Das Orakel von Delphi – Risikomanagement oder Kaffeesatzlesen

Legal Compliance wird von den Unternehmen ernst genommen. Doch wie aber kann man etwas ernst nehmen, das ein Witz ist? Was nutzen Basel II, BaFin, KonTraG, SOx und vieles mehr? Mangelhaftes Risikomanagement ist immer noch ein Kavaliersdelikt, wie vieles anderes.
Man lernt aus der Krise, wie ganze Finanzsysteme und deren Kontrollsysteme versagt haben, und es bedarf diesbezüglich keines weiteren Kommentares. Gesetze und Richtlinien haben nichts genutzt, obwohl alle braven Soldaten Schwejk alles zum Risikomanagement beigetragen haben, was mehr oder minder gefordert war. Dies gilt leider nicht nur für die Finanzbranche. Alle Branchen sind betroffen.

Vorschläge und die Bitten von Sicherheitsexperten an das damalige Wirtschaftsministerium von Frau Wiezcorek-Zeul einiges zu ändern, den Aufsichtsräten mehr Kontrollen zu ermöglichen und zu Ownern des Risikomanagements zu machen, wanderten mittels des sehr freundlichen Erstkontaktes auf den Tisch des Herrn Steinbrück beim Finanzministerium. Dieses fühlte sich nicht zuständig, und von dort aus wanderte es zu einem Sachbearbeiter des Justizministeriums. Herr Dr. Sachbearbeiter des JUM erklärte den Sicherheitsexperten, dass das alles nicht notwendig sei, und überhaupt, „la Liberté“ der Wirtschaft sei wichtiger als Aufsichtsräte zu nötigen, die ohnehin einen schlechteren Durchblick hätten, als die Herren Vorstände. Recht so. Es folgte das Ausmaß der Krise 2009 und noch immer ist kein Ende in Sicht.

Unsinnige, meist auf Kaffeesatzlesen und Aberglauben basierende Entscheidungen kosten die Steuerzahler Milliarden von Euro. Das Allerbeste ist, dass die Retter in der größten Not die Milliarden auf Paletten verteilt und versprochen haben, und selbst in dieser Notsituation kein Risikomanagement als notwendig erachteten. Das beste Beispiel war die Zusage von Milliarden Euro der Bundesregierung Merkel für die Adam Opel GmbH, wenn Magna Opel übernehmen würde. Der Hauptgeldgeber und Investor von Magna, eine russische Bank, war selbst kurz vor dem Ruin, doch man hätte ihr die Milliarden anvertraut ohne zu wissen, ob das Geld durch eine drohende Insolvenz verloren gewesen wäre, das musste erst das Fernsehmagazin Monitor aufdecken. Das macht nichts, es wären nur Steuergelder gewesen.

Die Lehre
Ein Unternehmen, das 100 Mio Euro wert ist, trägt das mathematische Risiko, beim Komplettausfall seiner IT über mehr als 7 Tage bei einer Ausfallwahrscheinlichkeit von 1: 1.000.000 pleite zu gehen,  von genau 100 Euro, was leider totaler Unsinn ist, aber selbst bei der Zertifizierung von Sicherheitsmanagern immer noch in dieser Form geprüft wird.

Historie
Ödipus, Gyges, Krösus, Themistokles, Chairephon, Alexander der Große, Pyrrhus, die Spende des armen Bauern und Julian Apostata. Was sagt uns das alles? Genau. Das Orakel von Delphi. Es hatte einen festen Ablauf. Etabliert war ein fester Prozess. Interpretiert wurde der Prozess von allen sehr unterschiedlich.

Ein Oberpriester besprengte eine junge Ziege mit eisigem Wasser. Blieb sie ruhig, fiel das Orakel für diesen Tag aus, und die Ratsuchenden mussten einen Monat später wiederkommen. Zuckte sie zusammen, wurde sie als Opfertier geschlachtet und auf dem Altar verbrannt. Nun konnten die Weissagungen beginnen… .

Das Soll
Risikomanagement dient allen Unternehmen um gesund zu bleiben, und um Liquidität und Arbeitsplätze zu erhalten. Dafür versucht man Bedrohungen zu erkennen, Risiken daraus abzuleiten, Eintrittswahrscheinlichkeiten und Schadenshöhen zu ermitteln und berichtet dies in regelmäßigen Abständen. Alle strategischen Abteilungen bzw. Fachbereiche eines Unternehmens führen lokales Risikomanagement durch, und berichten an die Zentrale, die alles konsolidiert und das Endergebnis für das Unternehmen aufbereitet. Andere erfüllen ihre Pflicht noch sorgsamer. Per Mikromanagement wird pro Projekt, IT-bezogen pro Infrastruktur, System bzw. Anwendung eine Schutzbedarfsanalyse durchgeführt, die ins Risikomanagement einfließt, als Teil des operationellen Risikomanagements, das in der Hauptsache den Fachbereichen dient. Fachbereiche machen das intern ähnlich – allerdings meist rein businessbezogen.
Man analysiert das Vorhaben, schaut sich das neue Objekt an, sucht Bedrohungen, die auf das Objekt wirken, leitet Risiken ab, ermittelt die Eintrittswahrscheinlichkeit und potentielle Schadenshöhen. Dann gibt man in Form einer Sicherheitsstellungnahme eine Empfehlung, und ordnet durch Abgleich mit seinem Regelwerk Maßnahmen an. Diese werden dann umgesetzt. Die Revision prüft später in der Produktion, ob das Projekt die Maßnahmen umgesetzt hat. Und so schließt sich ein Kontrollkreislauf. Alles wird letztendlich an den Vorstand berichtet.
Nun stellt sich die Frage, ob alles was an der Vorstand berichtet wird falsch oder nicht richtig ist, oder ob sich manche Vorstände für schlauer halten, und es ignorieren bei ihrer Entscheidung? Und was machen die Aufsichtsräte in einem solchen Fall? Kennen diese den Risikobericht und wissen diese, dass der eine oder andere Vorstand dagegen handelt? Hat ein Aufsichtsrat überhaupt einmal ein Risikobericht überprüft? Wie wird eine solche Entscheidung im Gremium gefällt? Wie werden die Aufsichträte zum Schweigen gebracht? Und bei Großunternehmen ist der Vorstand eines Tochterunternehmens meist Aufsichtsrat des Mutterkonzerns, wie es z.B. bei der Deutschen Bahn, und in vielen anderen Unternehmen der Fall ist. Und dass Berliner S-Bahnen Sicherheitsmängel haben, das wußte keiner von den Vorständen und Aufsichtsräten der Deutschen Bahn? Also werden Manager geköpft, aber weil diese zu viel wissen, nicht rausgemschmissen, sondern in ein anderes Tochterunternehmen verfrachtet und beschäftigt, sonst würde es drei Tage später im Spiegel stehen, dass es der Vorstand evt. doch wußte. In dieser Form  kann man natürlich auch Risikomanagement betreiben, oder Kaffeesatzlesen.

Das Ist
Ein Unternehmen etabliert Richtlinien. Richtlinien sind Vorgaben für Maßnahmen, die Risiken und damit Schäden verhindern sollen (wechseln Sie alle 5000 Betriebsstunden das Rad der S-Bahn!). Von diesem Standpunkt aus bilden sie die interne und externe (Sicherheits-)Politik des Unternehmens. Ein Unternehmen nutzt viele verschiedene Provider. Provider haben eigene Richtlinien. Aus Providersicht bilden eigene Richtlinien die interne und externe Politik des Provider-Unternehmens. Unternehmen und Provider-Unternehmen haben dazu noch allzu oft verschiedene Politiken und eingesetzte Standards, und bilden zusätzlich für Dienstleistungsabsichten SLAs mit ihren Kunden, oder die auf die Sicherheit bezogenen Security SLAs – SSLAs.

In Konstellationen des Outsourcings / Hostings kann es dadurch bedingt einen semantischen Bruch geben – die Richtlinie des Kunden versus (S)SLA aus dem Vertrag mit dem Provider. Kaum ein Unternehmen ist in der Lage dies einigermaßen ordentlich aufzusetzen. Bei individuellen Dienstleistungen ist dies einfacher als bei Pauschaldienstleistungen, die von mehreren Kunden des Providers genutzt werden, und bei denen die Politik des Providers (sehr oft auch durch den Erstkunden des Providers, der diesen Dienst nutzt) vorgegeben ist.

In solchen Fällen wird sehr häufig die Unternehmenspolitik der Pauschaldienstleistung angepasst, das (S)SLA mehr oder weniger in der Produktion gelebt, doch werden die eigenen Richtlinien meist hintergangen.

Damit das nicht sehr offensichtlich wird, setzen viele Unternehmen Restrisikoanalysen und –deklarationen ein, das beides in einem unterschriebenen Dokument endet, welches besagt, dass ein Jemand im Unternehmen verbleibende Risiken (bedingt u.a. durch das Delta “Richtlinie gegen (S)SLA” ) tragen wird, und die Dokumentation versandet meist in einer Ablage für unterschriebene Restrisikovereinbarungen, und wird evt. erst bei einer Revisionsprüfung wieder gezogen, wenn der interne oder externe Prüfer einen Verstoß oder eine Deviation feststellt.
Ein derartiger Prozess ist zwar für alle beteiligten extrem hilfreich und unbeschwerlich, doch nicht schlau, denn man legalisiert von vornherein einen Verstoß. Man nennt es sehr oft auch das Tragen eines Restrisikos. Früher wurde eine Restrisikovereinbarung von Fall zu Fall einmal erstellt. Heute ist es schon fast die Regel, das Alibi. Im Falle der Banken in Deutschland trägt leider der Unterzeichner dieses Restrisiko gar nicht, er unterschreibt dafür nur, er könnte es auch gar nicht tragen. Der Steuerzahler trägt es im Falle der Banken. Und das, obwohl die Banken Software und Applikationen im Wert einer dreistelligen Millionensumme einsetzen pro großem Institut, um solche großen Risiken zu vermeiden. Es ist alles im Einsatz was Rang und Namen hat, Reuters, Bloomberg, Collateral, gigabyteweise Programme.

Wenn jedoch das Risikomanagement der Bank mit diesen Systemen genauso gehandhabt wird, wie es beim operationellen Risikomanagement, wie weiter oben beschrieben, der Fall ist, dann hätte man die dreistellige Millionensumme besser für einen wohltätigen Zweck gespendet.

Ein souveränes mittelständisches oder kleines Unternehmen macht derartige Dinge erst gar nicht. Es würde ohne Wiederbelebungs- und Beatmungsgeräte des Steuerzahlers pleite gehen.

Bei Änderungen von Systemen, für die es Schutzbedarfsanalysen gibt, muss – wenn nicht toolgestützt – sich jemand daran erinnern und die alte(n) Schutzbedarfsanalyse(n) ziehen, um auf dieser Basis die Änderung zu bewerten. Was passiert mit der alten Schutzbedarfsfeststellung, wenn das neue Projekt sich auf ein älteres Projekt in den Sicherheitsklassifizierungen nach oben oder unten auswirkt? Sehr häufig fließen die alten Analysen jedoch prozess- und fehlerbedingt überhaupt nicht ein. Da wird rein das Neue betrachtet, auf dem der Fokus liegt.
Auch das nachträgliche Ändern einer alten Analyse stellt sich als schwierig dar, da mit dem Systemeigner des nun affektierten Systems bereits alles abgestimmt war. Alte Wunden aufreißen, das traut sich fast kein Verursacher, und meistens hat auch der Vorgesetzte des Projektleiters nicht daran gedacht, und somit hat niemand das Budget dafür, da dieses in den allermeisten Fällen nur für das neue Kernprojekt bestimmt ist, aber nicht für Nebenkriegsschauplätze.

Da es sehr oft für die Klassifizierung eines Objektes gar keine zentral gespeicherten Referenzen gibt im Unternehmen auf die alle Fachbereiche zugreifen können, gibt es für ein und dasselbe Objekt auch schon einmal unterschiedliche Klassifizierungseinstufungen in ein und demselben Unternehmen.
Auch die Eintrittswahrscheinlichkeiten und Schadenshöhen für gleichartige sicherheitsklassifizierte Objekte werden aus diesem Grund öfters unterschiedlich eingestuft bei jeder neuen Sicherheitsanalyse. Das ist nur sehr selten richtig. Es passiert hauptsächlich, weil es immer wieder neu durchgeführt werden muss, von unterschiedlichen Fachbreichen, Mitarbeitern, und dazu noch, wenn hochfluktuative externe Mitarbeiter aushelfen. 

Eine gepflegte Risikendatenbank hat kaum ein Unternehmen und ist wohl eher in der Rubrik Science Fiction zu finden. In 19 Jahren in der IT habe ich nur eine einzige gesichtet, die wirklich vorbildlich war. Eine einzige!

Es gibt noch ein weiteres Problem, das in den meisten Unternehmen historisch bedingt ist. Infrastrukturen wie SQL- oder Oracle Datenbanken, SAN oder NAS werden ohne ausführliche Planung in Betrieb genommen und wachsen über die Jahre. Das Problem dabei ist, dass die Datenablage in diesen Systemen von Anbeginn nicht nach Klassifizierungsstufen der Sicherheitspolitik erfolgte (da man das nicht geplant hat), sondern alles kreuz und quer gespeichert und verarbeitet wird. So verhindert sehr oft eine Datenbankadministration eines Unternehmens die Umsetzung der Sicherheitspolitik, und trägt damit nicht zur Reduzierung der Risiken bei. DB- bzw. SAN/NAS-Admins drohen meistens dem IT-Leiter damit, „das können wir nicht ändern“, „das stört die Produktion“, „eine Umstellungen kostet zig neue Lizenzen und Maschinen, die erst einmal benötigt werden“, um dies oder jenes einzuführen, was schon seit Jahren in den Richtlinien des Unternehmens fest geschrieben steht. Also werden die Maßnahmen herabgestuft oder gar ausgelassen, damit die Revision im Nachgang keinen Stress macht, denn den möchte weder der DB/SAN/NAS-Admin, noch die Sicherheitsabteilung. “Kontrollkreislauf adé“.  Ganz nebenbei erschwert eine unstrukturierte DB-/NAS-/SAN-Umgebung nach Sicherheitsklassifizierungsstufen auch die Umsetzung eines sicherheitsklassifizierten Netzwerkes. Wenn man ein Netzwerk sicherheitstechnisch strukturieren möchte, und muss an eine chaotische DB-/NAS-/SAN-Umgebung verbinden, dann nutzt die ganze Umsetzung der Sicherheitsklassifizierung im Netzwerk dem Unternehmen nichts.

Hinzu kommen die Sicherheitspolitiken der technischen Systeme. Einstellungen der Sensoren, die Risiken abwälzen sollen, Firewalls, IDS, IPS, Event Management Systeme, und Virenschutz. Im ungünstigsten Fall stellen diese noch einmal 5 weitere semantische Brüche dar, wenn nicht alles ins Event Management konsolidiert wurde. Mit einem konsolidierten Eventmanagement gibt es dann zumindest nur einen weitereren semantischen Bruch.

Hinzu kommt noch die Semantik der Paragraphen von Gesetzen, und damit die operative und legal Compliance eines Unternehmens.

Doch der Plan aller Unternehmen und der sehnlichste Wunsch sind, all diese Faktoren ins operationelle und damit in das Corporate Risk Management einfließen zu lassen.

Die meistverbreitesten Lösungen

  1. Platz 1. Voodoo
  2. Platz 2. Ein Excelsheet, das von einem Mitarbeiter gepflegt, und von 20 weiteren gelesen werden kann. Einer macht es. Alles ist drin. Das komplette Risikomanagement eines Unternehmens. Basta.
  3. Platz 3. Tools wie das Security Lighthouse, die Skybox und viele andere gute Tools. Gut, aber auch teuer, es besteht viel Anpassungsbedarf. Für die Überordnete Ebene nimmt man dann das Grundschutztool des BSI, oder ein kostenlos verteiltes Excelsheet eines Providers, da die meisten Hersteller die sehr sehr wichtige übergeordnete Ebene nicht bieten.  Alles basiert immer auf dem unzuverlässigsten, der Technik. Somit funktioniert damit nicht die Integration von anderen Unternehmenseinheiten wie z.B. Compliance, Revision, und Unternehmenssicherheit.
  4. Platz 4. Einmal im Jahr werden alle Risikobeauftragten mit einem Standardformular weltweit gebeten ihre Risiken zu berichten. Zig Einzelexcelformulare werden in ein DIN A1 Excelsheet übertragen, und dem Vorstand präsentiert. Die Zahlen werden dabei in Schriftgröße 8 gehalten, da es ansonsten nicht in DIN A1 passen würde. Keiner kann es lesen, alle hören nur zu. Man nehme zur Sicherheit und Präsentation dazu noch einen Beamer, der nicht stärker als 640 * 480 auflösen kann. Keiner fragt, alle nicken.
  5. Platz 5. Das machen Versicherungsmathematiker von Rückversicherungen gerne, denn die ganze Riege behauptet bereits schon nach drei kleinen Bieren, man könne es sowieso nicht berechnen. So nehmen sie lieber die eingetretenen Risiken der letzten 5 Jahre, addieren 15% darauf für die nächsten 2 Jahre, und 25% für weitere 3 Jahre, und präsentieren das Ihrem Vorstand in 23 mathematischen Gleichungen, von denen eine so lang ist, wie ein komplettes Whiteboard, und schon wird nach der dritten Gleichung alles von oben abgesegnet.  Tage wie ein 11. September hauen da ganz ungnädig rein. Gesprochen wird dann von “wir haben den Schanden überstanden”, was soviel heißt, wie “die Beiträge werden steigen”, weil wir kein Geld mehr haben. 
  6. Platz 6. Kein Risikomanagement oder doch lieber Platz 1.

So ein Jammer, dass man das Risikomanagement nicht komplett sondern nur in geringen Teilen outsourcen kann, speziell als Bank oder öffentliches Unternehmen. Früher dachte ich, dass es auch nicht sein sollte, denn jedes Unternehmen kennt seine Risiken am besten. Heute denke ich, man sollte diese Vorschriften alle vernichten und die Profis ran lassen, dann wird es mit Sicherheit besser, also zumindest in den Unternehmen, die so groß sind, dass niemand das Restrisiko tragen kann. Das Problem hierbei liegt in der Vertragsgestaltung und in der Übernahme von eingetretenen Schäden durch externe Unternehmen bei einer Falschberatung. Doch das sollte kein Problem sein, Wirtschaftberatungen machen ja bekanntlich auch viele Fehler, und existieren immer noch. Und was teilen uns die Konzerne mit? Sie verweisen auf Beratungsrechnungen der Big Four in mehrerer Millionenhöhe pro Jahr. “Was sollen wir denn noch alle machen”?

Die Lösung
Die Lösung kann nur eine toolbasierte Lösung sein, das ist klar. Menschen machen zu viele Ferhler und Voodoo und Excelsheet scheiden aus, kein Risikomanagement natürlich auch.

Es gibt etliche toolbasierte Lösungen, und alle gaugeln Ihnen vor am besten für ideales Risikomangement geeignet zu sein.

Das eine kommt aus der technischen Ecke, und bildet Sicherheit und Technik hervorragend ab. Es zeigt den Sicherheitsstatus online, den Patch- und Antivirus-Signaturlevel auf jedem Client und Server, der Status der IPS-Sensoren und die aktuellen Alerts, den Status der Firewalls, die Passwordpolicy auf der AS400 und vieles mehr. Es kann übergeordnet nicht auf einem semantischen Level zwischen Policy, Events und Organisation und Personal zusammenarbeiten.

Das andere kommt aus der technischen Ecke und wirbt für alle Firewall- und Konfigurations- Sicherheitsanalysen und „last and least“ für Vulnerability und Riskmanagement. Sie können sogar damit Risiken simulieren. Es kann übergeordnet auf einem semantischen Level zwischen Policy, Events und Organisation und Personal zusammenarbeiten, aber es basiert ganz stark technische Erkennntnisse, und lässt wenig Freiräume. 

Mit dem Grundschutztool stellt das BSI eine handhabbare Software bereit, die den Anwender bei der Erstellung, Verwaltung und Fortschreibung von IT-Sicherheitskonzepten entsprechend dem IT-Grundschutz effizient unterstützt. Es hilft bei der Modellierung des Schichtenmodells nach IT-Grundschutz, und bei der Erfassung schützenswerter Objekte. Es hat den Maßnahmenkatalog BSI-Grundschutzhandbuchs integriert und kann Maßnahmen zu den entsprechenden Objekten vorschlagen.

Der Cobit Management Advisor von Methodware Ltd. unterstützt das Verwalten und Identifizieren von IT-Risiken auf der Basis der Control Objectives for Information and related Technology. Es unterstützt in der Analyse von kritischen Erfolgs-, Ziel und Performancefaktoren. Das Tool ist web-basierend.

Callio Secura 17799 von Callio Technologies  unterstützt bei der Erfüllung des ISO 17799. Webbasierend bietet es Module an, um ein ISMS zu planen, einzurichten, operativ zu nutzen und zu zertifizieren. Es besteht aus einem Risk Assessment Modul, einem Richtliniengenerator und einem Berichtsmodul.

Das Baseline Tool von Swiss Infosec AG unterstützt bei der Verwaltung und Umsetzung von Sicherheitsmaßnahmen. Es enthält Policy sets basierend auf mehrere Normen wie ISO 17799, BS 7799  und Grundschutz. Es unterstützt die Inventarisierung von Schutzobjekten, der Zuordnung der verantwortlichen Funktionen, der Klassifizierung sowie der Umsetzung der IT-Sicherheitsrichtlinien pro Schutzobjekt. Das Tool unterstützt die Erarbeitung und Umsetzung von Sicherheitsrichtlinien. Es bietet Auditfunktionen wie u.a. die Einhalteprüfung der Richtlinien.

HiScout Security Management Edition (HiscoutSME) der HiSolutions AG ist ein lizensiertes Grundschutztool. Damit können Gruppen von Objekten angelegt werden, und den enthaltenen Grundschutzbausteinen zugeordnet werden. Automatisch werden die entsprechenden Maßnahmen vorgeschlagen. Neben dem GSHB können IT-Sicherheitsrichtlinien aus anderen Standards eingepflegt werden wie z.B. ISO 17799 oder ITIL, oder auch die unternehmenseigene Sicherheitsrichtlinie.

SecuMax von kronsoft unterstützt bei der Erstellung von Sicherheitskonzepten nach BSI Grundschutz.  Die Software verwaltet aber auch andere Sicherheitsstandards. Wer eine BSI- oder TÜV-Zertifizierung anstrebt, ist mit dem Tool nicht schlecht beraten. Im System können auch Datenschutzanforderungen hinterlegt werden. Die Hauptfunktionen, die das System bietet, sind Schutzbedarfsfestellung, Modellierung und Erstellung eines IT-Sicherheitskonzeptes nach IT-Grundschutz. Grundschutz bietet zusätzlich Maßnahmen,  Gefährdungen, IT-Systeme als Katalog. SecuMax erstellt Berichte in verschiedenen Formaten.

Das Archer SmartSuite Framework von Archer Technologies ist aus 5 unabhängigen Modulen aufgebaut und bietet:

  • Policy Management – alles rund um Sicherheitsrichtlinien (keine Standards)
  • Thread Management – Frühwarnsystem für Gefahren, Malware (verwaltet herstellerbezogen iDEFENSE, Symantec  und TruSecure
  • Asset Management – Verwaltet Objekte, Objektklassen, Verantwortlichkeiten, Schutzklassen, übernimmt Objekte von Drittanbietern über API
  • Risk Management – Risikoabschätzung mittels diverse Industriestandards, berücksichtigt (interne) Prozesse
  • Incident Management – Sicherheitsvorfälle, Eskalation und Forensik

Die Corporate Risk Expert Suite der Innomenta GmbH & Co. KG ist ein webbasiertes Risiko und Incident Management Tool. Es dient nicht nur informationellen Risiken und Standards, sondern ist ein übergeordnetes operationelles Risikomanagement Tool für das gesamte Unternehmen, und integriert als einen Teil von vielen die IT. Es ist ein offen konzipiertes System mit einem dahinterliegenden relationalen Datenbankmodell, und kann daher mit allen Standards (Grundschutz, BS 7799, ISO 17799, DIN ISO 27001, COSO I, COSO II, OpRisk, Basel II, SOx,  Cobit,  GCR, Sovency II, BilMoG, OR728a, URÄG, BilMoG, PCI DSS, ICFR) geladen werden, bzw. ausschließlich oder zusätzlich mit unternehmensinternen Standards.

Ganz nebenbei erfüllt sie auch alle Anforderungen eines Unternehmens an Sicherheitsrichtlinien, angefangen bei der Dokumentation, der Veröffentlichung, und der Zuordnung von Richtlinien an Objekte und Rollen, die aus dem Asset- sowie dem Identity Management per Importschnittstelle eingebunden werden können, bzw. aus dem mitgelieferten Respostitory selektiert werden können.

Ein vordefinierter Katalog von Objekten und Rollen wird geliefert. Objekte und Rollen decken die kompletten Anforderungen eines Unternehmens ab. Der CoRex ist es egal, ob Sie die Richtlinien/Direktiven für die Fuhrparkverwaltung laden und Objekten und Rollen zuordnen, oder die für eine Sun Sparc 480 geclusterte Hochsicherheitsserverumgebung im Devisenhandel.

Zusätzliche Objekte und Rollen können ganz leicht erstellt bzw. importiert werden. Leicht werden mit der CoRex Richtlinien zu Direktiven. Alle Direktiven können mit den Objekten und Rollen verknüpft werden. Für die vielen Objekte stehen zur leichteren Verwaltung Objektklassen zur Verfügung. Für alle Objekte und Klassen können Schutzbedarfsanalysen durchgeführt werden. Für alle Objekte können Standard- bzw.  individuelle Schutzklassen geladen/definiert werden. Ein Risikenkatalog rundet das Risikomanagement ab, der mitgeliefert wird, und sehr einfach erweiterbar ist.

Last und least zeigt die CoRex die Security Landscape des ganzen Unternehmens an. Die Umsetzung aller Direktiven für alle Bereiche kann per Report ausgegeben werden, bzw. detailliert gefiltert werden (Bereiche). Graphiken und Detailgraphiken unterstützen dabei.

CoRex basiert auf einem Schichtenmodell des ISMS. Es integriert 7 Schichten über 3 Dimensionen. Physische Sicherheit, Netzwerk, System, Anwendungen, Inhalte, Personal, Übergeordnetes bzw. Metastrukturen und Organisationseinheiten (Konzernsicherheit, Compliance, Recht, GRC, Informationssicherheit) werden dreidimensional auf Technik, Organisation und Personal angewandt.

Erweitert werden kann die CoRex mit einem Incident Management Modul, um auch alle internen und externen Geschäftsprozesse zu dokumentieren und in das Risikomanagement aufzunehmen.

Per API lassen sich technische Systeme wie z.B. das Security Lighthouse, Skybox und andere integrieren und liefern somit automatisiert die Security Landscape für die Dimension Technik in allen 7 Schichten.

Für alle Systeme müssen Sie Anpassungsaufwände von einem bis zu 12 Mannmonaten einkalkulieren. Die genannten Systeme in diesem Artikel kosten 0 Euro bis 2 Mio. Euro, je nachdem welches System man einsetzen möchte und je nach Betriebsgröße. Für die Anpassungsaufwände, in denen man die Systeme kaum nutzen kann, muss man als Opportunitätskosten die Lizenzkosten einkalkulieren für die nicht nutzbare Zeit, oder man handelt von vornherein mit dem Hersteller aus, das die Lizenzzeit erst mit der Produktivnutzung anfängt zu ticken. Somit können die Anpassungsaufwände und Opportunitätskosten mit weiteren 25.000 Euro bis 250.000 Euro zu Buche schlagen.

Das ist ein sehr breites Funktions- und Kostenspektrum bei den Risikomanagement Tools, aus dem sehr gezielt selektiert werden sollte. Es ist in jedem Fall bei der Auswahl eines Systems sehr ratsam, sich nicht nur ein Produkt auszuwählen, sondern sich zwei oder gar drei Testinstallationen von Favoriten zu leisten, und die Organisation die Handhabung testen zu lassen. Denn die Organisation muss es nutzen. Das sollte keine Entscheidung der IT sein.

In jedem Fall kann Risikomanagement heutzutage, wie es in 90% aller Fälle gehandhabt wird, nicht weiter betrieben werden. Man sollte sich wirklich einmal Gedanken machen, wie man Aufsichtsräte in den DAX-Unternehmen einstellt, die Bauernwirtschaft beseitigt, und ernsthaft darüber nachdenkt, welche Kompetenzen Aufsichtsräte haben sollten, denn wirkliche Kontrolle ist in den allermeisten Fällen nicht gegeben.

Ich sehe allerdings keine kurzfristige Lösung nach der Reaktion des Justizministeriums in Berlin. Für die ist alles in Butter. La Liberté der Ökonomie. 700 Mrd.  Euro und mehr kostet diese Freiheit den Steuerzahler.

Griechenland ist ein gutes aktuelles Beispiel für schlechtes Risikomanagement. Wenn ich schon weiß, wie korrupt mein Staat ist, und wenn europäische Institutionen schon berechnen, dass jeder Grieche pro Jahr ca. 1355 Euro Schmiergeld zahlt, dann rechne ich das in einem ordentlichen Risikomanagement hoch, dann weiß ich, was mir nach einigen Jahren blüht. Aber ohne Risikomanagement ist man auf das Geld anderer angewiesen. Und so ist das nicht nur bei den Griechen. Welcher Staat, außer vielleicht Norwegen hat denn seine Finanzen solide im Griff?

27.07.2010
Alexander Tsolkas