Informationssicherheit auf dem Prüfstand: Identifizierung und Minimierung von Restrisiken

„Der Teufel steckt im Detail.“ Wenn es um den Schutz und die Sicherheit von Informationen in Unternehmen geht, könnte dieses Sprichwort kaum zutreffender sein. Auch bei gut umgesetzten Frameworks offenbaren sich bei genauem Hinsehen oft noch weitere Restrisiken, die in Summe zu einem relevanten Risiko anwachsen können.

Unser Kunde nutzt ein internes Framework, das sich an den Anforderungen von ISO/IEC 27001 orientiert und um unternehmensspezifische Aspekte ergänzt. Die daran angelehnten Maßnahmen werden regelmäßig anhand von Bewertungsschemata auf ihre Compliance überprüft. Doch selbst wenn die Compliance einen gewissen Wert erreicht, der der Zielvorgabe im Bewertungsschema entspricht, können weiterhin Aspekte bestehen, die sich verbessern lassen. Gerade bei Informationssicherheitsthemen lohnt es sich, doppelt sicherzugehen. Darum entschied sich unser Kunde dafür, seine 48 Kontrollbereiche zu challengen. Im Rahmen einer CyberSecurityBoard-Challenge, kurz CSB-Challenge, sollten mögliche Unstimmigkeiten bei den Maßnahmen und daraus resultierende Restrisiken aufgedeckt werden. Während des laufenden Tagesgeschäfts war diese Aufgabe für den Kunden jedoch nur schwer umzusetzen. Daher beauftragte er die Sicherheitsexpert:innen von affinis damit, die Challenges durchzuführen, damit sie mit ihrem Fachwissen und ihrer Erfahrung unterstützen können.

Zunächst war es erforderlich, einen Arbeitsmodus zu konzipieren, der für alle am Projekt Beteiligten eine gute Lösung darstellte. Zudem haben sich unsere Expert:innen mit dem CSB-Framework und dessen Prozessen vertraut gemacht. In Verbindung mit ihrem Fachwissen hinsichtlich der ISO/IEC 27001 und dem Regelwerk stand der Durchführung der CSB-Challenge in Form eines „Mini-Audits“ nichts im Weg.

Zudem stützen fachliche Interviews die Challenge. Damit sich die Interviews auf einem bereits fachlichen Level bewegen konnten, war es vorbereitend erforderlich, die Kontrollen in einem einzelnen Framework-Control und dessen Nachweise aus der letzten Einreichung für ein Scoring zu sichten. Die Expert:innen von affinis verglichen die Nachweise daraufhin mit den geltenden Anforderungen aus dem Framework. Eventuelle Abweichungen oder Unzulänglichkeiten ließen sich somit direkt in den Interviews thematisieren. Das Expert:innenteam hinterfragte während der Interviews zudem den aktuellen Stand der Kontrolle und betrachtete diesen stichprobenartig genauer, um Zusammenhänge besser erschließen zu können. Mögliche Restrisiken, die durch die Anforderungen des Maßnahmenkatalogs nicht treffend genug adressiert werden, diskutierte das Team gemeinsam mit den Interviewpartnern. Im Anschluss bereiteten unsere Expert:innen die Interviewinhalte auf, formulierten eine Einschätzung der aktuellen Restrisikolage und leiteten Verbesserungsmaßnahmen ab.

Die Ergebnisse, die durch den gesamten Prozess gewonnen werden konnten, zeigten deutlich auf, wieso eine solche zusätzliche CSB-Challenge von großer Bedeutung für das Unternehmen war. Der angestrebte Zielzustand des Frameworks schien laut des Scores der Bewertungsskala erreicht, nichtsdestotrotz enthüllte die Challenge weitere kleinere Risiken. Diese können in Summe zu einem mittelgroßen Risiko heranwachsen. Die von unseren Fachleuten empfohlenen und priorisierten Maßnahmen ermöglichen dem Kunden eine umgehende Problembeseitigung. Dadurch fallen weitere interne Audits oder Prüfungen durch Kunden und Partner mutmaßlich besser aus als ohne den Maßnahmenkatalog. Die Zusammenarbeit fand größtenteils in der Umgebung und mit den Systemen des Kunden statt.

affinis war bedeutend für das Projekt, da die Umsetzung dieses Projekts für unseren Kunde während des laufenden Tagesgeschäfts nur schwer machbar gewesen wäre. So konnten die Mitarbeitenden in ihren operativen Projekten bleiben und der alltägliche Betrieb des Unternehmens wies weder Beeinträchtigungen noch Einschränkungen auf. Unsere Expert:innen bereicherten das Projekt mit ihrem fachlichen Know-how und der schnellen Einarbeitung in das spezielle Framework, wodurch sie die kundenspezifische Arbeitsweise gewinnbringend unterstützen konnten. Die Hilfe durch die externen Fachleute von affinis brachte ebenso Vorteile hinsichtlich ihrer neutralen Haltung gegenüber dem gesamten Konstrukt. Sie konnten das Projekt mit einem unvoreingenommenen Blick betrachten und so, gemeinsam mit unserem Kunden, eine innovative Lösung schaffen. Die Betrachtung des Verfahrens verlief objektiv und kritisch, was gerade unternehmensinternen, schwierig zu thematisierenden Aspekten zugutekam.

 „Die Leistungsbereitschaft und Arbeitsqualität der Expert:innen von affinis hat uns positiv überrascht. In Verbindung mit der Termintreue und der erfrischenden, zwischenmenschlichen Zusammenarbeit ist affinis der geeignete Partner für Projekte wie dieses.“ – Projektverantwortlicher auf Kundenseite

Die Zusammenarbeit kann bald fortgesetzt werden. Gemeinsam mit dem Kunden sind zwei weitere Projekte im Bereich der Informationssicherheit geplant, die eine vorgesehene Laufzeit bis ins dritte Quartal 2023 haben.