Umfassendes Risiko- und Sicherheitsmanagement · Leitfaden Umfassendes Risiko- und Sicherheitsmanagement Der Leitfaden wird durch den Fonds für die Innere Sicherheit kofinanziert

Leitfaden

Umfassendes Risiko- und Sicherheitsmanagement

(unter Berücksichtigung der Ziele des Masterplans APCIP)

Version 1.0

RELEASE TO PUBLIC

Auftraggeber:

Gesamtzahl Seiten:

BM.I & BKA 34

Aufgabensteller: Anzahl Tabellen:

BM.I &BKA 3

Studienkennziffer: Anzahl Abbildungen:

entfällt 14

Wien, 20.11.2018

Koordinierender Verfasser: DI Wolfgang Czerni, MBA

Leitfaden Umfassendes Risiko- und Sicherheitsmanagement

Der Leitfaden wird durch den Fonds für die Innere Sicherheit kofinanziert. S 2 / 34

Vorwort

Gut funktionierende Dienstleistungen sowie Infrastrukturen tragen wesentlich zur öffentlichen Sicherheit und zur staatlichen Stabilität bei. Sie werden für alle Bürgerinnen und Bürger immer mehr zum Schlüssel für die Teilhabe am Wohlstand und an der Gesellschaft. Es ist daher ein vordringliches Ziel der Bundesregierung, bestimmte Einrichtungen und Leistungserbringer als sensibel zu erkennen und besonders zu schützen. Die Entwicklung des Österreichischen Programms zum Schutz kritischer Infrastrukturen (APCIP) 1 baut auf diesen Vorgaben auf. Das Programm ist Teil der umfassenden Sicherheitsvorsorge Österreichs. Die Umsetzung des Masterplans APCIP wird vom Bundeskanzleramt gemeinsam mit dem Bundesministerium für Inneres unter Einbindung der betroffenen Bundesministerien, der Bundesländer sowie der Interessensvertretungen und der betroffenen Infrastrukturbetreiber federführend koordiniert. Ein Ausfall bzw. eine Minderung der Leistungsfähigkeit von Kernprozessen staatlicher sowie privater Dienstleistungen mit erheblicher Bedeutung für die österreichische Bevölkerung hat unabsehbare Folgen. Es ist daher unbedingt notwendig, dass sich die Leistungsträger dieser Prozesse und Arbeitsschritte bewusst werden. Diese Abläufe müssen identifiziert und benannt werden können. Darüber hinaus ist es zwingend notwendig, deren absoluten sowie auch relativen Stellenwert innerhalb Österreichs qualifizierend und soweit wie möglich quantifizierend zu erkennen. In diesem Zusammenhang wird die Methode „Risikomanagement“ im Rahmen einer umfassenden Sicherheitsarchitektur als wichtiges Instrument für die Verfügbarkeit von wichtigen Dienstleistungen vorgestellt. Der Leitfaden beschreibt ein drei Säulenmodell für eine umfassende Sicherheitsarchitektur:

» Säule Risikomanagement » Säule Business Continuity Management-Betriebskontinuität » Säule Security Management

Basis dieser Betrachtungsweise ist ein hollistisches Verständnis der Methode „Risikomanagement“ Im internationalen Umfeld werden die Rahmenbedingungen für ein Risikomanagementsystem durch die ISO 31.000 „Risk management“ und ISO 31.010 „risk assessment techniques“, beschrieben. National determiniert die ONR-49.000-Normenreihe, „Risikomanagement für Organisationen und Systeme“ die Vorgaben zum Aufbau eines solchen Managementsystems. Unter dem Eindruck der Finanzkrise sowie auch unter der sich ständig veränderten allgemeinen Sicherheitslage in Österreich und in Europa unterliegt diese Sicherheitsarchitektur einem ständigen Wandel. Risiken, die durch das Marktumfeld bedingt sind, werden primär durch finanzielle Kenngrößen beschrieben. Strategisch wichtige Unternehmen müssen sich aber auch mit Risiken beschäftigen, die durch den Einsatz von komplexer Technik und durch Umweltgefahren ausgelöst werden. Darüber hinaus werden kriminelle Handlungen im Cyberraum wie auch Industrie- und Werksspionage immer häufiger und die Auswirkungen immer schwerer abschätzbar, da die Abhängigkeiten von einer gut funktionieren Informations- und Kommunikationstechnik immer größer werden. Business Continuity Management fasst somit die Vorbereitung und den Umgang auf solche Gefahren zusammen.



Im internationalen Kontext beschreibt der Begriff „Societal-Security“ die Einbettung von Unternehmen in die umfassende Sicherheitsarchitektur eines Staates. Die Anforderungen im Umgang mit möglichst allen Gefahren (ALL-HAZARD-APPROACH) wird daher durch die Normenreihe der ISO 22301 „Societal-Security Business Continuity Management System Requirements“ beschrieben. Eine Harmonisierung der Begrifflichkeiten hin zu einem „Sicherheitsmanagemt System (SMS) werden bzw. wurden in Österreich durch die ÖNORM S2412, S2413, S2414-1-2-3, Security Management System bzw. Resilienzmanagement beschrieben. Die hier aufgezählten Managementsysteme verfolgen alle das Ziel die Resilienz eines Unternehmens zu erhöhen. Der Leitfaden beschreibt daher u.a. auch den Transformationsprozess der einzelnen Teilaspekte Risikomanagement, Betriebskontinuität und Security Management hin zu einem Sicherheitsmanagement System. Der Leitfaden soll daher das strukturierte und systematische Ausrichten und Anpassen der Prozesse einer Organisation auf das Ziel, die materiellen und immateriellen Werte einer Organisation gegen alle denkbaren Gefahren zu schützen, unterstützen helfen. Aufbau und Form des Leitfadens

Der Leitfaden besteht aus drei Teilen:

» Beschreibung der Dreisäulensicherheitsarchitektur in Form von Grundlagen und Hinweisen.

» Selbstevaluation in Form eines strukturierten Fragenkatalogs in elektronischer Form. Er unterstützt bei der Identifikation möglicher Risiken für ACI-Unternehmen. Ziel der Fragen ist es, mögliche präventive und reaktive Sicherheitsmaßnahmen aufzuzeigen.

» Umfassende Informationen und Beispiele zu Risikomanagement, Business Continuity Management und Security Management.



Inhalt

1. EINFÜHRUNG 7

2. ZIELE DES LEITFADENS 8

3. RAHMENBEDINGUNGEN 8

DAS ÖSTERREICHISCHE PROGRAMM ZUM SCHUTZ KRITISCHER INFRASTRUKTUREN 9

SYSTEMATISIERUNG DER RAHMENBEDINGUNGEN 9

HILFESTELLUNG UND BEISPIELE 10

4. GRUNDELEMENTE EINER SICHERHEITSARCHITEKTUR 11

UMFASSENDE SICHERHEITSARCHITEKTUR FÜR STRATEGISCH WICHTIGE UNTERNEHMEN IN

ÖSTERREICH 12

BASISSCHRITTE ZU „UMFASSENDE SICHERHEIT“ 13

5. SÄULE RISIKOMANAGEMENT 14

PROZESS; AUFBAU EINES RISIKOMANAGEMENTS 14

PROZESS; IMPLEMENTIERUNG EINES RISIKOMANAGEMENTS 15

5.2.1 Grundelemente eines Risikomanagementsystems 15

5.2.2 Idealtypische Aufbauorganisation für das Risikomanagement 16 ZUSAMMENFASSUNG CHANCEN- UND RISIKOMANAGEMENT 18

HILFESTELLUNGEN UND BEISPIELE FÜR DAS RISIKOMANAGEMENT 19

6. SÄULE BUSINESS CONTINUITY MANAGEMENT 20

PROZESS; AUFBAU EINER ESKALATIONSFÄHIGEN BEWÄLTIGUNGSORGANISATION 20

PROZESS DER GEFAHRENIDENTIFIKATION 21

PROZESS DER VERWUNDBARKEITSANALYSE 22

PROZESS KRITIKALITÄTSANALYSE 22

PROZESS BEWÄLTIGUNGSPOTENTIALE 22

BEWÄLTIGUNGSPROZESSE 22

6.6.1 Prozess; Implementierung von Störungs-, Notfall- und Krisenmanagement 23

6.6.2 Minimalanforderungen für Störungs- Notfall- und Krisenmanagement 24 ZUSAMMENFASSUNG BUSINESS CONTINUITY MANAGEMENT 24

HILFESTELLUNGEN UND BEISPIELE CONTINUITY MANAGEMENT 26



7. SÄULE SECURITY MANAGEMENT 26

GEÄNDERTE GRUNDLAGENDEFINITION 27

VEREINFACHTER AUFBAU EINES SECURITY MANAGEMENTS 29

7.2.1 Technische/Bauliche Maßnahmen, Physische Sicherheit 30

7.2.2 Personelle Maßnahmen 30

7.2.3 Informationssicherheit 30 ZUSAMMENFASSUNG SECURITY MANAGEMENT 30

HILFESTELLUNGEN SECURITY MANAGEMENT 31

ABKÜRZUNGSVERZEICHNIS 32

QUELLENVERZEICHNIS 34



Abbildungsverzeichnis

Abbildung 1: Beispielhafte Zusammenstellung relevanter Normen 11

Abbildung 2: Umfassende Sicherheitsarchitektur 12

Abbildung 3: Drei Phasen einer umfassenden Sicherheitsarchitektur 13

Abbildung 4: Risikomanagementansatz 14

Abbildung 5 - Aufbauorganisation Chancen- und Risikomanagement 16

Abbildung 6 - Exemplarische Auf- und Ablauforganisation im Risikomanagement 17

Abbildung 7 – Erfolgsfaktor Risikomanagementdialog in Anlehnung an ÖNORM S2410 19

Abbildung 8 - Aufbau einer eskalationsfähigen Organisation 20

Abbildung 9: Prozesse im Continuity Management 21

Abbildung 10: Einteilung von Gefahren nach ÖNORM S2401 21

Abbildung 11: Eskalationspyramide 23

Abbildung 12 - Eskalationsstufen und Rückkehr zu einem definierten Sollzustand 23

Abbildung 13: Security Management System (gem. ÖNORM S 2413) 26

Abbildung 14 - Grundelemente des Security Managements 29

Tabellenverzeichnis

Tabelle 1 - Kurzübersicht über Gesetze zum Thema Risikomanagement (nicht abschließend) 10

Tabelle 2 - Aufbauorganisation des ChaRM 18

Tabelle 3: Vergleich der Aufgaben der ÖNORM S2403 zur ÖNORM S2413 29



1. Einführung

Eine komplexe Gesellschaft und eine moderne Wirtschaft zeichnen sich durch einen hohen Grad an Arbeitsteilung aus und benötigen zu ihrem optimalen Funktionieren eine Vielzahl von Infrastrukturen unterschiedlichster Art. Funktionierende Infrastrukturen wie auch Dienstleistungen werden für alle Bürgerinnen und Bürger immer mehr zum Schlüssel für die Teilhabe am Wohlstand und an der Gesellschaft. Sie tragen wesentlich zur öffentlichen Sicherheit und zur staatlichen Stabilität bei. Durch die intensiven Verflechtungen Österreichs in der EU mit dem Rest Europas - aber auch weltweit - nützt und benötigt Österreich nicht nur Infrastrukturen innerhalb seines Staatsgebiets, sondern auch Infrastrukturen außerhalb seines Territoriums. Der Grad der Interaktionen und Verknüpfungen wird auch in Zukunft weiter steigen, der Trend zur Globalisierung ist noch lange nicht abgeschlossen. Die verschiedenen Infrastrukturen ermöglichen erst den Austausch von Gütern und Dienstleistungen, sowohl in Österreich selbst als auch im internationalen Zusammenhang. Kritische Infrastrukturen sind somit jene Infrastrukturen oder Teile davon, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen haben. Ihre Störung oder Zerstörung hat schwerwiegende Auswirkungen auf die Gesundheit, Sicherheit, auf das wirtschaftliche und soziale Wohl der Bevölkerung oder auf die effektive Funktionsweise der privaten Wirtschaft oder staatlichen Einrichtungen. Vor dem Hintergrund der zunehmenden Abhängigkeit der Bevölkerung und der Wirtschaft von perfekt funktionierenden Infrastrukturen einerseits und eines ständig wachsenden Risikopotentials andererseits, ist die Sicherung kritischer Infrastrukturen ein wichtiger Faktor für die Standortsicherung „Österreichs“. Die vielfältigen Risikofaktoren

» reichen von mangelnder Qualifikation bis zu kriminellen Handlungen inklusive

organisierter Kriminalität und terroristischer Anschläge,

» liegen in der Art der Organisation der Unternehmen selbst wie hohe Konzentration,

Outsourcing, Logistik bis hin zu Beteiligungen,

» umfassen alle Natur-, Umwelt- und Technologiekatastrophen bis hin zu Epidemien,

» wachsen durch die Abhängigkeit von der Informations- und

Kommunikationstechnologie und deren Komplexität, Vernetzung und Mobilität und

» verstärken sich noch durch Wechselwirkungen und Dominoeffekte im Rahmen einer

hoch differenzierten Gesellschaft und Wirtschaft.

Es ist daher vordringlich, bestimmte Leistungserstellungsprozesse und Einrichtungen des Gesamtsystems als sensibel zu erkennen und besonders zu schützen.



2. Ziele des Leitfadens

Die öffentliche Hand versteht sich in der Umsetzung des Masterplans Schutz Kritischer Infrastrukturen als Dienstleister, der:

» Hilfestellungen bei der Identifikation von Gefahren und Bedrohungen für eine Organisation oder Unternehmung,

» Unterstützung bei der Identifikation von Verwundbarkeiten eines Unternehmens sowie

» Begleitung bei der Implementierung von Risiko- und Auswirkungs-Minimierungsmaßnahmen vor, während und nach Eintritt eines Schadereignisses anbietet.

Deshalb wird der vorliegende Leitfaden in Form einer umfassenden Checkliste elektronisch zur Selbstevaluation zur Verfügung gestellt, mittels dem an Hand eines Punktesystems die eigenen Stärken und Schwächen erkannt werden sollen. Selbstverständlich werden nicht alle Fragen für alle Organisationen vergleichbare Relevanz haben. Ziel der Selbstevaluation ist es, möglichst viele Aspekte einer „Umfassenden Sicherheitsarchitektur“ zu beleuchten. Anhand dieser Vorgehensweise können die unternehmenseigenen Risken beschrieben und bewertet werden, um das bestehende Risikomanagementsystem eines Unternehmens zu optimieren. Darüber hinaus werden auch die Vorkehrungen des Störungs-, Notfall- und Krisenmanagements erfasst, um die Auswirkungen von Störereignissen minimieren zu helfen.

Der Leitfaden hat das Ziel, den Aufbau und die Optimierung eines umfassenden Sicherheits- und Risikomanagements zu unterstützen. Die Fragen in der Selbstevaluation stellen Anregungen dar, um die Resilienz ihrer Organisation zu erhöhen.

Sowohl Leitfaden als auch die Selbstevaluation sind primär an die strategisch wichtigen Unternehmen, die kritische Infrastrukturen betreiben bzw. zur Verfügung stellen, gerichtet. Die beschriebenen Verfahren und Hinweise sollten aber auch für alle anderen Organisationen einen Mehrwert darstellen.

3. Rahmenbedingungen

Im Juni 2004 beauftragte der Europäische Rat die Kommission mit der Ausarbeitung einer umfassenden Strategie für CIP2. Die Mitgliedstaaten sollen für die identifizierten Infrastrukturunternehmen Operator Security Plans (OSP) und Security Liaison Officers (SLO) vorschreiben. Im Anhang II der Richtlinie werden dafür die Mindestanforderungen dargestellt. Ausdrücklich soll darauf hingewiesen werden, dass auch mittels administrativer Maßnahmen die Richtlinie umgesetzt werden kann: d. h. dass nicht nur gesetzliche Vorgaben, sondern auch passende internationale oder nationale Normen und entsprechende freiwillige Zertifizierungen die Vorgaben der Richtlinie erfüllen.



Das österreichische Programm zum Schutz kritischer Infrastrukturen

Die Entwicklung des Österreichischen Programms zum Schutz kritischer Infrastrukturen (APCIP) begann 2005 und baute auf den Erfahrungen der EU auf – es soll so weit wie möglich mit dem EU Programm inhaltlich abgestimmt sein. Das Ziel ist, die strategischen Infrastrukturen von nationaler, daher österreichischer Bedeutung zu identifizieren und durch präventive Maßnahmen und Maßnahmen zur Schadensbehebung vor Störung und Zerstörung zu bewahren, wobei die Maßnahmen aus einem umfassenden Sicherheitsverständnis abzuleiten sind. Die Erstellung einer Liste österreichischer strategischer Infrastrukturen war der erste Schritt zur Umsetzung der in APCIP definierten Ziele. Zuerst wurden die Einrichtungen der Verwaltung, insbesondere die Bundesministerien als strategisch wichtig eingestuft, da deren Tätigkeit von keiner anderen Organisation wahrgenommen werden kann. Es liegt ein Handbuch mit einem Leitfaden für ein Risikomanagement in den Ministerien und verfassungsmäßigen Einrichtungen vor, um diesen Prozess zu unterstützen. Eine Zusammenstellung von österreichischen Unternehmen mit strategischer Bedeutung muss mit der Gütergruppeneinteilung nach ÖNACE korrespondieren, um die Verbindung zur Input-Output Modellrechnung zu gewährleisten und damit volkswirtschaftliche Auswirkungen abschätzen zu können. Der Identifikationsprozess in Österreich basiert auf einem transparenten und mehrstufig aufgebauten Verfahren. Die Identifikation erfolgt wegen datenschutzrechtlicher Vorschriften ohne Einzeldaten der Statistik Austria und stützt sich auf am Markt erhältliche Datensätze ab. Drei Kriterien werden in Österreich angewendet: Redundanz, Höhe des Umsatzes und Anzahl der Beschäftigten je statistischer (ÖNACE) Klasse. Die Anzahl von Unternehmen jeder statistischen Klasse wird mit der Anzahl von Unternehmen der übergeordneten statistischen Abteilung in Verhältnis gesetzt. Daraus erkennt man die Anzahl der Möglichkeiten der alternativen Leistungserbringung (die Redundanz) und das Ergebnis sind „strategisch wichtige Klassen“. In diesen werden jene Unternehmen nach Größe aufgelistet, die gemeinsam entweder 80% des Umsatzes der Klasse erbringen oder 80% der Beschäftigten halten. In einem weiteren Arbeitsschritt werden die Ergebnisse mit den zuständigen Fachministerien und wenn möglich mit den Kammern, der Industriellenvereinigung und den Interessensverbänden abgestimmt. Im Ergebnis der Zielerreichung des APCIP Masterplans wird ein transparenter, politisch konsensual geprägter Auswahlprozess umgesetzt, mit dem auch die Frage der Priorisierung von Sektoren aufgelöst wird. Jedes gelistete Unternehmen erbringt strategisch wichtige Leistungen für die österreichische und somit auch für die europäische Volkswirtschaft, sei es gemessen an dem potentiellen Ausfall von Vorleistungen für andere Branchen oder der Anzahl der potentiell betroffenen Bürgerinnen und Bürger.

Systematisierung der Rahmenbedingungen

In Österreich sind über 300.000 Unternehmen tätig, die einer fast unüberschaubaren Anzahl an Gesetzen, Normen und Regelungen unterworfen sind. Gibt man in einer Rechtsdatenbank (http://www.ris.bka.gv.at) beispielsweise den Suchbegriff „Risiko“ ein, so erhält man weit über 1500 Gesetzes- und Verordnungstextpassagen, die sich mit „Risiken“ aller Art auseinandersetzen.

http://www.ris.bka.gv.at/



Der APCIP Masterplan sieht a priori keine gesetzesmäßige Verpflichtung zum Schutz kritischer Infrastrukturen vor. Er baut darauf auf, dass die gültigen Rechtsnormen und Regelungen zum Thema Sicherheit- und Risikomanagement bekannt sind. Für das Risikomanagement gibt es eine Reihe gesetzlicher Vorgaben. Beispiele dazu:

Tabelle 1 - Kurzübersicht über Gesetze zum Thema Risikomanagement (nicht abschließend)

Es existieren für alle wichtigen Risikobereiche wie Sicherheit im Sinne „Security“ oder Resilienzmanagement eine ständig steigende Anzahl an Managementnormen, die es zu erfassen gilt. Normen werden demokratisch und konsensual erarbeitet. Sie wurden alle unter dem Aspekt einer harmonisierten Vorgehensweise entwickelt, um Unternehmen, Organisationen aber auch Behörden in der Umsetzung und Implementierung von Sicherheitssystemen zu unterstützen.

Leitfrage an ihre Organisation: Gibt es für die verschiedenen Führungsebenen eine ausgewertete und bewertete Übersicht über die für das Risiko-, Sicherheits- und Resilienzmanagement relevanten Gesetze und Normen im Unternehmen?

Empfehlung:

Szenarkataloge erarbeiten und die wesentlich zu berücksichtigenden Regelungen exemplarisch anführen; Erarbeitung eines Normen- und Rechtsregisters bzw. Ankauf von kommentierten Normen- und Regelwerken

Hilfestellung und Beispiele

Nr. Hilfestellung und Beispiele

H01 Aufstellung von Gesetzen, Verordnungen, Normen und Richtlinien, zugeordnet zu Risiko-, Störungs-, Notfall- und Krisenmanagement bzw. Securitymanagement

H02 Rechtsregister, Vorlage von Paragraphen zu „Abteilungen“ einer fiktiven Firma als Grundlage für die Rechtsabteilung bzw. die Stabsfunktion Recht in einem Krisenstab

Gesetz Kurzbeschreibung

UGB, Unternehmensgesetzbuch Bundesgesetz über besondere zivilrechtliche Vorschriften für Unternehmen §243, §267 udg.

Aktiengesetz/GmbH Gesetz §81 Bericht an den Aufsichtsrat, §82 Buchführung, §92 (4a) Z4 Überwachung Wirksamkeit des Risikomanagements, §26 GmbH Gesetz

IRÄG/URG §1, Abs.2 und Abs.3, §6,§10, §11, §22 Abs.1,

RLÄG Vgl. §267 Abs.1 UGB und §243 UGB

URÄG §237 Abs. 8a, §266 Z 2a UGB

Verbandsverantwortlichkeitsgesetz Im Wesentlichen Sorgfaltspflichten, legt auch Sanktionen fest. Insbesondere §3 beachten.



4. Grundelemente einer Sicherheitsarchitektur

Die Normenlandschaft für „Sicherheitsmanagementsysteme“ in Österreich hat sich in den letzten Jahren stark verändert. Grundsätzlich werden technische Normen für die Festlegung von Mindestsicherheitsstandards definiert. Diese sind in der Regel bei fast allen Organisationen auf dem Stand der Technik umgesetzt. Parallel dazu haben sich mehrere Managementnormen entwickelt, die die organisatorischen Herausforderungen einer umfassenden Sicherheitsarchitektur umsetzen helfen sollen. Eine nicht abgeschlossene Übersicht gibt die nachfolgende Abbildung.

ISO 31.000 Guidelines

ONR 49.000Begriffe Grundlagen

ISO 31.010 Risk assessment techniques

ONR 49.001Risikomanagement

ONR 49.002-1Leitfaden Einbettung

ONR 49.002-1Leitfaden

Beurteilung

ONR 49.002-1Leitfaden

Notfall&Kontinuität

ONR 49.003Anforderungen an die Qualifikation

ÖNORM S2412Security

Management System – Benennungen


Management System – Grundlagen

ÖNORM S2414-1Security

Management System –Infosicherheit


Management System – Physische


Management System – Resilienz


Management System –Anforderungen


Management System –Qualifikation

ISO 22.301 Societal Security

ISO 22.313 Societal Security

BCM-Leitlinie

ISO 9.001 Qualitäts-

management

ISO 14.001Environmental management

ISO 27.001Informations-

sicherheit

ISO 20.000-1Informations-

technologie

ISO 28.001Security Supply

chain

ISO 22.300 Sicherheit und

Resilienz Vokabular


Management Objektschutz

Risikomanagementsysteme Securitymanagementsysteme Kontext-Managementsysteme

Abbildung 1: Beispielhafte Zusammenstellung relevanter Normen

Mit Blick auf die europäischen und nationalen Programmvorgaben aus EPCIP und APCIP wird die Implementierung einer umfassenden Sicherheitsarchitektur, basierend auf mindestens drei Säulen formuliert:

» Umfassendes Risikomanagement zur Identifikation aller Risiken für die Organisation

» Eine entsprechende „Betriebskontinuitätsplanung“ im Umgang mit eingetretenen Risiken bzw. für die Bewältigung von Gefahren aller Art

» Aufbau und Implementierung eines „Securitymanagements“



Umfassende Sicherheitsarchitektur für strategisch wichtige Unternehmen in Österreich

Abbildung 2: Umfassende Sicherheitsarchitektur

Da viele strategisch wichtige Dienstleister „Multi Utility“ Unternehmen mit z. T. vielen internationalen Beteiligungen sind, stellen die ÖNORM-Regel (ONR) 49000ff sowie die ISO 31000 (Risk Management) und die ISO 31.010 (Risk Assessment Techniques) die Basis dieser Architektur dar. Eine unternehmensweite Sicht unter Berücksichtigung aller relevanter Potential- und Gefahrenfelder und unter Einbeziehung aller Führungsebenen in der Organisation wird gefordert. Es werden somit nicht nur externe Einflussfaktoren (Terrorismus, Naturgefahren, reputative Risiken etc.), sondern auch unternehmensinterne Risikofaktoren, wie IKT Risiken, organisatorische Risiken sowie finanzielle Risiken betrachtet. Darüber hinaus wird zumindest die Beschäftigung eines „Experten für Risikomanagement“, zertifiziert nach ONR 49003, im Unternehmen empfohlen. Aufbauend auf den erkannten Risiken eines Unternehmens wird die Eskalationsfähigkeit eines Unternehmens angesprochen. Darunter wird das Definieren von Ressourcen und Verfahren in den bzw. für die verschiedenen Eskalationsstufen Störung-, Notfall- und Krisenmanagement gemäß der ÖNORM S24023, ÖNORM S2412 bzw. ÖNORM S2414-3 empfohlen. Das Festlegen und Bereitstellen von Ressourcen und Verfahren zur Bewältigung von Schad- bzw. Störereignissen mit vorhersehbaren aber auch mit unbestimmten Auswirkungen wird gemäß der ÖNORM S2401 bzw. S2412 als „Business“ Continuity Management verstanden. Parallel dazu soll und muss sich ein Unternehmen auch mit sogenannten intentionalen Gefahren auseinandersetzen und diese bewältigen können. Unter intentionaler Gefahr wird eine kriminelle Attacke gegen Personen im Unternehmen oder gegen das Unternehmen selbst verstanden. Das Security Management gemäß ÖNORM S2403 bzw. ÖNORM S2413 definiert Schutz- und Bewältigungsmaßnahmen und Prozesse für bzw. gegen kriminelle Handlungen. Darunter werden aber auch die Vorgaben und Schutzmechanismen subsumiert, die in der ISO 27000ff (Information Security Management Systems Requirements) und im IT-Sicherheitshandbuch des Bundeskanzleramts4 veröffentlicht sind und als Stand der Technik

Resilientes strategisch wichtiges Unternehmen

Risiko-management

Business Continuity Management

Security Management

Elemente einer umfassenden Sicherheitsarchitektur

Eskalationsfähige Organisationsstruktur



angesehen werden. Im Detail beschäftigt sich die ÖNORM S 2414-1 mit den Schnittstellen ISO 27.001 und Informationssicherheit.

Leitfrage an ihre Organisation: Wird im Risikomanagement ein „All-Hazard Approach“ verfolgt und dient der Risiko- und Szenarkatalog dazu, die verschiedenen Eskalationsstufen Störung, Notfall- und Krise einzugrenzen bzw. zu definieren?

Empfehlung:

Abstützung auf Fachpersonal wie: » Zertifizierter Risikomanager nach ONR 49.003 » Beschäftigung von Personal, das die Anforderungen der ÖNORM S2415-2 erfüllt bzw.

bestehende Zertifizierungen nach ÖNORM S2401 » CISOs mit entsprechenden einschlägigen Fachkenntnissen im ISMS gemäß der 27.000ff » CSO, der den Qualifikationen gemäß der kommenden ÖNORM S2415-2 entspricht

Basisschritte zu „Umfassende Sicherheit“

Der Aufbau und die Implementierung einer umfassenden Sicherheitsarchitektur wird in drei Phasen beschrieben:

Abbildung 3: Drei Phasen einer umfassenden Sicherheitsarchitektur

Es wird davon ausgegangen, dass Unternehmen mit strategisch wichtiger Bedeutung für Österreich bereits ein etabliertes Risikomanagementsystem eingeführt haben. In der Regel sind diese Risikomanagementsysteme stark auf die Betrachtung von „finanziellen“ Risiken ausgelegt. Ein ganzheitlicher „Sicherheits- bzw. Resilienzansatz“ existiert in der Regel nicht. Aus diesem Grund werden alle Entwicklungsphasen idealtypisch beschrieben.

Vorbereitung

•Aufbau/Anpasssung des Risikomanagements

•Aufbau/Anpassung einer eskalationsfähigen Bewältigungsorganisation im Unternehmen

•Aufbau eines Securitymanagementsystems

Bewältigung

• Nachweis der Wirksamkeit der getroffenen Maßnahmen zur Risikominderung sowie

•Nachweis der Effektivität der Eskalationsfähigkeit bei Eintritt eines Schadereignisses

Evaluation

•Lessons Learned Prozess - Umsetzung von Erfahr-ungen der Organisation

•Weiterentwicklung der Organisation anhand von Key Performance Indikatoren



5. Säule Risikomanagement

Man hat in der jüngsten Zeit erkannt, dass ein auf Einzelrisiken beschränktes Risikomanagement keine umfassende Verbesserung der Beherrschung von Risiken in Unternehmen nach sich zieht. Die Neuausrichtung erfordert daher eine übergeordnete Managementstruktur. Der Leitfaden unterstreicht, dass der Bottom-Up getriebene Risikomanagementansatz durch einen strategie- und strukturorientierten Top-Down Ansatz zu einem ganzheitlichen Managementansatz zusammengeführt werden sollte.

Abbildung 4: Risikomanagementansatz

Prozess; Aufbau eines Risikomanagements

Strukturiertes Risikomanagement lässt sich mit folgenden Punkten beschreiben:

» Durch einen systematischen und strukturierten Prozess wird bei den MitarbeiterInnen und der Führung des Unternehmens ein bewusster Umgang mit Chancen und Risiken ermöglicht

» Frühzeitige und systematische Erkennung neuer Chancen und Risiken für das Unternehmen

» Chancen und Risiken werden in den Steuerungs-, Planungs- und Entscheidungsprozess des Unternehmens systematisch miteinbezogen

Für strategisch wichtige Unternehmen in Österreich ergeben sich daher folgende Ziele:

» Überleben der Organisation sicherstellen

» Ziele und Strategien mit der Risiko- und Eskalationsfähigkeit abgleichen

» Qualität, Effizienz, Effektivität und Wirksamkeit von (Führungs-)Prozessen verbessern

» Planungssicherheit erhöhen

» Bedürfnisse von Kunden und Partnern befriedigen

» Sicherheit der Mitarbeiter, der Umwelt gewährleisten

» Sicherheit und Verfügbarkeit von Infrastrukturen und Dienstleistungen erhalten

» Schutz von materiellen und immateriellen Werten

» Transparenz, Sicherheit und Vertrauen bei allen Stakeholdern5 herstellen

Strategie

Schnittstelle:

Strategie-Operative

Risikoaggregation

(Operative) Einzelrisiken



Prozess; Implementierung eines Risikomanagements

5.2.1 GRUNDELEMENTE EINES RISIKOMANAGEMENTSYSTEMS

Der Leitfaden geht davon aus, dass die Vorgaben der ISO 31.000, ISO 31.010 und der ONR 49000-49003 in der aktuellen Fassung im Unternehmen bekannt sind. Die Implementierung von branchenspezifischen Risikomanagementsystemen ist grundsätzlich erwünscht6. Folgende Grundelemente werden für strategisch wichtige Unternehmen als unbedingt notwendig erachtet:

» Schriftliche Festlegung des Chancen- und Risikomanagementsystems, Festschreibung von Rahmenbedingungen, Rollen- und Prozessbeschreibungen sowie Dokumentationspflichten

» Festlegung der Verantwortung der verschiedenen Führungsebenen, insbesondere die der obersten Führung inkl. Vorgaben der Risikopolitik und Risikostrategie

» Bereitstellung und Management von Ressourcen für das Chancen- und Risikomanagement

» Implementierung und Befüllung des Chancen- und Risikomanagement-Prozesses selbst

» Überwachung und Kontrolle

» Implementierung eines KVP (Kontinuierlicher Verbesserungs-Prozess)

» Nachweis der Wirksamkeit der getroffenen Risikominimierungsmaßnahmen

Leitfrage an ihre Organisation: Ist der Risikomanagementprozess inkl. der Prozesse zum Nachweis der Wirksamkeit der getroffenen risikominierenden Maßnahmen allen Führungskräften bekannt?

Empfehlung:

Die Grundelemente in einem internen „Risikomanagementhandbuch“ für die jeweilige Organisation festschreiben (vgl. dazu Hinweis 4)



5.2.2 IDEALTYPISCHE AUFBAUORGANISATION FÜR DAS RISIKOMANAGEMENT

Geht man einmal davon aus, dass im Unternehmen noch kein etabliertes Chancen- und Risikomanagement existiert, so werden folgende Teilschritte notwendig:

Abbildung 5 - Aufbauorganisation Chancen- und Risikomanagement

Etablieren:

» Festlegen der risikopolitischen Grundsätze

» Vorgaben für die Erarbeitung eines Handbuchs

» Vorgaben für eine einheitliche Chancen- und Risikoidentifikation Organisieren:

» Aufbauorganisation und deren Kommunikation regeln

» Prozesse und Instrumentarien dafür bereitstellen

» Chancen- und Risikokatalog erarbeiten

» Chancen- und Risikoaggregation regeln bzw. simulieren

» Controlling und Berichtswesen festlegen Implementieren:

» Chancen- und Risikomanagement Kalendarium festlegen

» Ziele formulieren, abstimmen und die

» Integration in bestehende Steuerungsinstrumente regeln

Etablieren Organisieren Implementieren



Die nachfolgende Abbildung soll exemplarisch eine komplexe Konzernstruktur mit einem Chancen- und Risikomanagement darstellen:

Abbildung 6 - Exemplarische Auf- und Ablauforganisation im Risikomanagement

Die in den Teilprozessen definierten Aufgaben werden den Führungsebenen exemplarisch wie folgt zugeordnet: Legende: ChaR-M: Risikomanager CO: Controlling GF: Geschäftsführung AR: Aufsichtsrat LO: Ausgewählte MitarbeiterInnen der Linien-Organisation A: Abstimmung D: Durchführung

Nr. Aufgabe

Ch

aR

-M

CO

GF

/ V

ors

tan

d

AR

Sp

ezi

ali

ste

n

LO

1 Erarbeitung eines Mission-Statements für das ChaRM

D A A

2 Entwicklung einer unternehmensweit einheitlichen Chancen- und Risikodefinition

D A A

Vorstand

ChaR-Manager

GF GFGFGF

Chancen- und Risiko-

koordinationsmeeting

ChaR-Melder 1

ChaR-Melder 2

ChaR-Melder n

Legende:

ChaR-M: Risikomanager

CO: Controlling

GF: Geschäftsführung

AR: Aufsichtsrat

LO: Ausgwählte MitarbeiterInnen der

LinienOrganisation

A: Abstimmung

D: Durchführung

GF Geschäftsführung

ChaR Chancen und Risiko

ChaR-Manager

Personal

ChaR-Manager

Beteiligungen

ChaR-Manager

Finanzan

ChaR-Manager

IT

ChaR-Manager

…...

Verschiedene bereits

bestehende Fachkreise,

Expertenrunden, andere

Fachinformationsquellen

ChaR-Verantwortlicher

KU1

ChaR-Melder 1

ChaR-Melder 2

ChaR-Melder n


KU2

ChaR-Melder 1

ChaR-Melder 2

ChaR-Melder n


KU3

ChaR-Melder 1

ChaR-Melder 2

ChaR-Melder n


KU4



Nr. Aufgabe

Ch

aR

-M

CO

GF

/ V

ors

tan

d

AR

Sp

ezi

ali

ste

n

LO

3

Gestaltung des unternehmensweiten Prozesses zur Identifikation, Bewertung und Steuerung von Chancen und Risiken (Verantwortliche, Prozessschritte,…)

D A A, D A

4 Gestaltung des unternehmensweiten Reporting

D A A, D A

5

Identifikation und Systematisierung der relevanten Chancen-Risikobereiche des Unternehmens (Festlegung von Hauptkategorien)

D A A

6 Auswahl und Weiterentwicklung von geeigneten Instrumenten und Methoden zur Chancen- und Risikoidentifikation

D A, D A

7 Auswahl und Weiterentwicklung von Mess- und Bewertungsverfahren

D A

8 Auswahl und Weiterentwicklung von Verfahren zur Chancen- und Risikoaggregation

D A

9 Entwicklung von Richtlinien für die Steuerung von Einzelrisiken

D A, D A

10 Integration von CRM Zielen, -Maßnahmen und -Informationen in bestehende Planungs- und Steuerungssysteme

D A

11 Erstellung eines Risikomanagementhandbuchs

D A A

Tabelle 2 - Aufbauorganisation des ChaRM7

Leitfrage an ihre Organisation: Ist der Aufbau des Risikomanagements extern durch qualifiziertes Personal begleitet und mit den Vorgaben der ISO 9.001 harmonisiert? Empfehlung: Externe Begleitung zur Validierung der Prozesse und Instrumentarien einholen und einen KVP (Kontinuierlichen Verbesserungs-Prozess) abstimmen. Best Practice; externe Begleitung durch branchenspezialisierte Fachexperten oder ggfs. Abgleich in der Branche. Beschäftigung eines zertifizierten Risikomanagers z. B. nach ONR 49.003.

Zusammenfassung Chancen- und Risikomanagement

Die Implementierung des Chancen- und Risikomanagementprozesses leistet durch die bewusste Auseinandersetzung mit den Potentialen und Gefahren einen Beitrag zur operativen Verankerung der strategischen Ziele eines Unternehmens. Entscheidend hierbei sind der permanente, vertrauensvolle Dialog über Chancen- und Risiken, die sich auf dem Weg zur Erreichung der strategischen Ziele ergeben. Die Führungskräfte jeder Ebene werden durch diesen Bottom-Up-Prozess verstärkt in die strategische Entwicklung der Organisation eingebunden. Ein wesentliches Ziel des Risikomanagementprozesses ist somit eine Verbesserung der Risikokultur in der Organisation.



Abbildung 7 – Erfolgsfaktor Risikomanagementdialog in Anlehnung an ÖNORM S2410

Leitfrage an ihre Organisation: Ist die Auseinandersetzung mit Risiken auf allen Führungsebenen in regelmäßigen Abständen strukturiert geregelt? Wie werden ad hoc erkannte Risiken in den Risikokommunikationsprozess eingebracht? Empfehlung: Ein klar strukturierter Kommunikationsprozess mit einem aus der Organisation kommenden „Moderator“ ist der Erfolgsfaktor für ein wirksames Risikomanagementsystem.

Hilfestellungen und Beispiele für das Risikomanagement


H01 Aufstellung von Gesetzen, Verordnungen, Normen und Richtlinien, zugeordnet zu Chancen- Risikomanagement, Notfall- und Krisenmanagement bzw. Securitymanagement


H03 Herangehensweise zur Identifikation rechtlicher Fragen für unbekannte Ereignisse oder Risiken im Störungs-, Notfall- und Krisenmanagement

H04 Musterbeispiel Risikomanagementhandbuch H05 Interviewplanung Risiko- und Potentialidentifikation H06 Darstellungsmöglichkeiten von Chancen und Risiken



6. Säule Business Continuity Management

Prozess; Aufbau einer eskalationsfähigen Bewältigungsorganisation

Wenn ein Stör- bzw. Krisenfall eintritt, sind frühere Erwartungen, Unsicherheiten, Hoffnungen oder Chancen kaum noch verständlich zu machen. Das Eingehen von Risiken scheint im Nachhinein absolut unverständlich, ja geradezu unverantwortlich. Es ist daher essentiell, mögliche Schadensszenarien möglichst früh zu erkennen und die Schadensdimensionen abzuschätzen.

Bewältigungsprozesse

Prozess der Risikobeurteilung

Aufbau eines Continuity Managements

Gefahrenidentifikation und -Analyse

Verwundbarkeitsanalyse

Kritikalitätsanalyse

Bewältigungspotentiale

Risikobewertung:

Schutzziele erreicht ?

Restrisiken ?

Szenarien für die Organisation ?

Re

ge

lmä

ßig

e E

va

lua

tio

n d

es R

isik

om

an

ag

em

en

ts

Ja

Störungs- Notfall- und

Krisenmanagement

Vorbereitung auf

Szenarien

Vorbeugende

Maßnahmen

Inkaufnahme der

Restrisiken

Üb

erp

rüfu

ng

de

r W

irksa

mke

it d

er

ge

tro

ffe

ne

n M

aß

na

hm

en

du

rch

KP

Is

Abbildung 8 - Aufbau einer eskalationsfähigen Organisation



Dieser Prozess kann im Wesentlichen durch folgende Schritte beschrieben werden:


Prozess der Risikobeurteilung

Aufbau eines Continuity Managements

Gefahrenidentifikation und -Analyse

Verwundbarkeitsanalyse

Kritikalitätsanalyse

Bewältigungspotentiale

Risikobewertung:

Schutzziele erreicht ?

Restrisiken ?

Szenarien für die Organisation ?

Re

ge

lmä

ßig

e E

va

lua

tio

n d

es R

isik

om

an

ag

em

en

ts

Ja

Störungs- Notfall- und

Krisenmanagement

Vorbereitung auf

Szenarien

Vorbeugende

Maßnahmen

Inkaufnahme der

Restrisiken

Üb

erp

rüfu

ng

de

r W

irksa

mke

it d

er

ge

tro

ffe

ne

n M

aß

na

hm

en

du

rch

KP

Is

Abbildung 9: Prozesse im Continuity Management

» Prozess der

Gefahrenidentifikation » Prozess der

Verwundbarkeitsanalyse Prozess der Kritikalitätsanalyse

» Prozess der Gegenüberstellung der Bewältigungspotentiale der Organisation mit möglichen Schadens-szenarien ggfs. auch unterstützt durch Externe Dritte (Feuerwehr, Polizei etc.)

» Erarbeitung von Szenarien

» Zuordnung von Schadensszenarien zu verschiedenen Bewältigungsstrategien (Störungs-, Notfall- Krisenmanagement)

Prozess der Gefahrenidentifikation

Die Gefahrenidentifikation sollte strukturiert anhand von verschiedenen Gefahrenfeldern durchgeführt werden. Im Sinne der ONR49.000-1-2 werden im informativen Teil Gefahrenfelder definiert. Ein guter erster Ansatz zur Strukturierung der Gefahrenlandschaft ist auch die Einteilung der Gefahren nach der inzwischen zurückgezogenen ÖNORM S 2401:

Abbildung 10: Einteilung von Gefahren nach ÖNORM S2401

In spezifischen Branchenrisikoanalysen8 werden auch Gefahrenkataloge gepflegt, auf die Unternehmen zugreifen können und sollen.



Prozess der Verwundbarkeitsanalyse

In diesem Arbeitsschritt werden die Verwundbarkeiten der Organisation für Gefahren identifiziert. Selbstverständlich sind nur Gefahren weiter zu betrachten, die eine Relevanz für die jeweilige Organisation darstellen. Es ist jedoch wichtig nachzuweisen, dass die entsprechenden Verwundbarkeiten gegenüber Gefahren geprüft und ausgeschlossen werden können.

Prozess Kritikalitätsanalyse

Die Kritikalitätsanalyse beschreibt die Wichtigkeit eines bestimmten Objekts bzw. Prozesses für die Organisation. Auf diese „Assets“ muss besonders geachtet werden, da bei einer Störung die gesamte Wertschöpfungskette der Organisation beeinträchtigt werden kann. Die damit verbunden mögliche Schadensdimension wird in einer Business-Impact-Analyse ermittelt. Es ist jedoch sinnvoll dies in einem Arbeitsschritt durchzuführen.

Prozess Bewältigungspotentiale

In diesem Arbeitsschritt werden die bestehenden Ressourcen und Prozesse identifiziert, die zur Minimierung der Auswirkungen von Gefahren bei einem möglichen Schadenseintritt bereits zur Verfügung stehen. Im Wesentlichen werden hier „repräsentative“ Szenarien zu entwickeln sein, die die Organisation bewältigen muss, kann bzw. im Zusammenwirken mit Externen Dritten Minimierungsstrategien entwickeln will (ex ante Blick, künftige Entwicklungen bewältigen, um die Betriebskontinuität aufrecht zu erhalten).


Strategisch wichtige Organisationen müssen großen Wert darauflegen, vorher die Regeln zu definieren, nach denen sie im Störungs-, Not- und Krisenfall agieren wollen und können. Der Aufbau einer eskalationsfähigen Unternehmensorganisation hat vor allem den Sinn, die Identität beziehungsweise die Kontinuität dieser Kriterien auch für „Krisenlagen“ zu garantieren und wird durch den Risikomanagementansatz gemäß ONR 49000 gefordert. Bei Aufbau und Implementierung orientiert sich der Leitfaden an den Vorgaben der ÖNORM S2414-3. Es können auch Anleihen an aktuellen Veröffentlichungen des Bundesamts für Bevölkerungs- und Katastrophenschutz in Deutschland9 und der Schweiz genommen werden. Der Aufbauprozess zu einer eskalationsfähigen Organisation wird daher in vier Schritten dargestellt:

» Ausformulierung und Abstimmung einer Business Continuity Policy (Kontinuitätsplanung) durch die Unternehmensleitung,

» Festlegung einer Aufbauorganisation durch die Unternehmensleitung, » Herstellen der Verbindung zum Risikomanagementsystem, » Zuordnung von bereits erkannten Risiken zu verschiedenen Eskalationsebenen und

Verantwortlichen mit Eskalationsmarkern, die interne und externe Schnittstellen der Risikokommunikation definieren.



6.6.1 PROZESS; IMPLEMENTIERUNG VON STÖRUNGS-, NOTFALL- UND KRISENMANAGEMENT

Es werden grundsätzlich folgende Eskalationsstufen/-modi definiert:

Abbildung 11: Eskalationspyramide

Eskalationspyramide:

» Regelbetrieb, minimiert bzw. vermeidet erkannte Risiken bzw. Gefahren

» Störungsmanagement

» Notfallmanagement

» Krisenmanagement

Diese Elemente sind, i. d. R. in Teilen, in allen Organisationen mehr oder weniger ausgeprägt vorhanden. Die Gewichtung und Ausprägung ist in vielen Branchen durch gesetzliche Auflagen zu einem „Sicherheitsmanagement“ geregelt. Die verschiedenen Eskalationsstufen müssen aufeinander abgestimmt werden. Ziel dieser Betrachtungsweise ist es, unter den verschiedenen Ereignissen möglichst rasch wieder in einen definierten Sollzustand (Idealfall Regelbetrieb vor dem Ereignis) zurückkehren zu können.

Abbildung 12 - Eskalationsstufen und Rückkehr zu einem definierten Sollzustand

Damit ist auch der Ressourceneinsatz direkt mit der Eskalationsstufe korreliert. Im Krisenfall wird daher zur Bewältigung des Ereignisses ein im Vergleich zum Störungs- oder Notfall hoher Ressourceneinsatz mit hoher Arbeitsintensität notwendig werden. Dazu sind die entsprechenden Ablaufprozesse vorzuhalten und in regelmäßigen Abständen zu überprüfen.

Ein

sa

tz v

on

Re

sso

urc

en

de

r O

rga

nis

atio

n =

Inte

nsitä

t d

er

Be

lastu

ng

ein

er

Org

an

isa

tio

n

Zeitlicher Verlauf des Ressourceneinsatzes (Ressourcen = Personal, Material, Finanzmittel)

Stö

run

ge

n

Kris

e

No

tfälle

Re

ge

lniv

ea

u

Risikomanagement/Regelbetrieb



6.6.2 MINIMALANFORDERUNGEN FÜR STÖRUNGS- NOTFALL- UND KRISENMANAGEMENT

Die Aufbauorganisation, eine eskalationsfähige Struktur im Unternehmen zu implementieren, ist ein von der Geschäftsführung dazu berufener Personenkreis, der folgende Punkte auszugestalten hat:

» Aufbau und Abstimmung der Prozesslandschaft Störung-, Notfall- und Krisenmanagement für das Unternehmen

» Identifikation von verantwortlichen Personen im Unternehmen, die die Organisationsstruktur Störungsmanagement, Notfall- und Krisenmanagement maßgeblich festlegen und der Geschäftsleitung zur Genehmigung vorlegen

» Definition von Schnittstellen von und zum Risikomanagement

Zusammenfassung Business Continuity Management

Der Aufbau einer eskalationsfähigen Ereignisbewältigungsorganisation ist ein wesentlicher Teil der Sicherheitsarchitektur bei „Kritischen Infrastrukturen“ in Österreich. Sofern nicht durch gesetzliche Auflagen anders geregelt, sind folgende Minimalkriterien zu erfüllen:

Störungsmanagement Notfallmanagement

Muss in der Regel- oder Linienorganisation verankert sein und dient zur Bewältigung von Störungen (Unfälle/Vorfälle). Grundsätzlich müssen:

» Aufgaben und Verantwortlichkeiten » Sicherstellung der Erreichbarkeit

des zuständigen Fachpersonals » Erstellung von Verhaltensregeln

und Anweisungen » „gerichtsfeste“ Dokumentation » Aus- und Fortbildungsprogramm

geregelt werden.

Notfallmanagement ist Aufgabe der Regel- oder Linienorganisation und muss in der Lage sein, Vor- und Unfälle, die über Störungen hinausgehen, aber noch keine Unternehmenskrisen sind, zu bewältigen. Das Notfallmanagement muss strukturell in der Lage sein, zusätzlich koordinierende Tätigkeiten und zusätzliche Ressourcen zur Verfügung zu stellen. Grundsätzlich sind daher:

» Aufgaben und Verantwortlichkeiten » Sicherstellung der Erreichbarkeit

des zuständigen Fachpersonals » Erstellung von Verhaltensregeln

und Anweisungen » „gerichtsfeste“ Dokumentation » Aus- und Fortbildungsprogramm

festzulegen bzw. sicherzustellen



Krisenmanagement

Zeichnet sich dadurch aus, dass es nicht in der Regel- oder Linienorganisation abgebildet ist. Die Ausrufung einer Unternehmenskrise erfolgt durch einen durch die Geschäftsführung bevollmächtigten Personenkreis, durch dazu ermächtigte Befugte oder durch die Unternehmensleitung selbst, anlassbezogen und erst nach eingehender Prüfung. Sie kann, muss aber nicht mit einer Katastrophe gemäß den Vorgaben der jeweiligen Katastrophenschutzgesetze der Länder ausgerufen werden. In allen Fällen zeichnet sich das Krisenmanagement dadurch aus, dass die Organisation durch eine in den SKKM-Richtlinien beschriebene Stabsstruktur geführt wird. Dies stellt sicher, dass eine strukturierte:

» Interaktion mit den Einsatzorganisationen » Behörden » sowie sonstigen Hilfseinrichtungen ermöglicht wird.

Das Krisenmanagement greift auf interne und externe Ressourcen des Notfallmanagements zu. Grundsätzlich sind für das Krisenmanagement:

» Aufgaben und Verantwortlichkeiten in Anlehnung an die SKKM Richtlinie festzuschreiben

» Die Sicherstellung der Erreichbarkeit von Fachpersonal zu regeln » Die Erstellung von Verhaltensregeln und Anweisungen vorzubereiten » Eine entsprechende Infrastruktur und Führungsmittel vorzuhalten » Eine „gerichtsfeste“ Dokumentation vorzusehen » Ein Aus- und Fortbildungsprogramm für die Stabsfunktionen zu erarbeiten

Im Hinweis–H08, Prozessbeschreibung Notfall- und Krisenmanagement, wird eine verallgemeinerte „Geschäftsordnung“ Notfallmanagement und Krisenmanagement zur Verfügung gestellt.

Leitfrage an ihre Organisation: Ist die Aufbauorganisation unter Einbeziehung aller Führungsebenen und durch erfahrene MitarbeiterInnen, die über eine langjährige Berufserfahrung und langjährige Zugehörigkeit zum Unternehmen verfügen, besetzt ? Empfehlung: Neben der Beschreibung der Prozesslandschaft zum Zusammenwirken von Risiko-, Störungs-, Notfall- und Krisenmanagement wird die Aufbereitung von führungs- und funktionsgerechten Handlungsanweisungen, Frage- und Checklisten, um Ereignisse, Unfälle, Störungen, Notfälle und Krisen entsprechend strukturiert bewältigen zu können, empfohlen. Dies schließt die regelmäßige Evaluation der personellen Ausgestaltung, Eskalationsabfolge und Festlegung der Informations- und Führungsmittel in der jeweiligen Eskalationsstufe mit ein. Ein Aus- und Fortbildungsprogramm für die jeweiligen Funktionen und Führungsebenen im Unternehmen einschließlich der Unternehmensleitung für die verschiedenen Eskalationsstufen ist zu etablieren.



Hilfestellungen und Beispiele Continuity Management


H01 Aufstellung von Gesetzen, Verordnungen, Normen und Richtlinien zugeordnet zu Chancen- Risikomanagement, Notfall- und Krisenmanagement bzw. Securitymanagement



H07 Beispiel einer Kritikalitätsanalyse H08 Prozessbeschreibung Notfall- und Krisenmanagement

7. Säule Security Management

Die Grundelemente einer umfassenden Sicherheitsarchitektur für kritische Infrastrukturen in Österreich werden durch das bereits beschriebene drei Säulenmodell festgelegt. Der umfassende Sicherheitsbegriff im deutschsprachigen Raum unterliegt derzeit einem Wandel hin zum Verständnis, dass ein „Security Management System“ aus drei wesentlichen Perspektiven den internationalen Vorgaben angeglichen wird.

Security-Management

Ph

ysis

ch

e S

ich

erh

eit

Info

rma

tio

nssic

he

rhe

it

Resilienz-

Management

Abbildung 13: Security Management System (gem. ÖNORM S 2413)

Die neue ÖNORM S2413 als Teil der Normenreihe S2412, S2413, S2414-1-2-3 sowie S2415-1-2 sieht einen integrierten Ansatz der bisher getrennten Bereiche:

» Physische Sicherheit,

» Informationssicherheit und

» Resilienz Management

zu einem Security-Management vor.

Im Vergleich zur alten Normenreihe unterscheiden die neuen Normen nicht zwischen Business Continuity und Corporate Security Management, sondern ordnen alles dem Security Management zu. Dafür gelten folgende Definitionen aus der ÖNORM S 2412: » Kapitel 2.56: Security - Schutz vor intentionalen Risiken, Bedrohungen, Gefahren,

Verlusten oder schädlichen Vorfällen.



» Kapitel 2.57: Security Management - koordinierte Tätigkeit, die eine Organisation ausführt, um vor intentionalen Risiken, Bedrohungen, Gefahren, Verlusten oder schädlichen Vorfällen geschützt zu sein.

» Kapitel 2.58: Security Management System - SMS - Definition, Überwachung und Steuerung der für die Security relevanten Aktivitäten eines Unternehmens.

» Kapitel 2.62: Security Manager - Person, die in der Organisation/im Unternehmen bezüglich des Managements von intentionalen Risiken, Bedrohungen, Gefahren, Verlusten oder schädlichen Vorfällen betraut ist.

Um alle Aktivitäten eines Security Management Systems ganzheitlich abzubilden, sind folgende Prozessschritte erforderlich:

» Planen (SMS einrichten & verwalten): Einrichten einer Security Policy sowie von Zielen, Prozessen und Verfahren, die für das Security Risikomanagement und die Verbesserung der Security erforderlich sind, um Ergebnisse im Einklang mit den übergeordneten Grundsätzen und Zielen einer Organisation zu erreichen.

» Durchführen (SMS umsetzen & betreiben): Umsetzen und Durchführen der Security Policy, Maßnahmen, Prozesse und Verfahren.

» Prüfen (SMS überwachen & prüfen):

» Bewerten und gegebenenfalls Messen der Prozessleistung an der Security Policy, den SMS-Zielen und den praktischen Erfahrungen;

» Berichten der Ergebnisse an das Management zur Überprüfung.

» Handeln (SMS aktualisieren & verbessern): Ergreifen von Korrektur- und Vorbeugungsmaßnahmen, basierend auf den Ergebnissen interner SMS Audits und Management-Überprüfungen oder anderer wesentlicher Informationen, um eine ständige Verbesserung des SMS zu erreichen.

Geänderte Grundlagendefinition

Nachstehende Tabelle gibt einen Überblick über die geänderten Prozessschritte zum Aufbau eines „Security Managements“ anhand der neuen ÖNORM S 2413.

Nr Arbeitsschritte ÖNORM S 2403 Arbeitsschritte ÖNORM S 2413 ff

01

Erarbeiten einer Security Policy Einrichten einer Security Policy sowie von Zielen, Prozessen und Verfahren, die für das Security Risikomanagement und die Verbesserung der Security erforderlich sind, um Ergebnisse im Einklang mit den übergeordneten Grundsätzen und Zielen einer Organisation zu erreichen

SMS-einrichten & verwalten

Um die Akzeptanz in der Organisation sicherzustellen, muss die Policy von der obersten Leitung freigegeben und getragen werden.




02

Sicherheitsanalyse: » Risikobeurteilung » Kontextanalyse » Bedrohungs- und

Verwundbarkeitsanalyse » Trendanalyse » Lagebildentwicklung

SMS-Systemgrundlagen definieren:

» Festschreibung der Methoden des Security Risk Assessments inkl. der Entwicklung von Kriterien für Risikoakzeptanz

» Identifikation der organisationseigenen Assets innerhalb des Anwendungsbereichs sowie der Eigner der Assets;

» Festlegung, welche Auswirkungen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit der Assets haben darf

» Durchführung einer Bedrohungs- und Verwundbarkeitsanalyse:

» Identifikation der intentionalen Bedrohungen für diese Assets;

» Identifikation der Vulnerabilität, welche durch diese intentionalen Bedrohungen ausgenützt werden können.

» Security-Risiken analysieren » Festlegung der Risikobehandlung im

Rahmen der festgelegten Kriterien.

03

Strategientwicklung: » Abschreckung » Schutz » Akzeptanz

Ableitung von: » technischen » organisatorischen » personellen Maßnahmen

zur Umsetzung eines Security Managements

SMS-umsetzen: » Formulierung eines Behandlungsplans, der

die geeigneten Aktionen, Verantwortlichkeiten und Prioritäten für das Management von Security Risiken identifiziert;

» Umsetzung der Maßnahmen, um die identifizierten Maßnahmenziele zu erreichen, einschließlich der Berücksichtigung der Finanzierung und der Zuweisung von Aufgaben und Verantwortlichkeiten;

» Umsetzung von Programmen für die Schulung und Bewusstseinsbildung;

» Umsetzung von Verfahren und anderen Maßnahmen, welche eine zeitnahe Erkennung von Sicherheitsereignissen und eine angemessene Reaktion auf Sicherheitsvorfälle ermöglichen.




04

Kontinuierliche Verbesserung und Auditierung

SMS überwachen (Monitoring) » Fehler in Rahmen des Betriebs sowie versuchte

und erfolgreiche Sicherheitsverstöße und Sicherheitsvorfälle zeitnah erkennen;

» dem Management die Möglichkeit eröffnen, die Wirksamkeit der ergriffenen Maßnahmen zu beurteilen;

» Überprüfung der Risikoeinschätzungen, der Restrisiken und des akzeptablen Risikoniveaus unter Berücksichtigung von Änderungen;

» regelmäßige Überprüfung (intern/extern) der Wirksamkeit des SMS unter Berücksichtigung von Ergebnissen von Sicherheitsaudits, Sicherheitsvorfällen, Ergebnissen von Wirksamkeitsprüfungen sowie Vorschlägen und Feedback von allen Interessenten;

» Aktualisierung von Sicherheitskonzepten unter Berücksichtigung der Ergebnisse der Überwachungs- und Überprüfungsaktivitäten.

Tabelle 3: Vergleich der Aufgaben der ÖNORM S2403 zur ÖNORM S2413

Vereinfachter Aufbau eines Security Managements

Der Logik des Dreisäulenmodells zum Aufbau einer umfassenden Sicherheitsarchitektur folgend, werden hier unter Security Management primär die präventiven und z. T. reaktiven Auf- und Ablaufprozesse verstanden, um intentionalen Gefahren zu begegnen. Für das Security Management werden daher folgende Teilbereiche definiert:

Abbildung 14 - Grundelemente des Security Managements

Technische/Bauliche

Maßnahmen

Organisatorische Maßnahmen

Personelle Maßnahmen

Informations- & Wissenssicherheit



7.2.1 TECHNISCHE/BAULICHE MAßNAHMEN, PHYSISCHE SICHERHEIT

Die wesentlichen Arbeitsschritte sind in der ÖNORM S2414-2 , Leitfaden Physische Sicherheit, bzw. in der ÖNORM S2420 zusammengestellt. Für den baulichen-technischen Schutz ist auch die VSÖ TRVE 31-8, Ausgabe 2, Juni 2007 bzw. aktueller, eine gute erste Anlaufstelle. Die Bundesinnung der Elektro-, und Alarmanlagentechnik sowie Kommunikationselektronik veröffentlicht Vorschriften für die Errichtung von Alarmanlagen10. Im Zusammenhang zum baulich-technischen Schutz wird auch die enge Zusammenarbeit mit den Versicherungen angemerkt, die entsprechende Schutzstandards zertifiziert. Im Hinweis 9 ist eine strukturierte Sammlung von technischen Normen zum erweiterten Objektschutz zusammengestellt. Im Sinne der ÖNORM S2414-2 werden auch personelle und organisatorische Maßnahmen zusammengefasst, die in weiterer Folge entweder dem Notfallmanagement oder dem Krisenmanagement als Bewältigungsprozess zugeführt werden müssen.

7.2.2 PERSONELLE MAßNAHMEN

Während es für baulich- und technische Schutzmaßnahmen eine Vielzahl an technischen Vorgaben gibt, die sich primär mit dem klassischen Objektschutz und der Einbruchmeldung, -Überwachung, und -Vermeidung beschäftigen, gibt es für personelle und organisatorische Schutzmaßnahmen nur wenige Vorschriften. Die ÖNORM S2414-2 erweitert unter „Physischer Sicherheit“ auch die Aspekte der „persönlichen Sicherheit inkl. Reisesicherheit“, Veranstaltungsschutz, Sabotageschutz und Schutz vor Wirtschafts- und Industriespionage.

7.2.3 INFORMATIONSSICHERHEIT

Die Informationssicherheit wird durch die ISO ISO/IEC/FDIS 27001 Information Security Management Systems Requirements in einem der ONR 49000 bzw. ISO 31000 vergleichbaren Risikomanagementprozess behandelt. Die ISO 27001 sieht auch die Möglichkeit einer Zertifizierung vor. Darüber hinaus werden die Regelungen aus dem IT Sicherheitshandbuch11,, herausgegeben vom BKA als Minimalstandard für strategisch wichtige Unternehmen, angesehen. Dieses Sicherheitshandbuch ist sehr ausführlich (645 Seiten) und verfolgt wie die ISO 27.001 einen „All Hazard Approach“. Im Rahmen des „Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen“ (Netz- und Informationssystemsicherheitsgesetz-NISG12) werden für „Betreiber wesentlicher Dienste“ seitens der künftigen NIS-Behörde Mindestsicherheitsstandards für die jeweiligen Brachen definiert.

Zusammenfassung Security Management

Das Security Management im Sinne der hier formulierten Sicherheitsarchitektur wird grundsätzlich als ein Teil des Notfall- und Krisenmanagements gesehen. Es beschäftigt sich mit Intentionalen Gefahren für die Organisation in einem „All Hazard Approach“. Alle Handlungen, die bewusst von Menschen gegen eine Organisation gesetzt werden und einen strafrechtlichen Tatbestand darstellen:

» durch Personen aus der Organisation » durch Personen außerhalb der Organisation » Mischform aus o. a. Tathandlungen



Die Aufbau- und Implementierungsschritte können wie folgt zusammengefasst werden: » Formulierung und Abstimmung einer entsprechend angepassten Security Policy » Kritikalitäts- oder Securityanalyse » Abstimmung der Strategieelemente Schutz, Abschreckung und Akzeptanz » Implementierung der bedrohungs-, verwundbarkeits- und

auswirkungsminimierenden Maßnahmen, abgeleitet aus der Kritikalitäts- oder Securityanalyse

» Initiierung des kontinuierlichen Verbesserungsprozesses

Leitfrage an ihre Organisation: Werden die Vorgaben eines SMS nach ÖNORM S2413 erfüllt? Können die Wirksamkeit der getroffenen Maßnahmen nachgewiesen werden? Empfehlung: Für die Beurteilung der verschiedenen Fachbereiche baulich-technischer Schutz bis hin zur Informations- und Wissenssicherheit sind i. d. R. sehr unterschiedliche Abteilungen in einem Unternehmen zuständig. Je nach Größe eines Unternehmens müssen die verschiedenen Disziplinen aufeinander abgestimmt werden. Dazu muss ein SMS-Prozesseigner (möglicherweise ein CSO) seitens der Unternehmensleitung festgelegt werden, der die verschiedenen Fachbereiche koordiniert und dort, wo notwendig, externen Sachverstand hinzuzieht. Die Vorgaben des NIS-G sehen eine Ansprechperson für die NIS-Behörde vor, die bei „meldepflichtigen Vorfällen gemäß NIS-G“ den Single Point of Contact (SPOC) darstellt.

Hilfestellungen Security Management


H01 Aufstellung von Gesetzen, Verordnungen, Normen und Richtlinien zugeordnet zu Chancen- Risikomanagement, Notfall- und Krisenmanagement bzw. Securitymanagement



H09 Zusammenstellung Objektschutznormen H10 Eckpfeiler einer Security Policy H11 Beispiel Verwundbarkeitsanalyse H12 Beispiel Maßnahmenplanung



Abkürzungsverzeichnis

Abkürzung Beschreibung

a.n. g. anderwärtig nicht genannt

A: Abstimmung

ACI Austrian Critical Infrastructures

AG KRITIS Arbeitsgruppe Kritische Infrastruktur

AGSKI Arbeitsgruppe zum Schutz Kritischer Infrastrukturen

AKNZ Akademie für Krisenmanagement, Notfallplanung und Zivilschutz

APCIP Österreichisches Programm zum Schutz kritischer Infrastruktur

AR Aufsichtsrat

AS Abstimmung

ASchG ArbeitnehmerInnenschutzgesetz

BBK Bundesamt für Bevölkerungs- und Katastrophenschutz

BCM Business Continuity Management

BKA Bundeskanzleramt

BMI Bundesministerium für Inneres

BMVg Bundesministerium für Verteidigung

BSI Bundesamt für Sicherheit in der Informationstechnik

BWB Bundesamt für Wehrtechnik und Beschaffung

CERT Computer Emergency Response Team

ChaRM Chancen- und Risikomanagement

CIIP Critical Information Infratructure Protection

CIP Critical Infrastructure Protection

CIRS Critical Incident Reporting System

CO Controlling

CSIRT Computer Security Incident Response Team

CSM Corporate Security Management

CSO Chief Security Officer

CSR Corporate Social Responsibility

D Durchführung

DACH Deutsch Österreich Schweiz Akronym

deNIS Deutsches Notfall und Informationssystem

Df Durchführung

DRS Deutscher Rechnungslegungsstandard

EPCIP Europäisches Programm zum Schutz kritischer Infrastruktur

EU Europäische Union

GF Geschäftsführung

HACCP

Hazard Analysis and Critical Control Point (Risikomanagementmethode in der Lebensmittelindustrie)

HAZOP HAZard and OPerability Analysis

IAS International accounting standard



Abkürzung Beschreibung

IFRS International financial reporting standard

IKT Information und Kommunikationstechnologie

IRÄG/URG Unternehmensreorganisationsgesetz

ISIC Int. Standard Industrial Classification of all Economic Activities

ISO International Organisation for Standardization

IT Informationstechnik

ITSEC Information Technology Security Evaluation Criteria

KI Kritische Infrastruktur

KMU kleine, mittlere Unternehmen

KRITIS Kritische Infrastrukturen

KVP Kontinuierlicher Verbesserungsprozess

LO Ausgewählte MitarbeiterInnen der Linien Organisation

M Mitarbeit

NPSI Nationaler Plan zum Schutz der Informationsinfrastrukturen

OHSAS Occupational Health- and Safety Assessment Series

ÖNACE Klassifikation der Wirtschaftstätigkeiten

ONR Önorm Regelungen

OSP Operator Security Plans

PC Personal Computer

PDCA Plan-Do-Check-Act

PGP Pretty Good Privacy

PKI Public Key Infrastruktur

POC Point of Contact = Verantwortlicher Ansprechpartner

PPP Privat Public Partnership

QM Qualitätsmanagement

Reg TP Regulierungsbehörde für Telekommunikation und Post in Deutschland

RIS Rechtsinformationssystem

RLÄG Rechnungslegungsänderungsgesetz

ROI Return of investment

S/MIME Secure Multipurpose Internet Mail Extension

SKI Schutz Kritische Infrastruktur

SKKM Staatlichen Krisen- und Katastrophenschutzmanagement

SLO Security Liaison Officers

SPOC Single Point of Contact (Hauptansprechpartner)

UGB Unternehmensgesetzbuch

UniBw Universität Bundeswehr

URÄG Unternehmensrechts-Änderungsgesetz

V Verantwortlich

WVU Wasserversorgungsunternehmen



Quellenverzeichnis

Es wird darauf hingewiesen, dass relevante Richtlinien, Normen, Verordnungen und Gesetze in den Hinweisen strukturiert zusammengestellt wurden

1 APCIP: Austrian Program for Critical Infrastructure Protection,

https://www.bundeskanzleramt.gv.at/schutz-kritischer-infrastrukturen

2 CIP: Critical Infrastructure Protection, Brussels, 20.10.2004, COM(2004) 702 final, Critical

Infrastructure Protection in the fight against terrorism

3 Es werden hier bewusst auch die Vorläufernormen zur Normenserie ÖNORMS S2412 genannt

4 Österreichisches Informationssicherheitshandbuch, https://www.sicherheitshandbuch.gv.at

5 Vgl.: Prof. Dr. Brühwiler; Risikomanagement als Führungsaufgabe; 2007, Bern; S 34 ff

6 HACCP in der Lebensmittel und Pharmazie, Water Safety Plan, etc

7 Corporate Risk Management, Denk, Robert ,Autorenkollektiv, Corporate Risk Management, 2008

8 Z. B. IKT-Branchenrisikoanalyse Energiewirtschaft, Prozesseigner: E-Control-Austria,

Risikoanalyse für die Telekommunikationsbranche, Prozesseigner: RTR-GmbH,

Finanzwirtschaft: Risikoanalyse der Finanzmarktaufsicht, etc.

9 Schutz Kritischer Infrastrukturen, Risiko- und Krisenmanagement, Leitfaden für Unternehmen

und Behörden,

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Le

itfaden_Schutz-Kritis.pdf?__blob=publicationFile

10 Siehe H09 Übersicht Vorschriften/Normen/Richtlinien für Alarmanlagenerrichter

11 Österreichisches Informationssicherheitshandbuch, https://www.sicherheitshandbuch.gv.at

12 Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und

Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) Stand

29.12.2018,

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20

010536

https://www.bundeskanzleramt.gv.at/schutz-kritischer-infrastrukturen

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile

Documents

Umfassendes Risiko- und Sicherheitsmanagement · Leitfaden Umfassendes Risiko- und Sicherheitsmanagement Der Leitfaden wird durch den Fonds für die Innere Sicherheit kofinanziert