Warum Kronjuwelen?
Je größer das Unternehmen wird, in dem man arbeitet, desto höher wird die Komplexität und desto unübersichtlicher. In der Informations-Sicherheit versucht man deshalb einen priorisierten Ansatz, in dem es darum geht, neuralgische Punkte für das Unternehmen zu identifizieren. Punkte, die dazu führen, dass wenn sie nicht verfügbar wären oder korrumpiert würden, eine signifikante, negative Auswirkung entsteht.
Wie finden wir Sie?
Um diese Kronjuwelen zu identifizieren, bedient man sich unterschiedlichen Ansätzen. Ein allgemein beliebter Ansatz ist die Sichtweise aus den Geschäftsprozessen heraus in das Unternehmen. Der Vorteil am Geschäftsprozess ist, dass er in der Regel ein definiertes Ergebnis hat. Um dieses zu erreichen, hat es Abhängigkeiten, die man prüfen kann und die ggfs. zu Kronjuwelen werden. Ein Serversystem auf dem Daten abgelegt werden, eine Produktionsstraße, in der das Produkt gefertigt wird oder die Verfügbarkeit einer Rolle im Prozess, die ggfs. gegensteuert, sollte etwas nicht funktionieren.
Ein anderer Ansatz ist, sich der Fragestellung technisch zu nähern und zu prüfen, welche Assets es im Unternehmen gibt und für welchen Zweck diese verwendet werden. Ggfs. gibt es bereits ein mapping von Assets auf Geschäftsprozesse als kombinierten Ansatz. Wissen wir den Zweck des Assets, können wir ggfs. darauf schließen, ob dieses Asset für unser Unternehmen besonders wertvoll ist und somit zur Liste der Kronjuwelen hinzugefügt werden sollte. Ein wichtiger Indikator kann dabei sein, wo im Unternehmen Daten gespeichert werden und wozu diese genutzt werden. Daten sind ebenso wie Systeme unterschiedlich relevant und wertvoll für uns.
Nicht nur aus Prozess- und Technik-Sicht gibt es Kronjuwelen. Es gibt auch Kronjuwelen auf den zweiten Blick. Damit sind Systeme und Ressourcen gemeint, die maßgeblich an sehr vielen Arbeitsschritten im Unternehmen beteiligt sind und deren Ausfall folglich einen vergleichsweise hohen Impact hätten, auch, wenn die Tätigkeit die sie umsetzen, ggfs. von geringerer Priorität für uns ist. Deshalb kann es sinnvoll sein, die Liste der wichtigen Komponenten und Stellen im Unternehmen immer wieder zu hinterfragen.
Wie wichtig sind Sie?
Wenn wir wissen, welche Assets und Rollen zu unseren Kronjuwelen zählen, dann stellen wir uns als nächstes die Frage nach der Relevanz. Nicht alles im Unternehmen kann gleich wichtig sein und aus der Informations-Sicherheits-Perspektive tun wir uns einen Gefallen, wenn wir zur Priorisierung in der Lage sind. Dabei kommt es bei der Einschätzung der Priorität auf die Sichtweise an. Für die IT haben Systeme eine andere Priorität als für die Fachabteilung, die den Geschäftsprozess damit abwickelt. Es kann deshalb zu sehr unterschiedlichen Einschätzungen kommen und es sollte vorher klar sein, was mit diesen Einschätzungen passiert. Natürlich könnte man die Anzahl der Einschätzungen einfach über einen Mittelwert normalisieren, doch das würde die Priorität gänzlich verfälschen. Als Zwischenschritt könnte man die einzelnen Prioritäten über einen Faktor gewichten. Oder man bildet für die Assets mehrere Prioritäten ab und arbeitet damit weiter.
Warum tun wir das?
Eine hilfreiche Frage, wenn wir uns im Bereich der Informations-Sicherheit bewegen, ist die Frage nach dem warum. Warum suchen wir nach Kronjuwelen? Weil wir im Risikomanagement mit wichtigeren Assets anders verfahren wollen, andere Maßnahmen treffen oder die gleichen nur zu einem früheren Zeitpunkt. Es geht also gar nicht darum, möglichst komplexe Ansätze zu finden, sondern darum so komplex wie nötig zu arbeiten, um den Anforderungen an das Risikomanagement gerecht zu werden.
Dabei kann es uns helfen, wenn wir Informationen wie Geschäftsprozesse, Netzwerkpläne und andere, für uns wichtige Einflussgrößen in eine gemeinsame Ansicht bringen, eine Visualisierung, die uns die aktuelle Situation verdeutlicht, in der wir uns befinden. Von einem Bild weg in die Zukunft oder in auf bestimmte Szenarien denken, fällt vielen Menschen leichter, als die textuelle Sachlage zu verarbeiten.
Fazit
Es gibt weder im Risikomanagement noch in der Informations-Sicherheit “den einen” richtigen Ansatz, mit dem man es machen sollte und der von vorne herein Erfolg bei der Umsetzung verspricht. Ob man Kronjuwelen für das Unternehmen ableitet oder in Geschäftsprozessen denkt. Ob man von den Auswirkungen auf Risiken schließt oder aus dem Bauch und dem gesunden Menschenverstand heraus. All das kann funktionieren oder es kann nur zu einem Teilerfolg führen. Wichtig ist, dass man das warum nicht aus den Augen verliert und den wichtigen Kernfragen zuarbeitet, die einem im Risikomanagement begleiten.