Wenn die grundsätzliche Methodik – wie im ersten Artikel beschrieben – klar ist, folgt schon die nächste Frage: Wie sieht das konkret im Unternehmen aus? Genau an diesem Punkt entscheidet sich, ob Informationssicherheit verständlich bleibt oder wieder in abstrakte Begriffe zurückfällt. Deshalb lohnt sich der Blick auf ein praktisches Beispiel.
Nehmen wir ein mittelständisches Maschinenbauunternehmen mit rund 300 Mitarbeitenden. Der Vertrieb ist etabliert, die Prozesse sind beschrieben und funktionieren im Alltag. Jetzt möchte das Unternehmen sich erstmals systematisch mit der ISO 27001 befassen, da die Geschäftsführung den Druck von außen spürt und die IT auf wachsende Cyberrisiken hinweist.
Gerade der Vertriebsprozess eignet sich sehr gut, um das Thema methodisch anzugehen. An ihm lässt sich besonders anschaulich zeigen, wie Informationen, Geschäftsprozess, Schutzbedarf und Ressourcen zusammenhängen.
Tatsächlich verarbeitet der Vertrieb eines Maschinenbauunternehmens deutlich mehr und oft deutlich sensiblere Informationen, als im ersten Moment sichtbar ist. Dazu gehören neben den klassischen Kundendaten auch die personenbezogenen Daten der Ansprechpartner, Vertragsdaten, Preisvereinbarungen, Angebotsstände und interne Kalkulationsdaten. Gerade im Maschinenbau werden darüber hinaus technische Anforderungen, Lastenhefte, Ausschreibungsunterlagen, Zeichnungen oder Spezifikationen verarbeitet. Gesprächsnotizen, Freigabestände und Übergabeinformationen an nachgelagerte Bereiche gehören ebenfalls dazu.
Diese Breite macht deutlich: Der Vertrieb ist informationsseitig kein Nebenschauplatz. Wenn hier etwas schiefläuft, bleibt der Fehler selten im Vertrieb. Falsch erfasste Anforderungen, manipulierte Preise oder unvollständige Vertragsstände setzen sich schnell in der Kalkulation oder später sogar in der Leistungserbringung fort.
Besonders schutzbedürftig sind im Vertrieb typischerweise folgende Informationen:
Ist diese Informationsübersicht einmal da, lassen sich die ersten beiden Schutzziele sehr plausibel ableiten.
Preis- und Kalkulationsinformationen, Vertragsinhalte oder personenbezogene Daten sollen nicht beliebig zugänglich sein. Auch technische Kundenanforderungen sind häufig sensibel, gerade wenn sie Rückschlüsse auf Projekte, Produkte oder kundenspezifische Lösungen zulassen.
Im Vertrieb können schon kleine Informationsfehler große wirtschaftliche Folgen haben. Verarbeitete Informationen müssen also richtig, vollständig und unveränderbar sein.
Für viele Vertriebsprozesse in mittelständischen Industrieunternehmen ergibt sich deshalb ein recht klares Bild: hohe Anforderungen an die Vertraulichkeit, sehr hohe Anforderungen an die Integrität.
Bei der Verfügbarkeit ändert sich dann bewusst die Perspektive. Sie wird nicht aus der Information heraus beurteilt, sondern aus dem Geschäftsprozess selbst. Die entscheidende Frage ist nun, wie lange der Vertrieb ausfallen kann, bevor daraus ein ernsthaftes Geschäftsproblem entsteht.
Genau hier hilft die Business Impact Analyse. Sie hilft dem Unternehmen, den Ausfall eines Prozesses geschäftlich zu denken:
Was passiert, wenn CRM, E-Mail und Teile des ERP infolge eines Cyberangriffs nicht mehr verfügbar sind?
Aus dieser Betrachtung lassen sich konkrete Zielwerte für die Wiederherstellung ableiten, etwa die Recovery Time Objective (RTO = Wiederherstellungsdauer im Falle des Ausfalls) von 8 bis 24 Stunden und ein sehr geringer tolerierbarer Datenverlust bei laufenden Angebots- und Kundendaten.
Erst im nächsten Schritt rücken die Ressourcen in den Mittelpunkt. Jetzt wird betrachtet, womit der Vertriebsprozess die identifizierten Informationen überhaupt verarbeitet.
Typischerweise sind das:
Diese Ressourcen erhalten ihren Schutzbedarf nicht aus sich selbst heraus, sondern aus dem Prozess und den Informationen, die sie unterstützen. So ist ein CRM-System beispielsweise kritisch, weil darüber vertrauliche, integre und geschäftskritische Informationen des Vertriebs verarbeitet werden.
Genau an dieser Stelle wird auch die Risikoanalyse konkreter. Sobald nämlich klar ist, welche Ressourcen in welchem Prozessschritt welche Informationen verarbeiten, lassen sich mögliche Bedrohungen besser vorhersehen:
Der methodische Vorteil ist offensichtlich: Die Risiken werden an den Ressourcen greifbar, ihre Auswirkungen lassen sich aber wieder sauber auf Informationen und Geschäftsprozesse zurückführen. So entsteht die Verbindung, die Unternehmen für ein funktionierendes ISMS brauchen.
Gerade für Unternehmen, die mit dem Thema Informationssicherheit noch am Anfang stehen, ist das ein großer Gewinn. Denn der Vertriebsprozess zeigt klar, dass Informationssicherheit nicht neben dem Geschäft organisiert werden muss. Sie lässt sich entlang des Geschäfts denken.
Und genau dadurch wird NIS2 und die ISO 27001 für Organisation verständlich und bekommt einen klaren Fahrplan: Erst kommt der Prozess, dann erfassen wir Informationen, daraus entsteht der Schutzbedarf, anschließend leiten wir die Verfügbarkeit über die Business Impact Analyse ab und schließlich identifizieren wir die Risiken an den unterstützenden Ressourcen. So wird aus einem abstrakten Sicherheitsbegriff eine Methodik, mit der sich tatsächlich arbeiten lässt.
Melde dich, um direkt Kontakt mit Carsten aufzunehmen.
Wir freuen uns, dich mit inspirierenden Inhalten, aktuellen Veranstaltungen und Neuigkeiten zu versorgen.
.jpg)
.jpg)
.avif)
