Lieferanten müssen künftig Sicherheitszertifizierungen vorlegen. Davon geht der Antriebstechnikhersteller SEW Eurodrive fest aus. „Wir erwarten, dass gerade Autohersteller künftig Zertifizierungen insbesondere in sensiblen Bereichen wie Konstruktion verlangen werden“, sagt CIO Klaus Hoppe. Deshalb will das Unternehmen mit jährlichen Prüfungen belegen, dass es Sicherheit nachweisbar lebt.
Allerdings fehlte bisher ein Gesamtüberblick über alle Sicherheitseinrichtungen, sodass die IT grundlegende Fragen nicht beantworten konnte:
– Welche Assets gehören zu einem Geschäftsprozess?
– Welche Risiken sind mit diesen Unternehmenswerten verbunden, und wie hoch sind diese?
– Wie geht das Unternehmen mit diesen Risiken um?
Sicherheitsthemen diskutierte SEW nur punktuell. Vor allem gab es keine Methode, um den Einsatz der Sicherheitsvorkehrungen zu verwalten.
Als Methode entschied sich die SEW-IT für die Sicherheitsnorm ISO 27001 (International Organization for Standardization). Die Entscheidung fiel für eine ISONorm, weil ISO ein international anerkannter Standard ist. Zunächst zog SEW zwar die britische Norm BS 7799 in Betracht. Doch nachdem BS 7799 (British Standards) im Oktober 2005 mit der ISO 27001 international genormt wurde, schwenkte SEW auf die ISO-Norm um.
Seit Jahren zertifiziert SEW schon die Qualität der Abläufe nach ISO-9000. Bislang hat das Unternehmen die Qualitäts- und Sicherheitsprozesse getrennt beschrieben. „Das ist richtig aufwendig“, so Hoppe. Dies soll künftig gemeinsam geschehen, insbesondere wenn SEW die Geschäftsprozesse in den internationalen Standorten mit einbeziehen will. Denn Qualitätsprozesse schreiben dieselbe Methodik wie Sicherheitsprozesse vor; es ändert sich nur der Blickwinkel auf einen Prozess.
Anfang 2005 begann CIO Hoppe mit einer Bestandsaufnahme. Zertifiziert werden sollten die Bereiche Entwicklung, Implementierung sowie Betrieb und Support von IT-Dienstleistungen in den redundanten Rechenzentren in Bruchsal und Graben. Der Aufwand erwies sich weit höher als gedacht. „Wir haben die Beschreibung der Geschäftsprozesse und die Zahl der Assets unterschätzt. Es gab gut doppelt so viele Elemente, wie ich vorher vermutet hatte“, berichtet Hoppe.
Risiken bewerten und klassifizieren
Bei der Identifizierung und Aussortierung von mehrfach vorhandenen Assets half ein Informations-Sicherheits-Management-System (ISMS), das die ISO-Methodik abbildet. In diese ISMS-Toolbox von Anbieter Integralis flossen alle Beschreibungen der Geschäftsprozesse und IT-Elemente ein. Dabei bringt das Prozessbeschreibungs-Tool nicht nur Assets mit Geschäftsprozessen in Beziehung, sondern verbindet auch die Risiken von Assets und Sicherheitssystemen mit den Sicherheitszielen.
Bevor die ISMS-Toolbox ihre Arbeit aufnehmen konnte, definierte die IT zunächst zusammen mit der Geschäftsführung zehn Sicherheitsziele und ordnete sie nach ihrer Bedeutung. „Zwar gab es Geschäftsziele, doch die Sicherheitsziele daran auszurichten erwies sich als schwieriger als erwartet“, erinnert sich Hoppe. Anschließend baute SEW eine Klassifikation für die Risikoanalyse auf. Die Bewertung des Risikos eines Assets ergibt sich dabei aus der Multiplikation der drei Faktoren „potenzieller Schaden“, „Bedrohung“ und „Schwachstelle“:
1. Unter potenziellem Schaden versteht die IT, wie sich ein Asset-Ausfall auf die zehn Sicherheitsziele auswirkt. Der Schaden durch den Ausfall eines Assets wird hoch eingestuft, wenn eines der drei ersten Sicherheitsziele wie „Schutz der Innovationen“ betroffen ist.
2. Unter Bedrohung versteht die IT, wie wahrscheinlich ein Ausfall eines Assets ist.
3. Der Faktor „Schwachstelle“ bewertet die vorhandenen Sicherheitsmaßnahmen. Die Bewertung erfolgte nach den Kriterien, wie stark die Sicherheitseinrichtungen ausgeprägt sind, die den einzelnen Assets zugeordnet wurde: Gibt es beispielsweise nur eine Sicherheitskopie eines Assets, oder ist es redundant ausgelegt?
Alle drei Faktoren belegte die IT mit Kategorien von eins für „gering“ und drei für „hoch“. Wenn also die Faktoren „potenzieller Schaden“, Bedrohung“ und „Schwachstelle“ als hoch, also mit „Kategorie 3“, eingestuft werden, ergibt sich aus der Rechnung 3 x 3 x 3 der Risikowert „27“. Beispiel: Fällt ein Asset wie das Produktionssteuerungssystem zur Jobsteuerung aus, so erhält der Vorfall als potenzieller Schaden den Wert „3“. Es ist der höchste Gefahrenwert, weil der Ausfall das erste Sicherheitsziel betrifft: Kontinuität des Geschäftsbetriebs.
Ein technisches Versagen dieses Systems stellt eine hohe Bedrohung des Sicherheitsziels dar, sodass das System für das Kriterium „Bedrohung“ mit „3“ den größten Wert erhält. Weil aber das System redundant in beiden Rechenzentren läuft, ist ein technischer Ausfall unwahrscheinlich. Also erhält dieses Asset die niedrige Einstufung „1“ in der Kategorie „Schwachstelle“.
Aus der Multiplikation der drei Werte 3 x 3 x 1 ergibt sich das Ergebnis „9“. In der Klassifikation bekommt dieses Asset deshalb eine Einstufung im Bereich „Gelb“, was heißt: Für das Asset werden zurzeit keine weiteren Maßnahmen ergriffen, es bleibt aber unter Beobachtung. Wäre der Wert größer 9, läge es im roten Bereich, unter 9 im grünen. Insgesamt hat SEW 578 solcher Szenarien dokumentiert.
Kosten-Nutzen-Rechnung scheitert
Aus diesem Ergebnis resultieren Antworten auf die Frage, wie das Unternehmen mit den Risiken umgeht. „Wenn uns das Niveau zu niedrig erschien, haben wir Maßnahmen ergriffen, um das gewünschte Ziel zu erreichen“, sagt Hoppe. Diese Maßnahmen ergeben sich aus dem ersten Sicherheits-Audit durch den TÜV Süddeutschland im April 2006. Der TÜV prüft dabei nicht das Sicherheitsniveau, sondern ob das Sicherheits-Management-System den ISO-Kriterien entspricht. IT-Chef Hoppe erklärt: „Die ISO-Norm schreibt kein bestimmtes Sicherheitsheitsniveau vor. Sie legt nur fest, wie ein Sicherheits-Management auszusehen hat.“
Audits laufen nicht schematisch ab, sondern lassen freie Elemente zu. So verlangt der TÜV beispielsweise, direkt mit Mitarbeitern in den Fachabteilungen zu reden. Dort vergleichen die Prüfer die vorgesehenen Sicherheitsmaßnahmen mit dem tatsächlichen Handeln. Prüfungen führt SEW künftig ein Mal im Jahr durch, weil die ISO-Norm dies vorschreibt. „Durch die Zertifizierung weisen wir jetzt nach, dass wir Sicherheit leben und kontinuierlich verbessern“, resümiert Hoppe.
Ob sich die Ausgaben für Sicherheit und Zertifizierung rechnen, lässt dich nur schwer nachweisen. Über Kosten und Nutzen diskutieren IT und Geschäftsleitung bis heute. „Eine klare Kosten-Nutzen-Betrachtung ist uns bis heute nicht gelungen. Sie wird es wahrscheinlich auch nicht geben, auch wenn wir weiter daran arbeiten“, stellt Hoppe fest. „Ich bin skeptisch, ob diese äußerst schwierige Rechnung gelingen kann.“ Das liegt seiner Meinung nach auch daran, dass das Thema Sicherheit Wellen durchlebt: Wenn etwas passiert, ist es in aller Munde. Wenn aber ein halbes Jahr Ruhe herrscht, ist es eher lästig. „Letztlich ist die Entscheidung für Sicherheit ein Beschluss, der zur Geschäftspolitik gehört“, sagt Hoppe.