Worum geht es?
In der Praxis begegnet man immer wieder Szenarien, in denen Organisationen vor Beeinträchtigungen stehen, die ohne Weiteres vermeidbar gewesen wären. Grund hierfür ist, dass erst die eingetretene Störung bzw. der vorhandene Schaden registriert wird, nicht aber die klar vorhersehbare Entwicklung dorthin bemerkt wurde.
Zu oft beschränkt sich das Managementsystem vieler Organisationen in diesem Zusammenhang darauf, auf festgestellte Störungen bzw. Schäden zu reagieren. Ein proaktives Handeln erfolgt nicht.
Dabei wäre es zum Beispiel leicht möglich, etwa die Speicherbelegung eines Servers zu beobachten und darauf zu reagieren, wenn der freie Speicherplatz zur Neige geht. Stattdessen wird irgendwann bemerkt, dass das gesamte System nicht mehr verfügbar ist, weil die Platte vollgelaufen ist.
Im hier relevanten Zusammenhang von Kapitel 8.6 der ISO 27002 geht es allerdings nicht nur um Beeinträchtigungen aufgrund ausgefallener oder zu knapper Ressourcen. Auch der umgekehrte Fall wird angesprochen, dass durch vorhersehbare Veränderungen rechtzeitig darauf reagiert werden kann, wenn künftig in einem bestimmten Bereich deutlich weniger Kapazitäten notwendig sind.
Auch dies kann Organisationen im Ergebnis schwer beeinträchtigen, wenn etwa die laufenden Kosten die künftig geringeren Einkünfte nachhaltig übersteigen, die Verbindlichkeiten aber nicht rechtzeitig aus der Welt geschafft werden können. Hier droht mitunter die Insolvenz für ein grundsätzlich gesundes und voll funktionsfähiges Unternehmen.
Was empfiehlt die ISO 27002?
Wie bereits in der Einleitung angedeutet, ist für sämtliche Maßnahmen in diesem Kapitel die unverzichtbare Grundvoraussetzung, dass sowohl der aktuelle Verbrauch von Ressourcen als auch der künftige Bedarf der Organisation soweit möglich bekannt ist. Nur so ist eine rechtzeitige Reaktion möglich. Es muss also vielerlei gemessen werden und künftige Entwicklungen sind möglichst korrekt vorherzusehen.
Aus unserer Erfahrung heraus können wir folgendes Vorgehen hinsichtlich Kapitel 8.6 der ISO 27002 empfehlen:
- Die hier angestellten Gedanken gelten für jede Art Ressourcen. Es geht nicht allein um IT-Systeme. Gedacht werden muss an Räumlichkeiten, Geld, Personal, Lieferanten und alle anderen Einrichtungen und Partner, von denen eine Organisation abhängig ist. In Verbindung mit Räumlichkeiten und Personal ist dann auch an Luft, Licht, Wärme und Abwasser zu denken.
- Für alle Bereiche sollte festgestellt werden, welche Kapazitätsanforderungen bestehen. Betrachtet werden sollte hierbei nicht nur der Normallfall, sondern zumindest auch die vorhersehbaren Schwankungen, beispielsweise Spitzennutzungszeiten. Selbstverständlich kann und sollte hierbei auf die Kritikalität geachtet werden. Um jeden Preis immer und alle Kapazitäten bereit zu halten, wird selten sinnvoll sein. Eine solche Kapazitätsbestimmung sollte regelmäßig oder bei eingetretenen oder vorhersehbaren Änderungen von Rahmenbedingungen wiederholt werden.
- Im Hinblick auf mögliche künftige Veränderungen darf der Blick nicht allein auf die eigene Entwicklung gerichtet bleiben. Es sollten auch die Trends auf dem Markt verfolgt werden, auf das auch diese berücksichtigt werden können.
- Der festgestellte Bedarf sollte jeweils mit den tatsächlich verfügbaren Kapazitäten verglichen werden.
- Ist klar, dass sich ein bestimmter Bedarf künftig geändert, muss sichergestellt sein, dass er dann auch rechtzeitig gedeckt werden kann. Möglicherweise sind hier deutliche Vorlaufzeiten einzukalkulieren. Nicht jedes System und jeder Lieferant kann zu jedem beliebigen Zeitpunkt sofort eingekauft werden, nicht für jede Fachkraft kann kurzfristig ein geeigneter Nachfolger gefunden werden. Und auf beides hat es keinen Einfluss, dass man gewillt und in der Lage ist, die gegebenenfalls notwendige Investition zu tätigen. Die Frage des Geldes steht schließlich immer im Hintergrund. Alternativ kann es hier teilweise nur noch helfen, den eigenen Ressourcenbedarf zu verringern – falls möglich. Denkbar wären beispielsweise ein Technologiewechsel oder Outsourcing. Oder, mal ganz einfach gedacht, kann es auch helfen, nicht mehr benötigte Daten zu entsorgen und dadurch Platz in jeder erdenklichen Hinsicht zu schaffen.
- Jede Ressource sollte laufend oder zumindest in angemessen kurzen Abständen überwacht werden, um Entwicklungen festzustellen. Die Einrichtung geeigneter Monitoringmaßnahmen ist also notwendig.
- Je kritischer dabei ein Bereich ist, desto früherer sollte eine möglichst automatische Warnung abgesetzt werden, wenn bestimmte Schwellwerte erreicht sind. Um beim bereits oben genannten Beispiel zu bleiben: Dass die IT-Abteilung automatisch alarmiert wird, dass ein Server hängt, ist richtig und wichtig, aber vor dem hier behandelten Hintergrund nicht genug. Notwendig gewesen wäre die Meldung, dass eine ungünstige Tendenz besteht. Bevor es brennt, sollte man besser mitbekommen, dass es zu heiß wird.
Fazit
Um es auch hier am Ende des Beitrags nochmals wiederholen: In der Praxis ist es nach wie vor weitgehend so, dass Organisationen ausschließlich reagieren und dies eben oft, wenn es bereits zu spät ist. Das ist bedauerlich, da es meist mit gar keinem so großen Aufwand verbunden ist, die vielfach ohnehin vorhandenen Informationen auszuwerten und korrekt zu interpretieren. Sehr viele böse Überraschungen hätten sich bei nachträglicher Betrachtung ohne Weiteres vermeiden lassen. Offensichtlich braucht es allerdings regelmäßig den Anstoß durch einen geeigneten Fachmann, Organisationen aus der Reaktion hin zur Aktion und Proaktion zu bringen.
Da sich viele Verantwortliche mit den entsprechenden Fragen bislang nie beschäftigt haben, bestehen zusätzlich auch Hemmungen und Unsicherheiten, was denn überhaupt wie und in welcher Art zu messen und zu beurteilen ist. Bereits an der Feststellung etwa der Kühllast im eigenen Serverraum scheitern viele.