bloß deren Auswirkungen minimieren. Die meisten Unternehmen starten als „risk controllers“, wo Compliance und Verlustminimierung im Vordergrund stehen. Die nächste Entwicklungsstufe
„risk enhancers“ ist die Verbesserung der operationellen Performance. Nach dem letzten Step „risk transformers“ wird die Resilienz erhöht und es werden Chancen erkannt und wahrgenommen. Während die Risikoverringerung auf eine Verlustminimierung abzielt, strebt die Chancenwahrnehmung eine Erhöhung der Gewinne an. Durch diesen Schritt wird das Security Risk Management nicht mehr als Cost-Center, sondern als Profit-Center wahrgenommen (Talbot & Jakeman, 2009, S. 3).
Unternehmenssicherheit versus Security Management
Im Kontext der Sicherheit einer Organisation mit den einzelnen Sicherheitsdisziplinen, wie Notfall-, Krisen-, Security-, Risiko- und Chancenmanagement, werden manche Begrifflichkeiten divergent und teilweise auch vage verwendet. Insbesondere wird der Begriff der Unternehmenssicherheit aufgrund des hohen Stellenwertes der
Informationstechnologie für moderne Unternehmen oftmals auf die IT-Sicherheit im Unternehmen reduziert.
Nach Stober et al. (2012) werden Sicherheitsaspekte in drei Kategorien, wie Unternehmenssicherheit, Sicherheitsmanagement und Sicherheitsmanagementsystem, unterteilt. Die Umsetzung der Unternehmenssicherheit wird als Managementaufgabe durch Festlegung organisationsspezifischer Schutzziele, durch Identifizierung der Sicherheitslage sowie durch Festlegung der Bedürfnisse einer Organisation definiert. Dadurch kann abgeleitet werden, dass entsprechende Sicherheitsmaßnahmen notwendig sind, um die Schutzziele zu erreichen. Deswegen ist es von Bedeutung, dass im Sinne eines Risikomanagements mit geringem Input das höchste angestrebte Sicherheitsniveau erreicht wird. Um dieses Sicherheitsziel auch wirtschaftlich zu erreichen, ist es vonnöten, strukturierte Prozesse im Sinne des Sicherheitsmanagements aufzubauen und zu beschreiben. Somit lässt sich ableiten, dass sich Unternehmenssicherheit grundsätzlich der übergeordneten Aufgabe widmet, einen sicheren Betrieb zu gewährleisten (S.
907–911).
Des Weiteren beinhaltet Unternehmenssicherheit „[…] die bewusste Akzeptanz, Verhinderung und Bekämpfung der Gefährdungen bzw. Risiken, die den operativen Betrieb des Unternehmens beeinträchtigen oder sogar unterbrechen können und aus den Unternehmenseigenschaften und der Unternehmensumwelt resultieren. Das gewünschte Sicherheitsniveau wird durch die Ergreifung geeigneter, unternehmensinterner Maßnahmen erreicht.
Strategische Risiken und Finanzrisiken sind nicht Gegenstand der Unternehmenssicherheit“ (Gundel & Mülli, 2009, S. 5).
Um Unternehmenssicherheit langfristig in einer Institution zu etablieren, sind gestaltende, lenkende und entwickelnde Aktivitäten unerlässlich. Diese angesprochenen ganzheitlichen Managementaktivitäten werden durch das Sicherheitsmanagement sichergestellt. Somit umfasst das Sicherheitsmanagement die Gestaltung, die Lenkung und die Entwicklung der notwendigen Systeme mit entsprechenden Maßnahmen und dementsprechenden Mitteln, die für die Umsetzung der Unternehmenssicherheit notwendig sind. Wie aus den Erläuterungen entnommen werden kann, ist es wichtig, dass die unterschiedlichsten Tätigkeitsfelder des Sicherheitsmanagements eine zielgerichtete, methodische und strukturierte Vorgehensweise nachweisen. Das Sicherheitsmanagementsystem umfasst hingegen „die sicherheitsgerechte
Gestaltung und regelmäßige Überprüfung aller Strukturen, Abläufe und Prozesse in einem Unternehmen, die der Verhinderung oder Bekämpfung von sicherheitskritischen Ereignissen dienen. Das Sicherheitsmanagementsystem ist dadurch Mittel zur systematischen Organisation der Unternehmenssicherheit“ (Stober, Olschok, Gundel, & Buhl, 2012, S. 905–911).
Nachfolgend werden die drei Zusammenhänge erneut verdeutlicht.
Abbildung 12: Sicherheitsbereiche
Quelle: Eigene Darstellung nach Stober, Olschok, Gundel, & Buhl, 2012, S. 911
Die Bedeutung der „Sicherheit“ wird in unterschiedlichen Zusammenhängen verstanden. Viel besser wird in der englischen Fachliteratur der Unterschied durch die Unterteilung von „Sicherheit“ in „Safety und Security“ deutlich gemacht.
Safety im allgemeinen Sinn bedeutet die Sicherstellung der physischen Sicherheit von Personen und die Gewährleistung der Funktionalität der technischen Infrastruktur (Fraunhofer-Verbund, 2014, S. 50). Security ist der Schutz vor Gefahren und Verlust. Dies wird durch die Abschwächung ungünstiger Konsequenzen erreicht, welche durch das intentionale oder unbefugte Handeln von Personen hervorgerufen wird. In diesem Zusammenhang bezieht sich Security auf den Schutz der sensiblen Güter von Organisationen, welche einen gegenwärtigen oder zukünftigen Wert darstellen.
Deswegen wird Security meistens in Verbindung mit der Informationssicherheit und dabei in Zusammenhang mit dem Verlust (Diebstahl) von Informationen und Werten verwendet, weil diese Risiken ein größeres Schadensausmaß haben als bei bewusster bzw. unbewusster Eliminierung (Löschung) von Daten sowie Innovationen. Während Störungen in Hinblick auf physische Sicherheit und die Funktionalität von technischer Infrastruktur schnell bemerkt werden, da sie drastische Auswirkungen auf die geschäftsinternen Prozesse und Funktionen haben, können dagegen gezielte Angriffe oder unbeabsichtigtes Fehlverhalten von Personen, wie unautorisierter Zugriff auf sensible Daten,
Aufgabe
Unternehmenssicherheit
Gewährleistung des sicheren
Unternehmensbetriebs
Aktivität
Sicherheitsmanagement
Gestaltung, Lenkung und
Entwicklung der
Systeme, Mittel und Maßnahmen
Hilfsmittel
Sicherheitsmanagement-system
Gestaltung und
Überprüfung der
Strukturen, Abläufe und
Prozesse im
Unternehmen
zunächst unbemerkt bleiben. Da die funktionale Sicherheit die Informationssicherheit miteinschließt und ohne Informationssicherheit eine funktionierende Sicherheit bis zu einem gewissen Grad nicht erzielt werden kann, können diese beiden Begrifflichkeiten nicht immer getrennt betrachtet werden. Aufgrund der Einfachheit der englischsprachigen Konkretisierung wird auch in der deutschen Fachliteratur oftmals bei Begriffsbestimmungen darauf zurückgegriffen (Eckert, 2005, S. 4).
Bestimmung und Merkmale eines Security-Management-Modells
Die ganzheitliche Unternehmenssicherheit und somit auch das Security Management haben erst dann eine dauerhafte Positionierung in einer Organisation, wenn einerseits diese Funktionen einen nachweislichen Beitrag zum Unternehmenserfolg nachweisen können und andererseits der Sinn und der Zweck dieser Funktionen und somit auch das angestrebte Ziel glaubhaft an die Organisation vermittelt werden. Im Sinne der ganzheitlichen Unternehmenssicherheit muss sich das Security Management in drei Richtungen, bei der täglichen Wertschöpfungskette und daraus notwendigen Akquisitionen, bei der Aussonderung bzw. Investition sowie bei der Ausrichtung der strategischen Organisationsziele weiterentwickeln bzw. bei Bedarf die Strategie noch einmal überdenken (Stober, Olschok, Gundel, & Buhl, 2012, S.
858–859).
Die ganzheitlichen und unternehmensinternen Maßnahmen zur Zielerreichung des gewünschten Sicherheitsniveaus im Sinne der Unternehmenssicherheit werden als Sicherheitskonzept bezeichnet. Um sich dem gewünschten Sicherheitszustand annähern zu können (da eine 100-prozentige Sicherheit nicht möglich ist), wird vorgeschlagen, entsprechende Konzepte auszuarbeiten und umzusetzen. Somit beschäftigt sich das Sicherheitsmanagement, also das Security Management, als Kernaufgabe mit der systematischen Gestaltung und Definition von Prozessen, der kontinuierlichen Prüfung, Steuerung sowie mit der Weiterentwicklung einer Institution. Aus dem abgeleitet bezieht sich das Security Management auf die Gesamtheit einer Organisation, wie Prozesse, Ressourcen etc. und deren Schutzbedarf (Müller, 2005, S. 26). Die Erstellung und Implementierung eines Sicherheitskonzeptes zur Gewährleistung eines störungsfreien Regelbetriebs einer Institution sollte immer in Betracht gezogen werden. Hierbei werden die Schutzziele einer Institution, identifizierte Gefährdungen und Risiken als Grundlage für die Maßnahmenplanung herangezogen (Müller, 2005, S. 445). Die nachfolgende Abbildung 13 verdeutlicht die Interdependenzen zwischen den internen und externen
Voraussetzungen, Einflussfaktoren, Gefährdungen und dem angestrebten Sicherheitsniveau, aus dem sich das Sicherheitskonzept ableiten lässt.
Abbildung 13: Gegenstand der Unternehmenssicherheit
Quelle: Gundel & Mülli, 2009, S. 3 in Anlehnung an Alexander, 2006, S. 92
Das Security Risk Management wird innerhalb des Risikomanagements als eigener Fachbereich angesehen. Wie in vielen Bereichen des Risikomanagements beinhaltet auch das Feld Security Kompromisse und Trade-off-Entscheidungen. Dabei spielt der Kosten-Nutzen-Faktor eine entscheidende Rolle. So muss zwischen tatsächlichen und möglichen Risiken gewählt werden. Es entsteht oft der Eindruck, dass die tatsächlichen Risiken bevorzugt behandelt werden. Dennoch ist es wichtig, auch die möglichen Gefahren zu behandeln, da dies zu einem Wertgewinn eines Unternehmens beitragen kann. Maßgeblich ist auch das Risikoempfinden der Interessengruppen. Oft werden Risiken unterschiedlich wahrgenommen und dementsprechend unterschiedlich interpretiert. Dies führt mitunter zu einer falschen Risikowahrnehmung (Talbot & Jakeman, 2009, S. 6–7).
Externe Rahmenbedingungen (technisch, natürlich,
gesellschaftlich) z.B. Gesetze, Normen, vertragliche Verpflichtungen
Unternehmenseigenschaften (Produkte, Technologie, Organisation)
z.B. Qualitätssicherung, Schutz des investierten Kapitals, Revision
Gefährdungen
Definition Risikoschwelle
Gewünschtes Sicherheitsniveau
Definition Schutzziele Maßnahmen
Baulich, technisch, organisatorisch
Sicherheitskonzept Interaktion
Konzipierung eines gesamtheitlichen Security-Management-Modells Die Literaturrecherche zeigte, dass viele Ansätze zur Konzipierung eines gesamtheitlichen Security-Management-Modells vorhanden sind. Das Security Management dient dem Schutz des Personals, der materiellen und immateriellen Werte. Dieser Grundsatz, somit auch das breite Aufgabenspektrum, wird jedoch durch die komplexe Entwicklung der Ökonomie mit diversen Vernetzungen vielseitiger. Dieses komplexe Gemisch aus unterschiedlichen Security-Anforderungen wie Travel Security, Intakthalten der Liefer- und Produktionsketten sowie die dazugehörigen Prozesse, das effektive und effiziente Notfall- und Krisenmanagement usw. können einen proaktiven Beitrag und somit auch einen wirtschaftlichen Erfolg für eine Organisation erzielen (Stober, Olschok, Gundel, & Buhl, 2012, S. 876–877).
Hierbei werden die Grundlagen, Prinzipien und Ansätze detailliert wiedergegeben, jedoch konnte die Umsetzbarkeit mit der Fragestellung „WIE“
nicht definitiv beantwortet werden. Einen annähernden Ansatz zur Konzipierung eines prozessorientierten Security-Management-Modells lieferten die Autoren Tabolt und Jakemann in ihrer Literatur mit dem Titel „Security Risk Management Body of Knowledge“. Aus diesem Grund wurde diese Literatur als Grundlage für die Ausarbeitung zur Konzipierung eines gesamtheitlichen Security-Management-Modells herangezogen. Die Ausarbeitung der angestrebten Masterarbeit mit der Zusammenführung der einzelnen Teilprozessmodelle des
„Corporate and Information Security Management“ wird anhand dieser Literatur bzw. mit anderen Werken und durch die Ergebnisse der Expertinnen- und Experteninterviews abgerundet. Nachfolgend werden kurz die Grundlagen der Literatur „Security Risk Management Body of Knowledge“, das Resilienz-Modell, grob beschrieben.
Talbot und Jakeman (2009) empfehlen, im Umgang mit Security-Risiken ein Resilienz-Modell nach Abbildung 14 aufzubauen, welches in Activity Areas, Practice Areas, Strategic Knowledge Areas, Operational Competency Areas und Enablers unterteilt werden sollte. Dieses Modell mit den einzelnen Elementen beinhaltet ähnliche Grundlagen wie im Risikomanagementprozess nach ISO 31000. Der systematische Aufbau und die Anwendung der Elemente werden nach einem Security-In-Depth-Modell (wie auch der Demingkreis) eher als ein kontinuierlicher Prozess und nicht als ein statisches Modell, wie beim Risikomanagement üblich, dargestellt. Unter Berücksichtigung der Ansätze des Resilienz-Modells ist es demnach möglich, ein Gesamtprozessmodell im Rahmen eines Prozessmanagements darzustellen. Hierbei werden wichtige,
jedoch im Gegensatz zum allgemein gehaltenen Prozessablauf des Risikomanagements, detaillierte Ansätze und Aspekte auf verschiedenen Ebenen vorgestellt. Beispielsweise sind die Activity Areas als wiederkehrender Kreislauf zu verstehen, welcher dauerhaft gesteuert und aktualisiert werden sollte, jedoch nur bei Eintritt eines Schadens wirklich in der Praxis angewendet wird.
Auch die Practice Areas zeigen den sehr wichtigen multidimensionalen Aspekt der verschiedenen Teilbereiche des Security Risk Management. Kaum eine Bedrohung beschränkt sich in der Realität wohl auf die strikte Anwendung aller Attacken auf einem Fachgebiet. Es wird vielmehr auf allen Ebenen nach Schwachstellen gesucht, weshalb auch alle Ebenen eines Sicherheitssystems geschützt werden müssen.
Auf gleiche Weise wie die Activity Areas sind auch die sogenannten Enabler als dauerhaft zu optimierende Prozesskreisläufe zu verstehen. Sie bilden die (vor allem im Bereich der People Security) nicht zu vernachlässigenden „weichen Faktoren“, wie beispielsweise die Formulierung einer Sicherheitsstrategie bzw.
Richtlinie, die Durchführung von Trainings oder der Aufbau von Resilienz bzw.
einer Sicherheitskultur. Diese Faktoren sind oftmals weitaus schwieriger in einer Organisation umzusetzen als beispielsweise direkte physische Maßnahmen wie eine Zutrittskontrolle oder ein Zaun. Sie sind jedoch das Herzstück eines jeden Security Risk Management und ermöglichen zuallererst eine effektive Implementierung aller Elemente des Resilienz-Modells bzw. sind ferner natürlich auch im weiteren Lebenszyklus unverzichtbar (Talbot & Jakeman, 2009, S. 255–259).
Die im Modell angeordneten Strategic Knowledge Areas sowie die Operational Competency Areas sind für die Integration der verschiedenen Security-Risk-Bausteine in die bestehende Organisation verantwortlich. So müssen zum Beispiel alle Schutzmaßnahmen auf den jeweiligen Business Case angewendet (Exposure Analyse) und entsprechende Ressourcen bereitgestellt oder auch das operationale Design bzw. die Funktion in der Praxis durch ein Qualitätsmanagement und Audits überprüft sowie optimiert werden (Talbot &
Jakeman, 2009, S. 97). Schließlich steht als Output des Prozessmodells letztendlich das Security-In-Depth-Modell, welches für jedes schützenswerte Asset versucht, die Sicherheit nach dem Prinzip des Swiss-Cheese-Modells (James Reason) in mehrere Schichten aufzuteilen. Die zu schützende Fähigkeit steht dabei ganz im Inneren und ist umgeben von den verschiedenen Lagen
der Arten der Risikobewältigung (Eliminieren, Substituieren, Isolieren etc.).
(Talbot & Jakeman, 2009, S. 156–162)
Abbildung 14: Das Security-Risk-Management-Resilienz-Modell
Quelle: Talbot & Jakeman, 2009, S. 270
Deming-Kreislauf (PDCA-Zyklus)
Als Ergänzung zum Resilienz-Modell, wie vorher kurz beschrieben, wird der PDCA-Zyklus des Sicherheitsmanagements für die Ausarbeitung des Vorhabens herangezogen (siehe Abbildung 15). Für eine funktionierende Sicherheitsorganisation ist es vonnöten, dass ein Sicherheitsmanagementsystem mit einem zyklischen Prozessmodell definiert wird. Somit ist ein Sicherheitsmanagementsystem auf eine kontinuierliche Verbesserung ausgelegt. Dadurch wäre eine Organisation in der Lage, sicherzustellen, „[…] dass das Sicherheitsniveau kontinuierlich mit dem sich ständig verändernden Bedarf aufgrund neuer oder sich ändernder Gefährdungen abgeglichen wird und ggf. Anpassungen erfolgen“ können (Bundesamt für Verfassungsschutz, 2016). Um das auch zu erreichen, muss
eine Institution folgende Aspekte bzw. Aufgaben berücksichtigen und erfüllen (Bundesamt für Verfassungsschutz, 2016):
„[…] ein Prozessmodell des Sicherheitsmanagementsystems definieren, beschreiben und in Kraft setzen
die einzelnen erforderlichen Prozesse festlegen, dokumentieren und freigeben
die themenübergreifenden Prozesse beschreiben und in das Prozessmodell integrieren
den Kontext bestimmen, in dem das Sicherheitsmanagementsystem aufgebaut wird
eine Gefährdungsanalyse durchführen, um Gefährdungen zu identifizieren und zu bewerten
ein Sicherheitsrisikomanagement etablieren, um die mit den Gefährdungen verbundenen Sicherheitsrisiken zu bestimmen“.
Abbildung 15: PDCA-Zyklus Sicherheitsmanagement
Quelle: Bundesamt für Verfassungsschutz, 2016
Nachfolgend werden die einzelnen Phasen beschrieben:
Plan: Hier werden die Maßnahmen definiert bzw. ausgearbeitet, welche mit der Strategie der Organisation in Verbindung stehen. Daraus abgeleitet werden das sicherheitsrelevante Umfeld und die Bedrohungslage sowie die
Interessengruppen zur Maßnahmendefinition durchleuchtet. Die Maßnahmensetzung wird beispielhaft als Schutzkonzept definiert, welches auf die Schutzziele und Werte ausgerichtet ist.
Abbildung 16: Einrichtung und Verwaltung (Sicherheitsmaßnahmen festlegen)
Quelle: Österreichisches Normungsinstitut, 2017
Do: Anhand der vorher definierten Maßnahmen erfolgt in dieser Phase die Umsetzung dieser. Hierbei werden als Führungsprozess der Organisation ausgerichtete Regelwerke bestimmt, die Rollen im Sicherheitsmanagement definiert, materielle und immaterielle Ressourcen durch Einbindung der obersten Leitung freigegeben bzw. zur Verfügung gestellt. Als Führungsprozess wird dadurch die kontinuierliche Verbesserung vorangetrieben, welche übergreifende Aspekte, angefangen beim Personal, Produkte und Know-how bis hin zur Infrastruktur, abdeckt.
Abbildung 17: Sicherheitsmaßnahmen umsetzen (Umsetzung und Betrieb)
Quelle: Österreichisches Normungsinstitut, 2017
Check: Diese Phase überprüft in wiederkehrenden Kontrollen anhand von Messindikatoren und integrierten Kontrollsystemen die dokumentierten
Sicherheitskonzepte und andere Sicherheitsmaßnahmen über den Umsetzungsgrad sowie deren Wirksamkeit. Als mögliche Berichts- und Kontrollwesen stehen hierfür die Durchführung interner Revisionen und Audits, Management-Review bzw. Managementbewertung. Des Weiteren setzt die Sicherheitsorganisation die Leitung der Institution und andere Interessengruppen davon in Kenntnis, in welchem Status und Fortschritt sich das Sicherheitsmanagement befindet.
Abbildung 18: Sicherheitsmaßnahmen und deren Umsetzung überprüfen (Überwachung)
Quelle: Österreichisches Normungsinstitut, 2017
Act: Aus den gewonnenen Erkenntnissen der Check-Phase wie Sicherheitsanalysen, Quartals-, Jahres-, und Ad-hoc-Berichten werden hier die Sicherheitskonzepte bzw. -maßnahmen neu angepasst, welche zeitlich um die Verantwortlichkeiten zu bestimmen sind. Jedes Verbesserungspotenzial und jede Optimierungsmaßnahme wird dokumentiert und in einem Katalog festgehalten. Hierzu zählen auch Schulungs- und Sensibilisierungsmaßnahmen und andere Maßnahmen wie Berechtigungsmanagement.
Des Weiteren sind die nachfolgenden Punkte in dieser Phase zu berücksichtigen (Österreichisches Normungsinstitut, 2017):
„Umsetzung der identifizierten Verbesserungen im SMS;
Durchführung von geeigneten Korrekturmaßnahmen und Vorbeugungsmaßnahmen; Umsetzung der relevanten Erkenntnisse aus Erfahrungen der eigenen und anderen Organisationen;
Kommunikation der Maßnahmen und Verbesserungen an die Interessensgruppen [sic!], in einem angemessenen Detaillierungsgrad und gegebenenfalls Abstimmung des weiteren Vorgehens;
Sicherstellung, dass die Verbesserungen die beabsichtigten Ziele erreichen.“