Enterprise Security

Sind Mess- und Kontrollsysteme für das Operationale Risiko (OpRisk) ausreichend oder müssen darüber hinaus Risiko-Frühwarnsysteme installiert werden?

Immer mehr Geschäftsprozesse werden durch IT-Systeme unterstützt und immer mehr geschäftskritische Daten werden in IT-Systemen verarbeitet, weitergeleitet oder gespeichert. Der Bedarf an IT-Sicherheit nimmt zwangsweise zu. Neben der IT-Sicherheit steigt auch der Bedarf an Informationssicherheit. Dabei umfasst die Informationssicherheit thematisch die IT-Sicherheit vollumfänglich. Ein Informationssicherheitsmanagementsystem (ISMS) umfasst i.d.R. organisatorische, personelle, bauliche und technische Maßnahmen, die IT-Sicherheit nur technologische.

IT-Organisationen benötigen dementsprechend ein wirksames ISMS, das den sicheren, zuverlässigen und ordnungsgemäßen Einsatz aller geschäftsrelevanten Informationen nebst der IT gewährleistet.

Status Quo
Basel II, Solvency II, KonTraG sowie Sarbanes Oxley Act (SOX) werfen bereits weit reichende Schatten im Sinne von Kontrollforderungen voraus. Viele Unternehmen sind daher gehalten sich auf die neue Situation einzustellen. Den Unternehmen stehen dazu u.a. SPiCE, ISO 15504, ITSM von Hewlett Packard, MOF von Microsoft und British Standard BS 15000 sowie die IT-Infrastruktur Library (ITIL), das vornehmlich die IT-Prozesse adressiert, und CobIT, als Kontrollsystem, zur Seite. Dabei verfolgen alle Werke, mit unterschiedlichem Blickwinkel, die gleiche Stoßrichtung, nämlich die IT-Systeme und das IT-Service-Management effizienter, effektiver und transparenter zu gestalten. Denn durch die vorgesehenen Kontroll- und Leistungsindikatoren können Messungen vorgenommen werden, die wiederum relevant für die Geschäftsprozesse sein können. Festzuhalten ist jedoch, dass es sich dabei im Wesentlichen um diagnostische Größen handelt.

Beurteilungs- und Messsysteme
ITIL und CobIT ist gemeinsam, dass sie das Thema IT-Sicherheit bzw. Informationssicherheit weder im Sinne des IT-Grundschutzhandbuches noch im Sinne des zweiteiligen British Standard (BS 7799) umfassend adressieren. Daher sind das IT-Grundschutzhandbuch und der British Standard (BS 7799) viel versprechende Ergänzungen des "Best Practice" Werks ITIL. Im Juni 2005 wurde die Überarbeitung der ISO/IEC 17799:2005, welche als Leitfaden zum Management von Informationssicherheit gedacht ist, bekannt gegeben. Eine Reihe von lang ersehnten Verbesserungen sind hierin umgesetzt worden. Auch der Teil 2 des BS 7799 erfährt eine Überarbeitung und eine Überführung, voraussichtlich in die ISO/IEC 24742:2006. Weiterhin arbeitet die ISO/IEC an Metriken und Indikatoren für Informationssicherheits-Managementsysteme, die in die ISO/IEC 24743:2007 einfließen sollen.

Proof of Concept
Vor diesem Hintergrund geht das CAST-Forum mit dem Enterprise Security Workshop im Oktober 2005 der offenen Frage nach:

• Sind die o. g. Werke und Kontrollmöglichkeiten ausreichend und halten die Unternehmensführungen von Banken oder Dienstleistungsunternehmen hinreichend Mittel in den Händen um einerseits den regulatorischen Zwängen (Basel II, Solvency II) gerecht zu werden und um andererseits genügend Stell- und Korrekturmöglichkeiten zu haben;
• oder, ist - ähnlich wie im Financial Management - ein so genanntes Frühwarnsystem (Credit Risk Early Warning System) mit sensitiven Dedektoren (Key Risk Indikator, KRI) für das IT-Sicherheitsmanagement im Bereich der operationalen Risiken ergänzend notwendig?

Visionen
Dabei sind unter Frühwarnsysteme so genannte Meldesysteme zu verstehen, die Gefahren so frühzeitig sichtbar machen sollen, dass hinreichend Zeit für Anpassungs- oder Gegenmaßnahmen verbleibt. Ein Kriterium für die warnende Information ist hierbei stets der Zeitpunkt des Schadenseintritts. Eine tatsächlich schadensminimierende Frühwarnung verlangt Informationen auf Prognosebasis. Die Frühwarnsysteme arbeiten parallel zum regulären Betrieb und alarmieren sobald bestimmte Parameter nicht eingehalten werden. Spezielle Kennzahlen sollen diese Mammutaufgabe bewältigen.