Die ISO 27001:2022 behält in Kapitel 6.1 eine Neuerung, die bereits mit der letzten Aktualisierung der Norm (DIN ISO/IEC 27001:2015) eingeführt wurde, unverändert bei. Im Rahmen der Bestimmung der Ziele des Informationssicherheits-Managementsystems sind neben den altbekannten Risiken nunmehr auch Chancen zu bestimmen und einzubeziehen.

Was sind Chancen im Rahmen der ISO 27001?

Eine Chance im Sinne der ISO 27001 ist weit mehr als die schlichte Maximierung des wirtschaftlichen Gewinns. Chancen sollen vielmehr als Pendant zum Risiko verstanden werden, also als positives Gegenstück zu den Gefährdungen. In Anlehnung an das Qualitätsmanagement können etwa die Verbesserung und Optimierung der eigenen Produkte oder Leistungen eine Chance sein oder auch eine Steigerung der Effizienz.

Es ist beispielsweise eine Chance für Organisationen, ein gewünschtes Ergebnis künftig mit weniger Aufwand zu erreichen. Oder es wird eine andere vergleichbare Verbesserung erreicht, etwa wenn ein IT-Dienstleister die eigene Verfügbarkeit von 99 % auf 99,9 % erhöht.

Welchen Mehrwert haben Unternehmen durch die Definition von Chancen?

Die Chance wird nunmehr explizit in der ISO 27001 erwähnt und wird dadurch zum direkt schützenswerten Objekt. Aus diesem Grunde müssen Chancen in die Gesamtbetrachtung einbezogen werden und es ist auch darauf einzugehen, welche Risiken bestehen, also wodurch und wie erheblich diese Chancen gegebenenfalls bedroht werden.

Diese Überlegungen anzustellen ist sinnvoll. Gewonnene Erkenntnisse sind schließlich nicht nur für den Bereich der Informationssicherheit relevant, sondern können auch anderweitigen unternehmerischen Entscheidungen zugrunde gelegt werden. Denn das Erkennen von Gefahrenquellen für bestehende Chancen ist neben der informationssicherheitstechnischen Perspektive auch aus betriebswirtschaftlicher Sicht sehr interessant. So erhalten die künftige Ausrichtung und die Orientierung des Unternehmens durch die Anwendung der neuen ISO 27001 Norm einen geeigneten und erprobten Rahmen, der messbare Größen als Ergebnis liefert.

Sind Chancen und Risiken gleichbedeutend?

Es ist nicht sinnvoll, Chancen und Risiken automatisch gleichzusetzen oder gleich zu behandeln, da doch einige Unterschiede bestehen.

Risiken bestehen völlig unabhängig davon, ob sie erkannt wurden oder nicht. Die Nutzung einer Chance hingegen setzt zwingend voraus, dass sie erkannt und dann aktiv verfolgt wird. Chancen realisieren sich nicht von allein; Risiken schon.

Auch die Eintrittswahrscheinlichkeiten unterscheiden sich teils erheblich. Die meisten Risiken bestehen dauerhaft und bedrohen die Ziele des Unternehmens permanent, ohne dass der Zeitablauf hierauf Einfluss hätte. Chancen bieten sich dagegen oft nur zu einer bestimmten Zeit und Verzögerungen können sich drastisch auf die Möglichkeit auswirken, die Chance zu nutzen. Wenn sich beispielsweise neue Märkte öffnen oder neue Technologien verfügbar werden, so ist deren möglichst frühzeitige Erschließung bzw. Adaption zu den Anfangszeiten wesentlich rentabler als ein späterer Einstieg.

Fazit: Chancen im ISMS machen unternehmerischen Erfolg sichtbar

Neben den Risiken auch die Chancen zwingend in das Blickfeld zu setzen, ist sinnvoll. Denn Chancen und Risiken stehen oft in einem zumindest mittelbaren Zusammenhang.

Lässt ein Unternehmen Chancen dauerhaft außer Acht, wird dies ein wirtschaftliches Risiko darstellen. Anhaltende Stagnation bedroht irgendwann die eigene marktwirtschaftliche Stellung. Andererseits kann aber auch der Versuch, eine Chance wahrzunehmen, selbst ein erhebliches Risiko darstellen, denn auch Fehlinvestitionen können existenzbedrohende Wirkung entfalten.

Sind Chancen und Risiken gemäß ISO 27001 im ISMS definiert, ermöglicht dies die stetige Abwägung aus unternehmerischen und anderen Perspektiven; Erfolge und Fehler werden nachvollzieh- und messbar.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 erarbeiten wir mit unseren Mandanten konkrete Chancen mit Bezug auf die Informations-, IT- und Datensicherheit.