Schlagwortarchiv für: Information Security Management Systeme (ISMS)

Cover Buch Domain StorytellingAm 29.06.2023 ist im dpunkt.verlag auf 254 das Buch Domain Storytelling von Stefan Hofer und Henning Schwentner erschienen.

Das Buch richtet sich nach eigenen Angaben an Softwarearchitekten, Softwareentwickler, Projektverantwortliche, Business Analysten, IT-Consultants und das IT-Management. Damit liege ich als Berater für Informationssicherheit eigentlich nicht in der Zielgruppe.

Allerdings stehen wir in der Beratung zum Informationssicherheitsmanagement vor ähnlichen Herausforderungen, wenn es darum geht, organisatorische Abläufe zu verdeutlichen, zu diskutieren und abzustimmen. Unsere Berater sind daher immer wieder auf der Suche nach geeigneten Methoden hierfür. Möglicherweise werden wir beim Domain Storytelling fündig. Domain Storytelling ist eine grafische Modellierungstechnik, die veranschaulicht, wie Menschen zusammenarbeiten. Fachexperten beschreiben Softwareexperten, wie sie Tätigkeiten in ihrem Anwendungsbereich ausführen. Dies wird gemeinsam visualisiert und hilft den Softwareexperten bei der Entwicklung der Software.
In der Beratung ist es ganz ähnlich. Berater beschreiben, wie die Abläufe sein sollen. Sie sind Fachexperten, in unserem Fall für Informationssicherheit. Die Beratungskunden haben dabei die Rolle, die sonst den Softwareexperten zukommt. Sie müssen die Abläufe in ihrer Organisation implementieren.

Das Buch führt in seinem ersten Teil in das Domain Storytelling ein. Die Methode verspricht eine einfache, unmittelbar eingängige, bildliche Darstellung von Abläufen. Dem Betrachter erklären sich die Abläufe von selbst, ohne dass er sich zuvor in die Methode einarbeiten muss. Das sind gute Voraussetzungen für einen schnellen Start. Die Autoren verdeutlichen das an eingängigen Beispielen.

Der Zweite Teil des Buches ist dem praktischen Einsatz der Methode gewidmet. Erläutert wird dies ebenfalls an zahlreichen Beispielen.

Domain Storytelling zwingt zum Formulieren im Aktiv. Bei Tätigkeiten wird klar, wer eine Tätigkeit ausführt. In Audits und in der Beratung sehen meine Kollegen und ich immer wieder Vorgabedokumente, die Passivformulierung verwenden und damit im Unklaren lassen, wer für die Umsetzung verantwortlich ist.
Ein Beispiel: In Richtlinien finden sich oft Sätze wie “Die Zugangsrechte müssen regelmäßig überprüft werden.” Die Verwendung des Passivs “muss geprüft werden” lässt offen, wer die Prüfung durchführen soll. Die Folge ist, dass ein entsprechende Prüfung mit hoher Wahrscheinlichkeit nicht stattfinden wird. Daher sind Formulierungen im Aktiv wie “Der Teamleiter IT-Administration sorgt für die Überprüfung der Zugangsrechte.” die besseren Formulierungen. Die Nutzung von Domain Storytelling zwingt nun dazu, darüber nachzudenken, zu entscheiden und entsprechend zu dokumentieren, wer was machen muss. Ein echter Gewinn.

Gut gefallen hat mir auch der Blick der Autoren nach rechts und links. So wird das Verhältnis des Domain Storytellings zu acht anderen Modellierungswerkzeugen wie beispielsweis UML und BPMN erläutert. Das ist sicherlich hilfreich für alle, die entsprechende Werkzeuge bereits im Einsatz haben.

Ein online bereitstehender Editor macht es möglich, das Gelesene sofort auszuprobieren.

Zusammenfassend kann man sagen, dass die Autoren anschaulich und mit vielen Beispielen mit dem Domain Storytelling in eine Methode einführen, die in Beratung und Schulung von großem Nutzen sein kann. Ich jedenfalls werde die Methode in meinen nächsten Schulungen und auch in der Beratung probeweise verwenden und zu einem späteren Zeitpunkt über meine Erfahrungen berichten.

Beurteilung von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. In diesem dritten Teil soll es um die Informationssicherheitsrisikobeurteilung gehen.

Zunächst muss man feststellen, dass die Begrifflichkeiten im Risikomanagement nicht einheitlich verwendet werden. In der ISO 27001:2013 finden sich unter dem Kapitel 6.1.2 “Informationssicherheitsbeurteilung” die Aspekte

  • Identifikation von Informationssicherheitsrisiken,
  • Analyse von Informationssicherheitsrisiken und
  • Bewertung von Informationssicherheitsrisiken.

Im deutschen Sprachraum werden diese Punkte häufig zusammen als Risikoanalyse bezeichnet, so etwa in den Standards des BSI IT-Grundschutzes. In diesem Text wollen wir uns an den Sprachgebrauch der ISO 27001:2013 halten. Nachdem wir die Identifikation von Informationssicherheitsrisiken bereits im letzten Artikel betrachtet haben, soll es nun also um die Analyse und Bewertung der identifizierten Risiken gehen.

Analyse von Informationssicherheitsrisiken

In der Analyse werden die Eintrittswahrscheinlichkeit und die potenzielle Schadenshöhe eines Risikos betrachtet.

Bei der Eintrittswahrscheinlichkeit fehlen uns meist belastbare Zahlen. Entweder gibt es keine Statistiken, sie sind nicht frei zugänglich oder nicht auf das eigene Unternehmen übertragbar. Daher müssen wir uns mit qualitativen Abschätzungen begnügen. Drei bis fünf Stufen sind dabei in der Praxis üblich, beispielsweise “sehr unwahrscheinlich”, “eher unwahrscheinlich”, “eher wahrscheinlich”, “sehr wahrscheinlich”. Eine gerade Anzahl von Kategorien beugt bei der Einschätzung dem “Tendenz-zur-Mitte-Effekt” vor.

Zur Schadenshöhe können oft bessere Angaben gemacht werden. Produktionsausfälle, Kosten zur Wiederbeschaffung oder Wiederinbetriebnahme eines Unternehmenswertes etc. sind einigermaßen gut abzuschätzen. Neben rein monetären Aspekten können weitere Aspekte (Schadensszenarien im BSI IT-Grundschutz) einbezogen werden. Dies können beispielsweise sein:

  • Verstöße gegen rechtliche Anforderungen (gesetzliche, regulatorische oder vertragliche)
  • Beeinträchtigung des informationellen Selbstbestimmungsrechts
  • Beeinträchtigung der persönlichen Unversehrtheit (physisch oder psychisch)
  • Beeinträchtigung der Aufgabenerfüllung (z.B. bei Non-Profit-Organisationen oder Unternehmen mit Versorgungsauftrag und Kritischen Infrastrukturen / Kritis)
  • Reputation

Dabei kann es Überschneidungen geben, z.B. bei Datenschutzverstößen. Das kann zu einer unbeabsichtigten Übergewichtung einzelner Risiken führen. Dies ist bei der Definition der Aspekte und der Beschreibung, wie der “Gesamtschaden” hieraus gebildet wird, zu berücksichtigen.

Anschließend werden die Risiken den Risikoniveaus (Risikokategorien im BSI IT-Grundschutz) zugeordnet. Dieses ergibt sich aus den ermittelten Werten für die potenzielle Schadenshöhe und die Eintrittswahrscheinlichkeit. Das wird oft in einer Matrix dargestellt und die Niveaus farblich, meist in Ampelfarben gekennzeichnet. In der Praxis üblich sind wiederum drei bis fünf Niveaus. Sie beschreiben die Anzahl der Reaktionsmuster, die im Unternehmen zur weiteren Behandlung der Risiken festgelegt wurden.

Bewertung von Informationssicherheitsrisiken

Nach der Analyse der Risiken werden diese mit den im Vorwege festgelegten Kriterien verglichen. Das Wichtigste hierbei dürfte das Kriterium der Risikoakzeptanz sein. Die Risikoakzeptanzschwelle bezeichnet das Niveau, unterhalb dessen keine Risikobehandlung notwendig ist. Hierbei handelt es sich um eine willkürliche Entscheidung des Unternehmens, die den unternehmenseigenen Risikoappetit reflektiert.

Ein weiteres Kriterium könnte die “Quick-Win-Schwelle” sein. Risiken unterhalb dieser Schwelle sollen auf alle Fälle und möglichst früh bearbeitet werden, weil bei ihnen eine zügige Verbesserung der Risikosituation mit sehr geringen Aufwand erwartet wird.

Das Ergebnis des Abgleichs ist eine priorisierte Risikoliste. Die Priorisierung erfolgt dabei in Hinblick auf die Behandlung. Der Informationssicherheitsrisikobehandlung widmen wir uns dann in der nächsten Folge dieser Reihe.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

© ANMATHO AG