Wie kann ich mein QM-System überwachen?
Methoden und Verfahren zum Messen und Überwachen in Managementsystemen – Alternative Überwachungsmethoden im PDCA-Zyklus
Nach der Integration eines Informationssicherheitsmanagementsystems (ISMS) in Ihr QM-System ist auch die Implementierung eines Prozesses zur stetigen Überwachung und Weiterentwicklung im Rahmen der DIN EN ISO/IEC 27001 erforderlich. Managementssysteme müssen kontinuierlich überprüft und verbessert werden. Die klassische Methode zur ständigen Optimierung bietet der PDCA-Zyklus (Plan, Do, Check, Act).
In der Plan-Phase (Planungsphase) werden der Aufbau des ISMS beschrieben, die Ziele formuliert und die Anforderungen ermittelt. Es erfolgt zunächst eine Analyse zur gegenwärtigen IST-Situation, wodurch die aktuellen Prozesse, verwendete Informationen und Dokumente identifiziert werden. Nach der Ermittlung können erforderliche Maßnahmen überlegt und ein Umsetzungsplan erstellt werden. In der Do-Phase (Ausführungsphase) werden die zuvor entwickelten Pläne implementiert. Diese Ausführung sollte zur besseren Nachvollziehbarkeit vollständig dokumentiert werden. Im Anschluss ist die erfolgreiche Umsetzung des Plans in der Check-Phase (Überprüfungsphase) zu verifizieren und zu validieren. Diese Analyse soll die Wirksamkeit der Maßnahmen überprüfen. Kann sie nicht bestätigt werden, so startet der PDCA-Zyklus erneut mit der Plan-Phase und die Entwicklung neuer Lösungen ist notwendig. Erweist sich das Konzept aber als erfolgreich, werden die neuen Maßnahmen in der Act-Phase zum fortan gültigen Standard erklärt. Die zyklische Abfolge dieser Phasen wiederholt sich in der Regel einmal jährlich nach dem selben Schema und bietet mit jedem Durchlauf die Möglichkeit, die Sicherheitsmaßnahmen größtmöglich zu verbessern.
Überwachungsmethoden des PDCA-Zyklus
1. Interne Audits
In der DIN EN ISO/IEC 27001:2017 ist unter 9.2. beschrieben, dass die zu zertifizierende Organisation zur Überwachung und kontinuierlichen Verbesserung in festgelegten Abständen interne Audits durchzuführen hat. Mehrere Audit-Programme sollen die Informationen darüber liefern, ob die Organisation ihr ISMS sowie die Einhaltung von internationalen Normen erfüllt, wirksam realisiert hat und weiterhin aufrechterhalten kann. Wie häufig Audits durchzuführen sind, welche Methoden eingesetzt werden, wer für die Überwachung verantwortlich ist und welche Anforderungen an die Planung und Berichterstattung gestellt werden, muss vorab definiert werden. Für jedes einzelne Audit sind Audit-Kriterien und deren Umfang zu bestimmen. Die Auswahl der Auditoren muss so erfolgen, dass ein objektiver und unparteilicher Audit-Prozess sichergestellt wird. Die Ergebnisse der Audits werden dokumentiert, dienen als Nachweis und sind den zuständigen Leitungen zu berichten. An dieser Stelle möchte ich gerne anfügen, dass der Begriff Audit synonym für Überprüfungen, Inspektionen, Revisionen, Kontrollen, Tests, etc. verwendet werden kann.
interne Audits erfolgreich durchführen
Die erfolgreiche Durchführung von internen Audits kann durch verschiedene Faktoren behindert werden. Zum Beispiel kann eine unregelmäßig oder in zu großem zeitlichen Abstand durchgeführt Auditierung dazu führen, dass Schwachstellen oder Fehler zu spät – oder schlimmer – gar nicht erkannt werden. Auch die Einbindung an den Prozessen beteiligter Personen kann zu Problemen führen. Decken diese Personen Probleme oder Schwachstellen auf, so müssen sie ihre eigenen Fehler erkennen und melden. Scham oder Angst – nicht zu vernachlässigende psychologische Faktoren – könnten zur Unterschlagung dieser kritischen Information führen. Deshalb ist es von hoher Wichtigkeit, unparteiliche und objektive Auditoren einzusetzen.
2. Penetration Tests
Eine alternative Methode zur Überprüfung in der Check-Phase bieten die sogenannten Penetration Tests, mit deren Hilfe Schwachstellen in IT-Systemen aufgedeckt werden sollen. Diese Tests führen professionelle Hacker durch, welche im Auftrag des Kunden versuchen, in dessen IT Systeme einzudringen, um Sicherheitslücken zu suchen, aufzuzeigen und auszunutzen. Als Angriffsziel kann dabei eine spezifische Anwendung, ein bestimmtes Teilnetz des Unternehmens oder die komplette IT-Infrastruktur definiert werden. Die Vorgehensweise der Hacker beim Penetration Test unterscheiden sich dabei nicht von der Vorgehensweise von Cyberkriminellen. Zunächst wird das Ziel analysiert, um mögliche Angriffspunkte zu identifizieren und einen Plan für die weitere Vorgehensweise zu entwickeln. Anschließend erfolgt der zielgerichtete Angriff auf das entsprechende System. Die daraus resultierende Risikoabschätzung wird dann dem Kunden präsentiert und in einem Bericht vollständig dokumentiert.
Die Angriffe können in Zusammenarbeit mit dem Auftraggeber, aber auch ohne Vorankündigung durchgeführt werden. Dabei müssen Hacker das System zunächst ohne die Hilfe des Kunden analysieren und attackieren. Bei dieser Art des Angriffs kann der Kunde seine Abwehrmechanismen einsetzen und deren Effektivität prüfen. Dabei werden häufig auch Methoden genutzt, die den Menschen als Schwachstelle auszunutzen versuchen, zum Beispiel durch das Fallenlassen eines mit Schadsoftware präparierten USB-Sticks. Eventuell kann sich ein Hacker auch als Help-Desk-Mitarbeiter ausgeben und so das Vertrauen eines Mitarbeiters des Kunden erlagen, um Zugriff auf das System zu erhalten. Solche Tests sollen vor allem aufzeigen, welches Bewusstsein für die IT-Sicherheit bei den Mitarbeitern in der Organisation vorhanden ist.
3. Vulnerability Assessments
Erscheint der Aufwand für die Durchführung von Penetration Tests als zu groß, kann zunächst auch nur eine Analyse der Schwachstellen erfolgen. Diese Analyse wird häufig als Vulnerability Assessment (engl.: Schwachstellenbewertung) oder Vulnerability Scan bezeichnet. Hierbei werden das Netzwerk des Kunden und dessen Informationssysteme untersucht, um theoretische Schwachstellen in Betriebssystemen, Anwendungssoftware und Hardwarekomponenten aufzudecken. Diese werden aber nicht aktiv ausgenutzt, was die Risikoabschätzung enorm einschränkt. Nur Penetration Tests bieten die exakte Auskunft.
In Anhang A der ISO 27001:2013 ist unter Punkt 12.6.1 festgelegt, dass die Ausnutzung technischer Schwachstellen zu verhindern ist, auf welche Weise bleibt jedoch offen. Ob man mithilfe der Vulnerability Assessments die Schwachstellen intern identifizieren und beseitigen kann oder ob man sie durch Penetration Tests aktiv auf die Probe stellen will hängt hauptsächlich von den Kosten und dem Zeitaufwand ab. Es gilt aber abzuwägen, ob die Durchführung von Vulnerability Assesments ausreichend ist oder ob es nicht als wichtiger erachtet wird, detaillierteste Aufschlüsse über mögliche Schäden zu erhalten, die durch einen gezielten Angriff auftreten können.
Bildnachweis: (C) Pete Linforth, CC0 v1.0, Pixabay
[…] sodass Aktivitäten und Ressourcen entsprechend geplant werden können. Hierbei ist der PDCA-Zyklus […]