Mit <kes>+ lesen

Integration von Managementsystemen und Anforderungen

Anforderungen verschiedener Stakeholder haben naturgemäß wesentliche Auswirkungen auf Management sowie Governance und sind daher idealerweise institutionalisierter Teil der eigenen Systeme und Prozesse. Der vorliegende Beitrag beschreibt sowohl die Integration eines Prozesses zur Steuerung von Anforderungen im Rahmen eines integrierten Managementsystems als auch die Integration von Anforderungen als Kernaufgabe des Prozesses selbst.

Ein Prozess zur Steuerung von Anforderungen ist sowohl zur Integration von Managementsystemen als auch zur Berücksichtigung von Anforderungen der Stakeholder einer Organisation notwendig. Dieser Prozess ermöglicht die Identifikation und Nutzung von Synergieeffekten sowie die Identifikation und Auflösung von Zielkonflikten der Anforderungen.

Zum besseren Verständnis sollen zunächst die betroffenen Begrifflichkeiten noch einmal klar voneinander abgegrenzt werden:

  • Governance stellt für Organisationen sicher, dass die Anforderungen der Stakeholder (Anspruchsgruppen) und etwaige Änderungen der Anforderungen erhoben sowie strategische Ziele daraus abgeleitet, überwacht und gesteuert werden – Governance definiert folglich die strategischen Prioritäten der Organisation und deren Handeln.
  • Management umfasst Planung, Erstellung, Betrieb und Überwachung aller Tätigkeiten einer Organisation, um die Organisationsziele im Rahmen der von der Governance vorgegebenen Richtung, den „Leitplanken“ und Prioritäten zu erreichen. Abbildung 1 illustriert den Zusammenhang zwischen Governance und Management.
  • Ein System besteht generell aus ineinander integrierten Elementen, die zusammenwirken, um ein übergeordnetes Interesse zu verwirklichen. Dazu verarbeitet es mithilfe von Prozessen Eingangsgrößen (Input) zu Ausgangsgrößen (Output), um die gesetzten Ziele zu erreichen. Die Kernaussage der Systemtheorie besagt, dass ein System mehr als die Summe der Elemente ist. Dieses Gesamtgebilde agiert als funktionale Einheit und stellt langfristig sicher, dass eine Organisation ihre Ziele erreicht. Dabei muss der Zielerreichungsgrad fortlaufend gemessen werden und dient als Ausgangsbasis für die kontinuierliche Weiterentwicklung und Verbesserung des Systems.
  • Ein Managementsystem ist die Gesamtheit aller organisatorischen, technischen und personellen Regelungen, Maßnahmen, Prozesse, Kapazitäten und Fähigkeiten einer Organisation, um deren strategische Ziele zu erreichen.rmation protection“.
Abbildung 1: Zusammenhang zwischen Governance und Management

Managementdomänen

In einer Organisation kann es demnach nur ein Gesamt-Managementsystem geben, das aus einzelnen Systemen besteht, die jeweils auf ein Themenfeld fokussieren. Diese einzelnen Systeme werden im Folgenden Managementdomänen genannt. Eine dieser Domänen ist das Informationssicherheits-Managementsystem (ISMS) mit seiner bekannten Zielsetzung – weitere Managementdomänen sind beispielsweise:

  • Qualitätsmanagement (QMS): Ziele des Qualitätsmanagements sind die Verbesserung der Leistung einer Organisation sowie die Verbesserung der Zufriedenheit der Kunden und anderer interessierter Parteien. Ein Beispiel für eine Erfolgsmethode im Qualitätsmanagement ist die DIN/EN/ISO 9001 „Quality management systems“.
  • (IT-)Service-Management (IT-SMS): Ziele des (IT-) Service-Managements sind die Kunden- und Serviceorientierung von Dienstleistungsprozessen beziehungsweise des IT-Betriebs. Beispiele für Erfolgsmethoden im (IT-) Service-Management sind die IT Infrastructure Library (ITIL) sowie ISO/IEC 20000-2 „Information technology – Service management – Part 2: Guidance on the application of service management systems“.
  • Notfallmanagement (BCMS): Ziele des Notfallmanagements sind die angemessene Vorbereitung auf und der Umgang mit Notfällen zur Gewährleistung eines kontinuierlichen Geschäftsbetriebs. Ein Beispiel für eine Erfolgsmethode im Notfallmanagement ist die DIN/EN/ ISO 22301 „Security and resilience – Business continuity management systems – Requirements“.
  • Risikomanagement (RMS): Ziel des Risikomanagements ist die Steuerung relevanter Risiken mit dem Ergebnis, Risiken auf ein akzeptables Niveau zu reduzieren sowie bewusst und nachweisbar einzugehen. Beispiele für Erfolgsmethoden im Risikomanagement sind ISO/ IEC 27005 „Information security, cybersecurity and privacy protection – Guidance on managing information security risks“, ISO/IEC 31000 „Risk management – Guidelines“ sowie die NIST SP 800-30 „Guide for Conducting Risk Assessments“.
  • Datenschutzmanagement (DSMS): Ziel des Datenschutzmanagements ist es, Einzelne davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihren Persönlichkeitsrechten beeinträchtigt werden. Beispiele für Erfolgsmethoden im Datenschutzmanagement sind ISO/IEC 29100 „Information technology – Security techniques – Privacy framework“, ISO/IEC 29101 „Information technology – Security techniques – Privacy architecture framework“ und ISO/IEC 29151 „Information technology – Security techniques – Code of practice for personally identifiable information protection“.

Integriertes Managementsystem

Managementdomänen bilden keine in sich abgeschlossenen Systeme, da zwischen den Prozessen verschiedener Managementdomänen Schnittstellen existieren. In der Praxis wird diese Verzahnung aufgrund eines Denkens in Silos und nicht im Sinne der Ganzheitlichkeit allerdings häufig unzureichend oder gar nicht umgesetzt. Ungenutzte Synergieeffekte führen jedoch zu einer geringeren Effizienz des Gesamtmanagementsystems der Organisation und damit zu Wettbewerbsnachteilen.

Das Ziel sollte daher der Betrieb eines integrierten Managementsystems sein (vgl. [1]), das es unter anderem ermöglicht, Zielkonflikte zu identifizieren und durch Priorisierung aufzulösen. Man spricht von einem integrierten Managementsystem, sobald Anforderungen der Managementdomänen in einer einheitlichen Struktur zusammengefasst werden. Strukturgebendes Element und Grundlage der Umsetzung sind Prozesse.

Integration von Prozessen

Die Integration von Prozessen der Managementdomänen kann auf unterschiedliche Arten erfolgen:

Integration durch Schnittstellen: In den jeweiligen Managementsystemen existieren dabei separate Prozesse – beispielsweise ein Prozess für interne Audits sowohl im Datenschutz- als auch im Informationssicherheitsmanagement. Die Prozesse sind jedoch über Schnittstellen beziehungsweise Input/Output-Relationen miteinander verzahnt. So lassen sich zum Beispiel durch eine Abstimmung im Rahmen der Auditprogrammplanung möglichst redundanzfreie Auditprogramme generieren.

Integration durch gemeinsame Prozesse: Hierbei existieren in den jeweiligen Managementsystemen entweder Instanzen oder Varianten eines generalisierten Prozesses – beispielsweise ist jedoch der Prozess für interne Audits in allen Managementsystemen grundsätzlich identisch. In den Managementdomänen gibt es punktuell Besonderheiten in den Prozessschritten und Prozessdurchläufe erfolgen getrennt. Alternativ nutzt man in den jeweiligen Managementdomänen einen gemeinsamen Prozess.

Integration von Anforderungen

Neben der Integration der Prozesse ist die integrierte Steuerung der Anforderungen einer der wichtigsten Prozesse innerhalb eines Managementsystems. Anforderungen können dabei

  • innerhalb der Managementdomäne – von unterschiedlichen Stakeholdern – oder
  • Managementdomänen-übergreifend bestehen.

Beispiele für Anforderungen unterschiedlicher Stakeholder innerhalb der ISMS-Domäne sind:

  • Stakeholder „Schlüsselkunde A“ erfordert eine Umsetzung von BSI IT-Grundschutz
  • Stakeholder „Schlüsselkunde B“ erfordert eine Umsetzung der ISO/IEC 27001
  • Stakeholder „Gesetzgeber“ erfordert die Umsetzung von Grundschutz sowie technischen Richtlinien des BSI
  • Stakeholder „Aufsichtsbehörde“ erfordert die Umsetzung des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA)

Zum gleichen Thema können auch Anforderungen aus unterschiedlichen Managementdomänen bestehen – zum Beispiel

  • Anforderungen an die Protokollierung auf einem Firewallsystem im ISMS (Sicherheitsmaßnahme) sowie
  • Anforderungen an die Protokollierung auf einem Firewallsystem im DSMS (als Bestandteil der technischen/ organisatorischen Maßnahmen, TOM).

Die Analyse und Integration von Anforderungen geschieht dabei im Rahmen des Anforderungsmanagementprozesses und ist von der Analyse und Dokumentation des internen und externen Kontexts zu unterscheiden: In der Analyse des internen und externen Kontexts erfolgt eine eher strategisch/taktische High-Level-Identifikation und Analyse der Stakeholder. Deren Ergebnis ist beispielsweise die Identifikation des Stakeholders „Gesetzgeber“ mit der Anforderung „IT-Grundschutz des BSI umsetzen“. Der IT-Grundschutz besteht aber aus hunderten Einzelanforderungen, die dann im Anforderungsmanagementprozess verarbeitet werden müssen (Anforderungsset).

Integrations-Methode

Die Methode zur Integration von Anforderungen besteht grundsätzlich aus den vier Schritten:

  • Identifikation der Anforderungsquellen und Anforderungen
  • Atomisierung der Anforderungen
  • Mapping der Anforderungen
  • Konsolidierung und Auflösen von Zielkonflikten in den Anforderungen

Schritt 1 – Identifikation der Anforderungsquellen und der Anforderungen

Zunächst sind relevante Anforderungssets mit gleichen und überlappenden Themen aus demselben Managementsystem, unterschiedlichen Detailgraden, aber auch Anforderungssets aus anderen Managementsystemen wie Datenschutzmanagement oder BusinessContinuity-Management zu identifizieren.

Beispiele für Anforderungssets sind:

  • der IT-Grundschutzkatalog des BSI,
  • Best-Practice-Maßnahmen der ISO/IEC 27001 (Anhang A) oder ISO/IEC 27002,
  • der BSI Cloud-Computing-Compliance-CriteriaCatalogue (C5),
  • technische/organisatorische Maßnahmen nach DSGVO (GDPR),
  • ISO 22301,
  • ISO 27019 et cetera.

Schritt 2 – Atomisierung der Anforderungen

Die Anforderungen der Anforderungssets müssen – wo notwendig – in Einzelanforderungen zerlegt (atomisiert), aus Sicht des Detaillevels angeglichen und strukturiert mit folgenden Attributen dokumentiert werden:

  • Stärke der Anforderung (shall, should, may / muss, soll, sollte, darf, kann, darf nicht etc.)
  • Quelle der Anforderung (BSI, Kunde, Gesetzgeber, Geschäftsführung, …)
  • Kategorie der Anforderung (BSI-Baustein, Kategorie gemäß ISO 27002, …),
  • übergeordnete Anforderung im Anforderungsset (sofern atomisiert),
  • Wortlaut der Anforderung sowie Owner der Anforderung.

Ein Beispiel für eine derart zerlegte Anforderung ist:

  • Stärke der Anforderung: MUSS
  • Quelle der Anforderung: BSI-Grundschutz in Verbindung mit UP-Bund
  • Kategorie der Anforderung: BSI-Baustein ISMS.1
  • Übergeordnete Anforderung im Anforderungsset: ISMS.1.A3
  • Wortlaut der Anforderung: „Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben.“
  • Owner der Anforderung: Institutionsleitung

Schritt 3 – Mapping der Anforderungen

Für das Mapping muss zunächst ein Referenzanforderungsset gewählt werden, das die betrachtete Anforderung (A) enthält. Hier bietet es sich an, das detaillierteste und umfassendste Anforderungsset zu wählen – beispielsweise können dies die IT-Grundschutzkataloge des BSI sein.

Das m:n-Mapping der Anforderungen erfolgt dann durch Analyse und In-Beziehung-setzen der atomisierten Anforderungen. Beziehungen können dabei sein:

  • Anforderung A entspricht Anforderung B
  • Anforderung A ist eine additive Anforderung im Kontext von Anforderung B
  • Anforderung A ist eine konkretisierende Anforderung im Kontext von Anforderung B
  • Anforderung A ist eine generische Anforderung im Kontext von Anforderung B
  • Anforderung A steht im Widerspruch zu Anforderung B

Ein Beispiel für „Anforderung A entspricht Anforderung B“ sind etwa BSI ISMS.1.A3 „Erstellung einer Leitlinie zur Informationssicherheit: Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt geben.“ (Anforderung A) und ISO/IEC 27001 Kapitel 5.2.e „The information security policy shall be communicated within the organization.“ (Anforderung B).

Auf die beschriebene Weise generiert man Schritt für Schritt eine integrierte und strukturierte Liste der Anforderungen mehrerer Anforderungssets und gegebenenfalls mehrerer Stakeholder.

Schritt 4 – Konsolidierung und Auflösen von Zielkonflikten in den Anforderungen

Die integrierte und strukturierte Liste der Anforderungen ermöglicht es, im nächsten Schritt Synergieeffekte zu identifizieren und zu nutzen sowie Zielkonflikte zu identifizieren und durch Priorisierung aufzulösen. Das Auflösen widersprüchlicher Anforderungen durch Priorisierung kann dabei generisch für alle Anwendungsfälle oder im Einzelfall erfolgen.

Als Beispiel könnte das Anforderungsset A als Richtlinie zum Security-Incident-Management fordern „Für die Steuerung von Informations-Sicherheitsvorfällen ist der Informationssicherheitsbeauftragte zuständig.“, während die Richtlinie Notfallmanagement (Anforderungsset B) besagt „Für die Steuerung von Notfällen ist der Notfallbeauftragte zuständig.“ Der Konflikt besteht darin, dass hierdurch für Ereignisse, die gleichzeitig Sicherheitsvorfall und Notfall sind, widersprüchliche Regelungen zur Zuständigkeit vorliegen.

  • Lösung im Einzelfall könnte eine ergänzende Regelung sein: „Für Vorfälle, die gleichzeitig Sicherheitsvorfall und Notfall sind, entscheidet die Leitungsebene im Einzelfall über die Zuständigkeit.“
  • Generische Lösung für alle Fälle wäre ergänzende Regelung: „Für Vorfälle, die gleichzeitig Sicherheitsvorfall und Notfall sind, ist der Notfallbeauftragte für die Steuerung zuständig.“

Darüber hinaus modifizieren Maßnahmen zur Erfüllung von Anforderungen eventuell die Bewertung von Risiken und müssen dann in diese einfließen. Zum Beispiel könnte eine Maßnahme zur Erfüllung der Anforderung A die Eintrittswahrscheinlichkeit und/oder Auswirkungen von Risiko xyz beeinflussen. Solche Informationen müssen nach und nach auf Basis der Risikoanalysen erhoben und mit den Anforderungen verknüpft werden. Im Fall der Anwendung von IT-Grundschutz wird dies vom BSI über die Kreuzreferenztabellen [2] bereits dokumentiert. Im Rahmen der Priorisierung von widersprüchlichen Anforderungen muss der Kontext der gegebenenfalls damit modifizierten Risiken in die Entscheidungsfindung zur Priorisierung einfließen.

Fazit

Die Methode zur Integration von Anforderungen mag zunächst komplex anmuten, aber gerade die arbeitsaufwendigen Schritte 2 und 3 dürften sich künftig durch KI-Unterstützung vereinfachen und automatisieren lassen.

Weiterhin sollte man die Bedeutung des Anforderungsmanagements und der ManagementsystemIntegration in Zeiten immer mehr und komplexer werdender Anforderungen nicht unterschätzen: Aus einem schwachen Anforderungsmanagement und fehlender Integration resultieren dabei nicht nur ComplianceRisiken, sondern auch Wettbewerbsnachteile durch nicht genutzte Synergieeffekte.

Prof. Dr. Knut Haufe ist Director im Bereich Cyber-Security Services bei der EY Consulting GmbH.

Literatur

[1] International Organization for Standardization (ISO), ISO Handbook on the integrated use of Management System Standards – IUMSS, ISO Publication 100435, November 2018, www.iso.org/publication/PUB100435.html (kostenpflichtig)

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Kreuzreferenztabellen zum IT-Grundschutz-Kompendium (Edition 2023), Juni 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/krt2023_Excel.html

Diesen Beitrag teilen: