Was sind Chancen im Rahmen der ISO 27001?

Mitarbeiter in einem Besprechungsraum während einer ISO 27001 Schulung, Präsentation über Informationssicherheit und Chancenmanagement auf einem Bildschirm, Zusammenarbeit und Engagement sichtbar.

Die ISO 27001 (Kapitel 6.1) erwartet dass sowohl Risiken als auch Chancen berücksichtigt werden. In den meisten Zertifizierungsaudits hatte man bisher das Thema Chancenbehandlung kaum Beachtung geschenkt. Nun hat sich der Wind gedreht. Immer häufiger fragen Auditoren der Zertifizierungsstellen nach Methodik, Richtlinien, Verfahren oder Nachweise zum Thema “Umgang mit Chancen“.

Eine Chance im Sinne der ISO 27001 ist weit mehr als die schlichte Maximierung des wirtschaftlichen Gewinns. Chancen sollen vielmehr als Gegenstück zum Risiko verstanden werden. Sie sorgen für einen ausgewogenen Umgang mit Gefährdungen.

Folgende Beispiele veranschaulichen was mit Chance konkret gemeint ist:

Im Qualitätsmanagement können die Verbesserung und Optimierung der eigenen Produkte oder Leistungen eine Chance sein. Daraus könnte eine Steigerung der Effizienz resultieren. Auch eine Veränderung von Produkten zur stärkeren Abwehr von Risiken, kann zu einem Marktvorteil werden. Hält der Anbieter einer Leistung die Kundendaten auf einem nationalen Cloud vor, so kann dieser kritische Kunden mit Datensouveränität gewinnen.

Auch ein gewünschtes Ergebnis künftig mit weniger Aufwand zu erreichen, ist eine Chance für Organisationen. Wenn ein IT-Dienstleister die eigene Verfügbarkeit von 99 % auf 99,9 % erhöht, führt diese Verbesserung zu einer Chance (Wettbewerbsvorteil).

Welchen Mehrwert haben Unternehmen durch die Definition von Chancen?

Die Chance wird explizit in der ISO 27001 erwähnt. Es ist somit ein schützenswertes Objekt der Organisation. Daher müssen Chancen in die Gesamtbetrachtung einbezogen werden. Chancen bedeuten für Organisationen einen erheblichen Wettbewerbsvorteil. Risiken können diese wertvollen Chancen bedrohen. Gleichzeitig können aus Chancen neue Risiken hervorgehen. Daher ist es wichtig, über dem Umgang mit möglichen Chancen nachzudenken. Existentielle unternehmerische Entscheidungen haben oft mit möglichen Chancen zu tun. Da aber das Interesse vieler Parteien (z.B., Fachabteilungen, Geschäftsbereiche, Kunden, Lieferanten, Mitarbeiter, Behörden) zu berücksichtigen ist, können hier Konflikte auftreten. Chancen sind relevant für die Informationssicherheit, da in einer digitalen Arbeitswelt zu schützende Informationen involviert sind.
Somit ist es auch wichtig für ein wirksames und effektives ISMS die Gefahrenquellen für bestehende Chancen rechtzeitig zu erkennen. 

Die Geschäftsleitung muss aus betriebswirtschaftlicher Sicht den Umgang mit dem in einer Chance verborgenen Potential umgehen. Durch die ISO 27001 ist es auch erforderlich die informationssicherheitstechnische Perspektive zu berücksichtigen. So erhalten die künftige Ausrichtung und die Orientierung des Unternehmens durch die Anwendung der ISO 27001 Norm einen geeigneten und erprobten Rahmen. Das Ergebnis des Umgangs mit Chancen hat eine messbare Größen.

Sind Chancen und Risiken gleichbedeutend?

Chancen und Risiken sind nicht gleichzusetzen oder gleich zu behandeln. Die Unterschiede finden sich in der Natur beider Elemente:

  • Risiken können eigenständig die Organisation bedrohen. Sie brauchen nicht erkannt zu werden, um Schaden anzurichten.
  • Hingegen eine Chance muss man häufig aktiv aufgreifen, um die positiven Aspekte in die Organisation einfließen zu lassen. Auch eine verpasste Chance kann sich in ein existenzielles Risiko umwandeln. Folglich muss eine Chance erkannt und aktiv genutzt werden.
  • Chancen sind eher passiv, wogegen Risiken eine Eigendynamik besitzen.

Ein weiterer Unterschied zeigt sich in der Eintrittswahrscheinlichkeit:

  • Die meisten Risiken bestehen dauerhaft. Sie bedrohen die Ziele des Unternehmens fortlaufend. Wer auf Zeit spielt, erhöht häufig das Schadenspotential eines (ignorierten) Risikos.
  • Chancen hingegen haben nur ein kurzes Zeitfenster, in dem man sie zum Vorteil der Organisation nutzen kann. Verzögerungen können sich drastisch auf das Betriebsergebnis auswirken. Eine nicht genutzte Chance ist eine vielleicht nicht mehr wiederkehrendes Verbesserungspotential.

Beispiel: Neue Technologien können bei frühzeitiger Nutzung, neue profitable Zielgruppen erschließen. Ein späterer Einstieg ist aber nicht mehr rentabel.

Unternehmerischer Erfolg wird durch Chancen im ISMS sichtbar

Es ist sinnvoll Risiken und Chancen im Blickfeld zu behalten. Chancen und Risiken haben eine Beziehung zueinander. Ignorierte Chance sind ein wirtschaftliches Risiko. Sie können zu Stagnation in der Weiterentwicklung von Produkten und Leistungen führen. Die marktwirtschaftliche Stellung wird dann schleichend verwässert.

Eine Chance wahrzunehmen ist auch ein Risiko: Eine Fehlinvestitionen kann die Existenz der Organisation nachhaltig schädigen. Häufig sieht man bei einer Übernahme eines Mitbewerbers, dass verdeckte Haftungsrisiken (z.B. wegen Produktmängel im Bereich Informationssicherheit) zu hohen Schadensersatzansprüchen Dritter führen. Diese Ansprüche vernichten etwaige finanzielle Reserven und können hohe Abschreibungen auslösen.

Chancen und Risiken sollten gemäß ISO 27001 im ISMS definiert sein. Diese Vorgehensweise ermöglicht fortlaufend Beides aus unternehmerischen und anderen Perspektiven im Blick zu behalten. Es ist sehr wichtig, dass Erfolge und Fehler nachvollzieh- und messbar werden. Die Organisation kann so ihren Fortbestand sicherstellen. Das schützt Arbeitsplätze als auch die Interessen der Kapitalgeber (z.B. Gesellschafter, Banken, Investoren oder Aktionäre).

Wie und wann kann man Chancen identifizieren?

Mann in Anzug analysiert Kosten für ISO 27001-Zertifizierung am Schreibtisch mit Laptop, Kalkulator und Dokumenten.

Man Chancen in folgenden Situationen identifizieren:

  • Aus den Ergebnissen des internen Audits
  • Auf Basis der Findings der Auditoren der Zertifizierungsstelle
  • Bei der Betrachtung der Marktsituation durch die Geschäftsleitung
  • Bei der Bewertung der laufenden Geschäftsprozesse
  • Bei der Einführung neuer Technologie oder Angebotsinhalte
  • Bei der Erweiterung der Kompetenzen durch neue Mitarbeiter
  • Bei der Umsetzung der Verbesserungsvorschläge der Belegschaft
  • Beim Brainstorming von Teams verschiedener Abteilungen

Wie bewertet man die identifizierten Chancen?

Man sollte diese Chancen wie folgt bewerten:

Jede Chance wird im selben Governance-Zyklus wie Risiken geprüft. Werden Chancen als wertvoll eingestuft, werden je nach Umfang konkrete Maßnahmen geplant und im Verbesserungs- oder Risikoregister dokumentiert. Zu diesen Maßnahmen gehören die Festlegung messbarer Ziele, die Zuweisung von Verantwortlichkeiten und die Definition von Zeitplänen. Diese Betrachtung muss in das ISMS integriert sein.

Welche Reihenfolge muss die Geschäftsleitung befolgen?

  • Identifizieren: Sammeln Sie im Rahmen von Risikobewertungssitzungen Ideen für mögliche Verbesserungen, die die Sicherheit stärken könnten.
  • Analysieren: Bewerten Sie die Machbarkeit und die potenziellen Vorteile (z. B. Kosteneinsparungen, Risikominderung).
  • Planen: Erstellen Sie einen Aktionsplan mit definierten, zugewiesenen Verantwortlichkeiten und Zeitvorgaben.
  • Umsetzen und überprüfen: Setzen Sie die Pläne um und überprüfen Sie deren Erfolg hinsichtlich der Verbesserung des ISMS.

Umsetzungsanforderungen zum Umgang mit Chancen

Um den Anforderungen zum Umgang mit Chancen (Opportunity-Managements) gemäß Abschnitt 6.1 gerecht zu werden, sollten Organisationen Folgendes beachten:

  • Eine Methodik festlegen: Definieren Sie eine einheitliche Methode zur Bewertung der Machbarkeit und des Nutzens von Chancen.
  • Ein Register führen: Viele Organisationen erfassen Chancen in ihrem Risikoregister (oft umbenannt in „Risiko- und Chancenregister“), um Fortschritt und Verantwortlichkeiten zu verfolgen.
  • Verantwortlichkeiten zuweisen: Jede identifizierte Chance muss einen eindeutigen Verantwortlichen, einen Zeitplan und eine Ressourcenzuweisung haben.
  • Erfolg messen: Setzen Sie SMART-Ziele (spezifisch, messbar, erreichbar, relevant, terminiert) für die Realisierung von Chancen.

Ähnliche Artikel und weitere interessante Informationen