activeMind AG - ISO 27001 - Chancen

Die neue deutsche Version der ISO 27001 Sicherheitsnorm (DIN ISO/IEC 27001:2015) sieht vor, dass Unternehmen in ihrem Informationssicherheitsmanagementsystem (ISMS) sogenannte Chancen definieren. Dies wirft auf den ersten Blick einige Fragen hinsichtlich der Umsetzung auf. In diesem Artikel zeigen wir, wie mit dieser Anforderung an die Informationssicherheit im Unternehmen richtig umzugehen ist und welchen Mehrwert die Einbeziehung von Chancen im ISMS liefert.

Die Artikelserie zur DIN ISO/IEC 27001:2015

    Was sind Chancen im Rahmen der DIN ISO/IEC 27001:2015?

    Das Erfordernis der Aufnahme von Chancen in das ISMS geht aus Kapitel 6.1. „Maßnahmen zum Umgang mit Risiken und Chancen“ hervor. Demnach müssen künftig auch Chancen bei der Erreichung, Sicherung und Verbesserung der Informationssicherheitsziele berücksichtigt werden.

    Chance darf in diesem Zusammenhang jedoch nicht lediglich als die Maximierung des wirtschaftlichen Gewinns verstanden werden. Vielmehr soll es entsprechend dem Zweck der Norm auch als Pendant zum Risiko gesehen werden, also als positives Gegenstück zu den Gefährdungen des vorhandenen Bestands. Dies können in Anlehnung an das Qualitätsmanagement die Verbesserung und Optimierung der eigenen Produkte oder Leistungen sein oder auch eine Steigerung der Effizienz. Für einen IT-Dienstleister mit einer Verfügbarkeit von 99 % wäre beispielsweise die Erhöhung der Verfügbarkeit auf 99,9 % eine Chance im Sinne der ISO 27001 Norm.

    Welchen Mehrwert haben Unternehmen durch die Definition von Chancen gemäß DIN ISO/IEC 27001:2015?

    Durch die explizite Erwähnung in der Sicherheitsnorm erhält die Chance als solches den Charakter eines auch im Rahmen der Informationssicherheit zu schützenden Objekts. Aus diesem Grunde können Chancen beispielsweise in die Risikoanalyse einbezogen werden, was die Notwendigkeit einer konkreten Reflexion der bestehenden Chancen und deren Bedrohungen zur Folge hat.

    Die hierdurch gewonnenen Erkenntnisse sind nicht ausschließlich für den Bereich der Informationssicherheit relevant, sondern können auch anderweitigen unternehmerischen Entscheidungen zugrunde gelegt werden. Denn das Erkennen von Gefahrenquellen für bestehende Chancen ist neben der informationssicherheitstechnischen Perspektive auch aus betriebswirtschaftlicher Sicht sehr interessant. So erhalten die künftige Ausrichtung und die Orientierung des Unternehmens durch die Anwendung der neuen ISO 27001 Norm einen geeigneten und erprobten Rahmen, der messbare Größen als Ergebnis liefert.

    Sind Chancen & Risiken in der ISO 27001 gleichbedeutend?

    Eine vollständige Gleichbehandlung von Chancen und Risiken im Rahmen der DIN ISO/IEC 27001:2015 ist nicht immer sinnvoll, da gewisse Unterschiede zwischen beiden bestehen. So können Risiken beispielsweise unabhängig davon eintreten, ob sie erkannt worden sind oder nicht. Die Verwirklichung einer Chance hingegen setzt zwingend deren vorherige Erkennung voraus und ist stets von aktivem Tun abhängig. Chancen realisieren sich also nicht von allein, Risiken ggf. schon.

    Daneben unterscheiden sich auch die jeweiligen Eintrittswahrscheinlichkeiten. Denn ein Risiko ist im Regelfall eine permanente Bedrohung, die nicht durch Zeitablauf ihr Gefährdungspotential verliert, wie beispielsweise das Risiko eines Stromausfalls oder eines Datendiebstahls. Chancen hingegen stehen oft in einem wesentlich größeren Abhängigkeitsverhältnis zur Zeitkomponente, da der Gewinn aus der Wahrnehmung einer Chance proportional zur Verzögerung der Umsetzung sinken kann. Wenn sich beispielsweise neue Märkte öffnen oder neue Technologien verfügbar werden, so ist deren Erschließung bzw. Adaption zu den Anfangszeiten wesentlich rentabler, als nach Ablauf einer gewissen Zeitspanne.

    Fazit: Chancen im ISMS machen unternehmerischen Erfolg sichtbar

    Insgesamt erscheint die Aufnahme von Chancen in die Norm sehr sinnvoll, denn zwischen Risiken und Chancen besteht im Regelfall ein zumindest mittelbarer Zusammenhang. So kann beispielsweise das Außerachtlassen von Chancen für das Unternehmen ein wirtschaftliches Risiko darstellen, da eine anhaltende Stagnation die marktwirtschaftliche Stellung eines Unternehmens stark gefährden kann. Auf der anderen Seite kann der Versuch der Wahrnehmung einer Chance wiederum ein Risiko darstellen, da das Erreichen der Chance nicht garantiert werden kann. Unter Umständen können größere Fehlinvestitionen sogar eine existenzbedrohende Wirkung entfalten.

    Sind Chancen und Risiken gemäß ISO 27001 im ISMS definiert, ermöglicht dies die stetige Abwägung aus unternehmerischer und anderen Perspektiven; Erfolge und Fehler werden nachvollzieh- und messbar.

    Bitte bewerten Sie diese Inhalte!
    [4 Bewertung(en)/ratings]