Operative Resilienz und Informationssicherheit

veröffentlicht am 24.03.2022

Kritische Infrastrukturen in Deutschland unterstehen bekanntlich besonderen Anforderungen, die ein Funktionieren dieser Strukturen auch in Ausnahmesituationen und Krisenfällen gewährleisten sollen, um die gesellschaftliche und staatliche Ordnung und die Grundversorgung aufrecht zu erhalten. Bedrohungen für die Infrastruktur können dabei konkret oder abstrakt sein, sie können kriminelle Handlungen Dritter (Erpressung durch Ransomware) ebenso beinhalten wie staatliche Organisationen (Stuxnet), Ausfälle durch technisches oder menschliches Versagen (Tschernobyl) oder Naturkatastrophen (Fukushima).

Es braucht keine Google-Suche, um zahllose Maßnahmen, Regelungen und Schutzkonzepte zu identifizieren, die sich mit der Sicherstellung einer Funktionsfähigkeit befassen. Angefangen beim Basisschutzkonzept Kritische Infrastrukturen von 2015 bis hin zu den branchenspezifischen Anforderungen, die sich im Aufsichtsrecht bspw. der Banken und Versicherungen niederschlagen. Im Mittelpunkt dessen seit 2001 und in immer größerem Umfang: IT-Infrastrukturen.

Das Internet (wie wir es heute kennen und wie Sie es gerade eben nutzen), ist das bekannteste Ergebnis militärischer Forschung, um Telekommunikation trotz eines großflächigen und nicht vorhersagbaren Ausfalls von Telefonleitungen zu gewährleisten. Anstelle der festen Telefonleitung wurde ein Netz aufgebaut, in dem von Knotenpunkt zu Knotenpunkt entschieden werden konnte, wie man Informationen zu einem Zielpunkt weiterleitet.

Unser Weg ins Büro, unsere internationale Zusammenarbeit, der Austausch mit Familie, Freunden, Kollegen und Mandanten über Signal, WhatsApp, TikTok, Tele- und Instagram basieren auf einer Infrastruktur und auf Technologie, die uns tagtäglich umgibt und die unseren Alltag maßgeblich beeinflusst und lenkt. Informationen sind das Öl des 21. Jahrhunderts und die Gewährleistung ihrer Sicherheit ist unverzichtbar für den Austausch geworden.

Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat im letzten Jahr nicht nur die 6. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) und die jeweiligen branchenspezifischen Anforderungen an die IT (BAIT/VAIT, etc.) definiert, welche sich undifferenziert an alle Institute der Banken- und Versicherungsbranche richten, sie hat am 15. November 2021 auch ihre neuen Mittelfristziele für den Zeitraum 2022-2025 veröffentlicht. Das zweite Ziel auf dieser Liste befasst sich mit „Operativer Resilienz”:

„Mit Blick auf die operative Stabilität und Sicherheit der von ihr beaufsichtigten Unternehmen und insbesondere deren Technologieplattformen achtet die BaFin auf die Resilienz dieser Unternehmen. Im Fokus stehen die Bekämpfung der stark zunehmenden Cyberrisiken und die Änderungen im Risikoprofil der Unternehmen durch die Fragmentierung der Wertschöpfungsketten, vor allem durch wesentliche Auslagerungen.” (Bundesanstalt für Finanzdienstleistungsaufsicht, 2021)

„Organizational Resilience is the ability of an organization to anticipate, prepare for, respond and adapt to incremental change and sudden disruptions in order to survive and prosper.” (Denyer, S. 5)

Evolutionäre Verbesserung der Resilienz

Diese vier Quadranten lassen sich aber auch evolutionär darstellen. In der Regel ist es so, dass präventive Kontrolle die erste vollzogene Maßnahme ist, das „sich wappnen” gegen Bedrohung. Risikomanagement, Redundanzen, Back-ups und trainierte Standardprozesse (COSO, COBIT, ITIL) mit Kontrollen und Kontrollsystemen sollen sicherstellen, dass die Organisation gegen Gefahren geschützt ist und im Falle einer Bedrohung schnellstmöglich wieder einen stabilen Zustand annehmen kann.

In einem zweiten Schritt wird darauf aufbauend ein System geschaffen, das mit bedachtem Handeln aktiv und flexibel auf Gefahren und Bedrohungen reagiert. Hierunter fallen aktives Monitoring, das Etablieren eines gezielten Security Incident und Event Managements (SIEM), Security Operation Center (SOC) und ähnlich gelagerte Maßnahmen. Ziel ist hier, gegen Bedrohungen aktiv anzugehen.

In einem dritten Schritt baut ein kontinuierliches Verbesserungsmanagement auf diesen entwickelten Kontrollen und Detektionsfähigkeiten auf. Bestehende Kompetenzen, verwendete Technologien und praktizierte Prozesse werden weiterentwickelt und ihre Leistung optimiert.

Eng damit verknüpft ist der vierte Schritt der Weiterentwicklung in unbekannte Märkte oder neue Technologien, sodass das Unternehmen sich erneuert und anpasst. Wenn ein Unternehmen auf diese Weise zum disruptiven Player in seiner Branche wird, kann es die kompletten Marktbedingungen verändern und sein Überleben dadurch gewährleisten, dass es an die Marktbedingungen besser angepasst ist als seine Konkurrenten: Beispielsweise wurden die Marktbedingungen der Automobilindustrie durch den Markteintritt von Tesla Motors als disruptives Unternehmen im Bereich Prozess- und Fertigungstechnik nachhaltig verändert, weil Tesla Autos anders „gedacht” hat als traditionelle Hersteller.

Diese vier Felder resilienzorientierten Handelns stehen jedoch in einem grundsätzlichen Spannungsfeld der beiden Dimensionen: Bekanntlich ist das Neue der Feind des Bestehenden. Und so stellt sich auch das Spannungsfeld in den Unternehmen häufig als Konflikt zwischen Entwicklung und Compliance dar.

Die eingangs zitierte Studie identifiziert zudem einen fünften Schritt, der in diesem Kontext gemeistert werden muss, um als Organisation erfolgreich überlebensfähig zu werden: Die Fähigkeit zum paradoxen Denken, denn alle vier Segmente des Handelns sind für das Überleben gleichermaßen notwendig. Der Verlust präventiver Kontrolle ist ebenso tödlich wie ein Abschmelzen der Innovations- oder der Reaktionsfähigkeit.

Organisationsintelligenz

Als Fähigkeit zur ständigen Aufmerksamkeit mit der Eigenschaft, komplexe Informationen schnell aufzunehmen, angemessen auszuwerten und darauf in geeigneter Weise und zielgerichtet zu reagieren sowie aus den Erfahrungen zu lernen, stellt Resilienz dabei im Kern eine Unterform der Organisationsintelligenz dar: Überlebensfähig sind intelligente, anpassungsfähige Organisationen.

Operative Resilienz in der staatlichen Aufsicht

Die Anforderungen des Staates an Organisationen (sei es über die KRITIS-Verordnung, über aufsichtsrechtliche Maßnahmen oder Schutzempfehlungen) zielen dabei nicht ausschließlich auf defensive und beständige, (d. h. konsistente) Handlungen ab, sie werden aber mehrheitlich so wahrgenommen. So wird im einschlägigen § 25a Absatz 1 KWG (Kreditwesengesetz) die Einrichtung eines Internen Kontrollsystems gefordert, während die Anforderungen in den nachgelagerten Ausführungsbestimmungen der BaFin ausgeprägt werden. Dies sind die Kontrollsysteme, die regelmäßig durch Interne und Externe Revisionen überprüft werden und sicherstellen sollen, dass die Organisationen grundsätzlich stabil und nachhaltig, d. h. zukunftsfähig geführt werden.

Mit der neuen Novelle der Aufsichtlichen Anforderungen an die IT ist nunmehr ein neues Kapitel „Operative Informationssicherheit” hinzugekommen, welches die Anforderungen an die Informationssicherheit nicht nur erhöht, sondern mit der Forderung nach zeitnaher Analyse und angemessener Reaktion auf sicherheitsrelevante Ereignisse (Tz. 5.5 BAIT) erstmals den zweiten Quadranten gezielt berücksichtigt. Diese Anforderung dient dabei dem aktiven, angepassten und vorausschauenden Schutz von für die Organisation wichtigen Informationen vor Verlust, Verfälschung, Missbrauch oder Diebstahl.

Bedeutung für die Beratungspraxis

Nach wie vor ist die Wahrnehmung vieler Organisationen stark auf die präventiv-konsistente Seite ausgerichtet. Die Entwicklung der Resilienzforschung in den letzten zehn Jahren hat sich in der beruflichen Praxis der Unternehmen noch nicht flächendeckend niedergeschlagen. Wo es anders ist, besteht häufig ein starker Konflikt zwischen Compliance-Funktionen und Markteinheiten im Bestreben, ihre Interessen gegeneinander zu verteidigen. Das gilt in ungleich stärkerem Maße für Unternehmen der freien Wirtschaft, die nicht staatlicher Aufsicht unterliegen und bei denen in Ermangelung externer Anforderungen an die Organisation in vielen Fällen kein umfassendes Verständnis von Resilienz vorhanden ist.

Uns als externen Prüfern und Beratern im Bereich IT kommt dabei eine entscheidende Aufgabe zu. Unser Ziel ist es, einen Mehrwert für unsere Mandanten zu schaffen. Das können wir nur dann, wenn wir im Gespräch kluge Fragen stellen und bessere Antworten liefern, als das Unternehmen sie selbst liefern kann. Auch in Prüfungen interner Kontrollsysteme sollte deshalb nicht nur die Frage gestellt werden, ob eine Kontrolle angemessen und wirksam ist. Die zusätzlich zu stellende Frage lautet immer: Wie entwickeln sie ihr Kontrollsystem weiter? Wie effektiv ist Ihr Prozess/Ihr System/Ihre Kontrolle? Wo soll er in einem Jahr stehen? Wie messen Sie das?

Kontaktieren Sie uns gerne.

Verweise

Bundesanstalt für Finanzdienstleistungsaufsicht. (15. 11 2021). Mittelfristziele. Von https://www.bafin.de/DE/DieBaFin/ZieleStrategie/zielestrategie_artikel.html abgerufenDenyer, D. (2017). Organizational Resilience: A summary of academic evidence, business insights and new thinking. BSI und Cranfield School of Management.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *

Datenschutzerklärung *Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.
EinwilligungJa, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.
Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.