Risiko- und Schwachstellenanalysen

Schutzzieldefinition

Ist das Sicherheitsniveau Ihres Unternehmens, des Bereichs, der Objekte oder der Querschnittsfunktion, für die Sie Verantwortung tragen, ausreichend und angemessen?

Viele Berater fangen bei Adam und Eva mit Ausarbeitungen an, die keiner lesen will! Ihnen scheint nicht aufzufallen, dass sich die Risiken und Schutzziele von Unternehmen zu Unternehmen wiederholen und im Wesentlichen nur in der Ausprägung und Bedeutung für die Unternehmensprozesse unterscheiden.

Schutzziele müssen

  • realistisch
  • glaubwürdig und
  • praxisorientiert

sein.

Durch den systemanalytischen Ansatz unserer Arbeit definiert VZM Schutzziele nicht zum ersten Mal. VZM hat sich ein Werkzeug geschaffen, mit dessen Hilfe mit sehr überschaubarem Aufwand routiniert die Schutzziele zusammen mit dem Kunden in einem Workshop festgelegt werden können, die dann Basis für die weitere Arbeit sind.

Schutzziele definieren.

Schutzzieldefinitionen helfen vor allem Übersicherungen zu vermeiden. Sie verhindern damit, unwirtschaftlich zu werden. Sie helfen, unproduktive Rüstungsspiralen zu vermeiden und machen jede einzelne Maßnahme überprüfbar, ob sie zielführend ist. Sie begründen Ausschlüsse (Risiken, gegen die man sich nicht schützen kann oder will) und sind eine wichtige Argumentationshilfe gegenüber der Unternehmensführung.

Schutzziele sind nicht gleich Schutzziele. Sie ergeben sich unterschiedlich je nach Aufgabenstellung. Es kommt vielmehr auf den thematischen Zusammenhang an. Die Schutzzieldefinitionen sind für einen Architektenwettbewerb, bei dem den Wettbewerbsteilnehmern für ihre Entwürfe Vorgaben gemacht werden, andere als z.B. für die Einführung von SAP HRx. Auch in der Tiefe der Detaillierung unterscheiden sich Zieldefinitionen maßgeblich nach der Aufgabenstellung.

So unterscheiden wir 4 verschiedene Schutzzielgruppen, die sich aber logisch überschneiden können:

  1. Übergeordnete Schutzziele (wie Personensicherheit und Verfügbarkeit von Ressourcen)
  2. Logische Schutzziele (Datenschutz, Informationsschutz etc. mit relativ hohem Abstraktionsgrad und komplizierter Abwägungsstrategie)
  3. Sicherheitsverantwortung gegenüber Dritten (Kunden, Lieferanten, Nachbarn, der sozialen Gemeinschaft uvam.)
  4. Ereignisorientierte Schutzziele wie Brand, Stromausfall, Havarien etc.

Wichtig ist immer, dass man die Schutzziele auch operationalisieren kann, aus Hauptzielen Unterziele entwickelt und diese bis auf die Ebene herunterbricht, die der erforderlichen Maßnahmen- und Planungstiefe gerecht wird.

Gefährlich ist immer eine isolierte Betrachtung, die sich auf Einzelprobleme fokussiert. In der betrieblichen Planungspraxis werden Ziele nur selten wirklich konsistent definiert. Meistens werden Sicherheitsmaßnahmen problemassoziativ erarbeitet und beplant.

Das heißt: Man kennt eine Problemstellung und macht etwas dazu. Typisches Beispiel: Für die Verfügbarkeit der Datenverarbeitung wird (n+1) zur Befriedigung des Haupt-Schutzzieles "Verfügbarkeit der IT" gefordert. Aber so gut wie nie wird diese Forderung dann systematisch überprüft und auch unter Kosten- und Nutzenaspekten abgewogen. Zudem werden ganze Bereiche »vergessen«, also inkonsequent beplant.