,

“Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010” von Sebastian Klipper, eine Rezension

Bereits am 3. März 2015 ist bei Springer Vieweg auf 216 Seiten  “Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010” von Sebastian Klipper erschienen. Soweit ich weiß, ist es nach wie vor das einzige deutschsprachige Buch speziell zum Thema Informationssicherheitsrisikomanagement.

In seinen ersten Kapiteln führt das Buch in das Risikomanagement in der ISO-Normenwelt ein. Betrachtet werden die Normen der ISO 27000-Reihe insbesondere die ISO 27005. Daneben geht der Autor auf die ISO 31000-Reihe ein. Die ISO 31000 ist eine Norm, die sich allgemein mit Risikomanagement beschäftigt. Auch wenn es für die besprochenen Normen jeweils bereits neue Versionen gibt, so sind die Ausführungen des Buches immer noch weitgehend richtig. In der ISO 27001:2022 haben sich die Anforderungen zum Risikomanagement nicht wesentlich geändert. Auch die besprochenen Risikonormen sind in ihrer Grundstruktur nicht wesentlich verändert. Diese Normen sind im ISMS nach ISO 27001 auch nur informativ, d.h. sie haben empfehlenden Charakter. Daher gibt es nichts, was in den zum Zeitpunkt des Erscheinens des  Buches gültigen Normen steht, was heute falsch wäre.

Viele ISMS-Verantwortliche, die sich mit den formalen Anforderungen der ISO 27001 vertraut gemacht haben, stehen vor der schwierigen Aufgabe, diese Anforderungen in die Praxis umsetzen zu müssen. Hier hilft das Kapitel 5 des Buches gut weiter. Besprochen werden konkrete Methoden zum Durchführen von Risiko-Assessments. Neben geläufigen Methoden wie Brainstorming oder Business Impact Analysen (BIA), werden auch in der Praxis der Informationssicherheit weniger verbreitete Methoden, wie z.B. die aus anderen Bereichen bekannte Delphi-Methode, vorgestellt. Dabei geht es darum, dass die möglicherweise unterschiedlichen Ansichten verschiedener Experten konsolidiert werden.

Zu jeder Methode wird dargelegt, in welcher Phase des Risiko-Assessments sie zum Tragen kommen kann: bei Risikoidentifikation, -abschätzung, oder -bewertung. Die Methoden werden vom Autor jeweils nach ihrer Komplexität, dem Grad der Ergebnisunsicherheit, dem Ressourcenbedarf und dem quantitativen Output bewertet. Leider funktionieren die Links zu weiterführenden Informationen nicht mehr, da der Blog des Autors anscheinend umgezogen ist.

Kapitel über die Risikokommunikation und Wirtschaftlichkeitsbetrachtungen runden das Buch ab. Gerade Wirtschaftlichkeitsbetrachtungen werden bei zu theoretischen Ansätzen des Risikomanagements auf dem Altar einer scheinbaren Vollständigkeit und “Reinheit” des gewählten Vorgehens gerne vernachlässigt. Dies führt in der Praxis jedoch früher oder später dazu, dass diese “umfassenden” Ansätze als unpraktikabel wieder verworfen werden. Man darf dem Autor dankbar sein für diesen praxisorientierten Blick auf die Materie.

Fazit

Auch wenn das Buch schon über 9 Jahre alt ist, so ist es im Kern immer noch aktuell. Außerdem ist es, wie eingangs erwähnt, weiterhin das einzige Werk in deutscher Sprache, das sich explizit mit Informationssicherheits-Risikomanagement beschäftigt. Ich kann das Buch sehr empfehlen und würde mich über eine an den aktuellen Normenstand angepasste Neuauflage freuen.