Sicherheitsmanagement für SAP. SAP hat als schnell wachsende, globale Unternehmensgruppe hohe Anforderungen an Prozesse mit steuerndem Charakter – dazu zählt auch das Sicherheits-Management. Diese müssen sprunghaftem Wachstum und schwindenden Informationsgrenzen im Umfeld eines globalen Konzerns gerecht werden – eine enorme Herausforderung für das Sicherheits-Management. Im Folgenden lesen Sie den Abschluss des in Ausgabe 6/2007 GIT SICHERHEIT + MANAGEMENT begonnenen Beitrages der beiden Autoren.

Die Methodik ergibt auch Ergebnisse für einen viel diskutierten Begriff: "Return on Security Investment" (ROSI). Ein Projekt verändert Güter und den Status von Maßnahmen. Schätzt man diese Veränderungen ab, so ergibt sich ein neuer Wert für das verbleibende Restrisiko. Vergleicht man es mit dem vorher ermittelten Wert, so ergibt sich der ROSI als Differenz.

Dieser Ansatz funktioniert auch für Projekte, die nicht sicherheitsgetrieben sind. So verschiebt ein Outsourcing-Projekt Informationen und Mitarbeiter in ein Land mit einem unterschiedlich gearteten Bedrohungsstatus. Die zu erwartende Veränderung des sicherheitsbezogenen Risikos kann seitens des Managements als Entscheidungshilfe pro oder contra Projektdurchführung herangezogen werden.

Daneben ergibt sich unmittelbar eine Liste von Maßnahmen, deren mangelnde Umsetzung Risiken unangemessen erhöhen. Sie dient als Basis für die Festlegung zukünftiger Aktivitäten. Die Dokumentation geschieht bei SAP über drei Tools:

• dem "Strategic Business Plan", 
• einer "Security Balanced Scorecard" und 
• einer Projekt- und Serviceübersicht

Der Strategic Business Plan bedient sich der bereits genannten Ziele der Sicherheitsorganisation und versieht sie mit messbaren Kennzahlen für die kommenden drei Jahre. Er beinhaltet zwar keine einzelnen Projekte, jedoch werden Messgrößen großer Projekte zur Ermittlung der Zielerfüllung herangezogen. Ein Beispiel eines solchen Wertes ist das bereits erwähnte verbleibende Restrisiko. Es wird für Geschäfts- oder Themenbereiche wie z.B. "Outsourcing" oder "Schutz von Kundendaten" getrennt ausgewertet und dient als wichtige Basis für Reifegradbetrachtungen.

Die Security Balanced Scorecard bezieht sich auf das aktuelle Geschäftsjahr. In ihr werden vier verschiedene Blickwinkel auf den Sicherheitsstatus angenommen: Finanzielle Sicht, Kundensicht, Operative und Innovative Sicht. Im Wesentlichen finden sich die Ziele des Business Plans wieder, ergänzt um sehr konkrete und in ihrem Status messbare Parameter. Zur Statusbestimmung werden einerseits die Ergebnisse der globalen Statusbestimmung, andererseits der Stand von Schlüsselprojekten und von seitens der Sicherheitsorganisation angebotenen Services herangezogen.

Die Balanced Scorecard wird von Corporate Security erstellt und liefert damit auch den Status von in dieser Abteilung laufenden Projekten und Services. Sie stellt bewusst ein Medium dar, das den aktuellen Status der Konzernsicherheit und der Abteilungsergebnisse einheitlich widerspiegelt. Der Grund ist einfach: Aus Sicht der Unternehmensführung ist beides identisch.

Trotz bester Planung, Verletzungen der Security Policy gibt es in jedem Unternehmen. Das Security Management muss hierfür Eskalationsstellen und Prozesse bereitstellen, welche eine schnelle Auswertung der Zwischenfälle und angemessene Antwort im Bedarfsfall gewährleisten. Bei SAP kann jeder Mitarbeiter im internen Portal sowohl anonym als auch personalisiert sicherheitsbezogene Zwischenfälle melden.

Die statistische Auswertung wird in jedem Fall von Corporate Security übernommen. Die ermittelten Daten dienen auch zur Eichung der weiter oben beschriebenen Risikoanalysen und zur Optimierung von Business-Continuity-Prozessen. Meldewege zu Sicherheits-Zwischenfällen werden auch seitens der Rechtsabteilung zur Meldung von Betrugsfällen genutzt. Das sich regelmäßig treffende "Fraud Evaluation Team" sucht dabei nach Verbindungen zwischen beiden Meldungsarten und schlägt dem Management reaktive Maßnahmen vor. Die gemeinsame Auswertung von Sicherheits- und Betrugs-Zwischenfällen hat sich mehrfach bewährt. Die Ergebnisse liefern dem Sicherheits-Management eine gute Datenbasis zur eigenen Weiterentwicklung.

Anpassungsfähigkeit wird immer wichtiger

Sicherheits-Management – auch bei SAP ist es auf den Schutz bestehender Werte ausgelegt. Doch wie in anderen, schnell wachsenden Unternehmen ist der Bestandsschutz nur ein Teilaspekt. Es geht es auch um Flexibilität zur Ermöglichung künftigen Wachstums. Anpassungsfähigkeit ist gefragt, wo Geschäftsfelder entstehen oder neue Tochtergesellschaften einzugliedern sind.

Bestandsschutz gegen Anpassungsfähigkeit – das mag sich nach Spagat anhören, doch will man Sicherheit managen, so muss man sich der Herausforderung stellen. Im Fall SAP ist es der CSO mit Corporate Security, die als vorstandsnahe und zentral aufgestellte Organisation die Hürde nehmen muss. Der Weg führt dabei weg von einer konservativen Aufpasser-Rolle hin zum anerkannten und gefragten Ratgeber. Sicherheits-Management kann in sich schnell ändernden Umgebungen nicht darauf zielen, Dinge zu verbieten. Es muss vielmehr zeigen, an welchen Stellen Risiken durchaus akzeptabel sind oder durch welche Maßnahmen sie dorthin gebracht werden können.

Von nicht zu unterschätzender Bedeutung ist das Thema "Awareness". Bei Mitarbeitern und Führung muss das Bewusstsein ausgeprägt sein, dass Sicherheit ein Kernthema bei allen geschäftlichen Entscheidungen, Plänen und Vorhaben ist. Nur dann werden die für Sicherheit verantwortlichen Strukturen aktiv von allen Geschäftsbereichen angefragt. Erleichtert wird dies bspw. durch das Einrichten von Services, aus denen alle Unternehmensbereiche nutzen ziehen. Die Security SLA’s sind ein solcher Service. Risikoanalysen zu geplanten Projekten oder maßgeschneiderte Statusberichte auf Länderoder Organisationsebene können weitere sein.

Aktive Anfragen aus den Geschäftsbereichen gilt es zu unterstützen, nach Möglichkeit sollte der Zufriedenheitsgrad solcher internen Kunden z.B. über Fragebogen gemessen werden. Lässt die Nachfrage zu Serviceleistungen nach, so sollte sich die Sicherheitsorganisation fragen, ob sie noch die richtigen Umsetzungswege zu ihren Strategien verfolgt. Das sichere Ende aktiver Anfragen kann allerdings auch durch die Sicherheitsorganisation selbst kommen. Sie muss zeigen, dass sie in der Lage ist, unternehmerische Entscheidungen durch Abwägen von Sicherheits- und Geschäftsinteressen zu treffen. Sie muss dies auch mit verständlichen Begriffen nachweisen können, wozu die Betrachtung von Sicherheitsrisiken ein guter Ansatz ist.

Modernes Sicherheits-Management ist gelebtes Risiko-Management. Es muss sich der Aufgabe stellen, nicht nur ein „sinnvolles Sicherheitsniveau“ zu verfolgen, sondern auch ein „sinnvolles Risikoniveau“ mit den Verantwortlichen der Geschäftsbereiche abzustimmen. Dieses Niveau akzeptabler Risiken dient gemeinsam mit dem Katalog des grundlegenden Schutzbedarfs als Basis für Entscheidungsempfehlungen und Projektvorschläge. Gelingt es, diesen Ansatz im Unternehmen transparent zu machen, so steigert sich die Akzeptanz der Sicherheitsorganisation deutlich – und mit ihr die Sicherheit selbst.

Hier schließt sich der Kreis auch zum Thema Unternehmenskultur. Ein hoher interner Kommunikationsgrad stellt weniger eine Gefahr dar als eine Chance der Sicherheitsorganisation, über ihr Wirken zu diskutieren. Vorbei sind die Zeiten von "Security by obscurity". Stattdessen stellt der offene Austausch die Basis dessen dar, was wir hier lang als Sicherheits-Management beschrieben haben.

KONTAKT

Fachhochschule Brandenburg,
Brandenburg an der Havel
Fachbereich Wirtschaft/Studiengang
Security Management
Tel.: 03381/355226
stokarvo@fh-brandenburg.de
www.fh-brandenburg.de/fbw/security-management