Operative Resilienz und Informationssicherheit

PrintMailRate-it

veröffentlicht am 24.03.2022

 

 

 

 

 

 

 

 

 

 

 

 

„Organizational Resilience is the ability of an organization to anticipate, prepare for, respond and adapt to incremental change and sudden disruptions in order to survive and prosper.” (Denyer, S. 5)

 

 

 

 

Evolutionäre Verbesserung der Resilienz

Diese vier Quadranten lassen sich aber auch evolutionär darstellen. In der Regel ist es so, dass präventive Kontrolle die erste vollzogene Maßnahme ist, das „sich wappnen” gegen Bedrohung. Risikomanagement, Redundanzen, Back-ups und trainierte Standardprozesse (COSO, COBIT, ITIL) mit Kontrollen und Kontrollsystemen sollen sicherstellen, dass die Organisation gegen Gefahren geschützt ist und im Falle einer Bedrohung schnellstmöglich wieder einen stabilen Zustand annehmen kann.

 

In einem zweiten Schritt wird darauf aufbauend ein System geschaffen, das mit bedachtem Handeln aktiv und flexibel auf Gefahren und Bedrohungen reagiert. Hierunter fallen aktives Monitoring, das Etablieren eines gezielten Security Incident und Event Managements (SIEM), Security Operation Center (SOC) und ähnlich gelagerte Maßnahmen. Ziel ist hier, gegen Bedrohungen aktiv anzugehen.

 

In einem dritten Schritt baut ein kontinuierliches Verbesserungsmanagement auf diesen entwickelten Kontrollen und Detektionsfähigkeiten auf. Bestehende Kompetenzen, verwendete Technologien und praktizierte Prozesse werden weiterentwickelt und ihre Leistung optimiert.

 

Eng damit verknüpft ist der vierte Schritt der Weiterentwicklung in unbekannte Märkte oder neue Technologien, sodass das Unternehmen sich erneuert und anpasst. Wenn ein Unternehmen auf diese Weise zum disruptiven Player in seiner Branche wird, kann es die kompletten Marktbedingungen verändern und sein Überleben dadurch gewährleisten, dass es an die Marktbedingungen besser angepasst ist als seine Konkurrenten: Beispielsweise wurden die Marktbedingungen der Automobilindustrie durch den Markteintritt von Tesla Motors als disruptives Unternehmen im Bereich Prozess- und Fertigungstechnik nachhaltig verändert, weil Tesla Autos anders „gedacht” hat als traditionelle Hersteller.

 

Diese vier Felder resilienzorientierten Handelns stehen jedoch in einem grundsätzlichen Spannungsfeld der beiden Dimensionen: Bekanntlich ist das Neue der Feind des Bestehenden. Und so stellt sich auch das Spannungsfeld in den Unternehmen häufig als Konflikt zwischen Entwicklung und Compliance dar.

 

Die eingangs zitierte Studie identifiziert zudem einen fünften Schritt, der in diesem Kontext gemeistert werden muss, um als Organisation erfolgreich überlebensfähig zu werden: Die Fähigkeit zum paradoxen Denken, denn alle vier Segmente des Handelns sind für das Überleben gleichermaßen notwendig. Der Verlust präventiver Kontrolle ist ebenso tödlich wie ein Abschmelzen der Innovations- oder der Reaktionsfähigkeit.

 

Organisationsintelligenz

Als Fähigkeit zur ständigen Aufmerksamkeit mit der Eigenschaft, komplexe Informationen schnell aufzunehmen, angemessen auszuwerten und darauf in geeigneter Weise und zielgerichtet zu reagieren sowie aus den Erfahrungen zu lernen, stellt Resilienz dabei im Kern eine Unterform der Organisationsintelligenz dar: Überlebensfähig sind intelligente, anpassungsfähige Organisationen.

 

Operative Resilienz in der staatlichen Aufsicht

Die Anforderungen des Staates an Organisationen (sei es über die KRITIS-Verordnung, über aufsichtsrechtliche Maßnahmen oder Schutzempfehlungen) zielen dabei nicht ausschließlich auf defensive und beständige, (d. h. konsistente) Handlungen ab, sie werden aber mehrheitlich so wahrgenommen. So wird im einschlägigen § 25a Absatz 1 KWG (Kreditwesengesetz) die Einrichtung eines Internen Kontrollsystems gefordert, während die Anforderungen in den nachgelagerten Ausführungsbestimmungen der BaFin ausgeprägt werden. Dies sind die Kontrollsysteme, die regelmäßig durch Interne und Externe Revisionen überprüft werden und sicherstellen sollen, dass die Organisationen grundsätzlich stabil und nachhaltig, d. h. zukunftsfähig geführt werden.

 

Mit der neuen Novelle der Aufsichtlichen Anforderungen an die IT ist nunmehr ein neues Kapitel „Operative Informationssicherheit” hinzugekommen, welches die Anforderungen an die Informationssicherheit nicht nur erhöht, sondern mit der Forderung nach zeitnaher Analyse und angemessener Reaktion auf sicherheitsrelevante Ereignisse (Tz. 5.5 BAIT) erstmals den zweiten Quadranten gezielt berücksichtigt. Diese Anforderung dient dabei dem aktiven, angepassten und vorausschauenden Schutz von für die Organisation wichtigen Informationen vor Verlust, Verfälschung, Missbrauch oder Diebstahl.

 

Bedeutung für die Beratungspraxis

Nach wie vor ist die Wahrnehmung vieler Organisationen stark auf die präventiv-konsistente Seite ausgerichtet. Die Entwicklung der Resilienzforschung in den letzten zehn Jahren hat sich in der beruflichen Praxis der Unternehmen noch nicht flächendeckend niedergeschlagen. Wo es anders ist, besteht häufig ein starker Konflikt zwischen Compliance-Funktionen und Markteinheiten im Bestreben, ihre Interessen gegeneinander zu verteidigen. Das gilt in ungleich stärkerem Maße für Unternehmen der freien Wirtschaft, die nicht staatlicher Aufsicht unterliegen und bei denen in Ermangelung externer Anforderungen an die Organisation in vielen Fällen kein umfassendes Verständnis von Resilienz vorhanden ist.

 

Uns als externen Prüfern und Beratern im Bereich IT kommt dabei eine entscheidende Aufgabe zu. Unser Ziel ist es, einen Mehrwert für unsere Mandanten zu schaffen. Das können wir nur dann, wenn wir im Gespräch kluge Fragen stellen und bessere Antworten liefern, als das Unternehmen sie selbst liefern kann. Auch in Prüfungen interner Kontrollsysteme sollte deshalb nicht nur die Frage gestellt werden, ob eine Kontrolle angemessen und wirksam ist. Die zusätzlich zu stellende Frage lautet immer: Wie entwickeln sie ihr Kontrollsystem weiter? Wie effektiv ist Ihr Prozess/Ihr System/Ihre Kontrolle? Wo soll er in einem Jahr stehen? Wie messen Sie das?

 

Kontaktieren Sie uns gerne.

 

Verweise

Bundesanstalt für Finanzdienstleistungsaufsicht. (15. 11 2021). Mittelfristziele. Von https://www.bafin.de/DE/DieBaFin/ZieleStrategie/zielestrategie_artikel.html abgerufenDenyer, D. (2017). Organizational Resilience: A summary of academic evidence, business insights and new thinking. BSI und Cranfield School of Management.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Datenschutzerklärung *

Einwilligung

Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu