Konkreter Schutzbedarf für Assets und Prozesse

Auch die Einrichtung von Risiko-Management und ISMS hielten Herausforderungen bereit: Da die PVA kein profitorientiertes Unternehmen ist, sollten die identifizierten Risiken im System nicht auf monetärer Basis gemessen werden, sondern anhand von beeinträchtigten Geschäftsfällen. Das sind einzelne Aktenbewegungen oder Datenverarbeitungsschritte. Ein Ausfall eines kritischen Systems kann Millionen von Geschäftsfällen beeinträchtigen oder behindern.

In das ISMS waren alle sicherheitsrelevanten Vorfälle - von offenen Türen über kaputte Schlösser, Diebstahl und Einbruch bis zu Viren oder Ausfällen von Systemen und Netzbereichen - einzupflegen. Überdies hatte das Team zu diesen Vorfällen jeweils Gegenmaßnahmen zu definieren, die im Ernstfall sofort im Information-Security-Modul abgerufen werden konnten.

Gegen Ende 2008 waren die Module komplett aufgesetzt. Nun war die PVA in der Lage, den konkreten Schutzbedarf für Assets und Prozesse zu ermitteln. Zudem ließen sich erste Risiko-Reports generieren. Das Loggen der Sicherheitsvorfälle konnte beginnen. In der Anlaufphase wurden die errechneten Ergebnisse jedes Mal sorgfältig geprüft und die notwendigen Anpassungen umgesetzt.

Im ersten Quartal 2009 ging das System in den normalen Betrieb über. Effektiv arbeiten heute immer zwischen fünf und zehn Mitarbeiter gleichzeitig mit der Lösung; sie übernehmen das Einpflegen von Server-Umstellungen, neuen Softwareanwendungen etc.

Das IS-Management der PVA kann sich nun beispielsweise Risikobewertungen für einzelne Systeme oder Systemgruppen, Notfallpläne für den Brandfall oder Reaktionspläne für den Ausfall bestimmter Mitarbeiter ausgeben lassen. Die Unternehmensspitze wird periodisch mittels eines Management-Review über den Status des Regelwerks informiert.