1. Das Informationssicherheitsmanagementsystem als Werkzeug

Die Gesundheit und Sicherheit von Mitarbeitern steht für jedes Unternehmen auch hinsichtlich der Informationssicherheit an erster Stelle. Dies ist vollständig im Einklang mit dem Ziel der Informationssicherheit, alle kritischen Geschäftsprozesse der Organisation und ihrer Geschäftspartner im Hinblick auf Vertraulichkeit und Integrität, aber eben auch auf Verfügbarkeit zu schützen.

Das neuartige Coronavirus (SARS-CoV-2) ist eine Bedrohung für Personen als wesentliche Informationsträger und als Grundlage vieler kritischer Geschäftsprozesse im Unternehmen. Es ist daher nicht nur notwendig, das Management der Informationssicherheit in der aktuellen Lage aufrecht zu halten. Ein entsprechendes Managementsystem (ISMS) ist vielmehr gerade in dieser Situation als eines der wesentlichen Steuerungsinstrumente für die Geschäftsleitung und das Management zu verstehen. Es unterstützt die Entscheidungsträger dabei, Entscheidungen in jeder Lage informiert und strategisch richtig zu treffen und dann mit den richtigen Prioritäten zu handeln.

2. Bewertung der veränderten Risikolage

Der erste Schritt ist, die sich durch die Coronavirus-Pandemie veränderte Risikolage – insbesondere für die Verfügbarkeit – zu bewerten und notwendige Maßnahmen abzuleiten und richtig zu priorisieren. Die vom Coronavirus ausgehende Bedrohung erzeugt direkte und indirekte Risiken für die Verfügbarkeit von Personen:

1. Direkt: Ausfall durch Erkrankung
2. Indirekt: Erkrankungen und Ereignisse im Lebensumfeld sowie staatliche Schutzmaßnahmen (z. B. Einschränkung der Bewegungsfreiheit), die dazu führen, dass die Arbeitskraft nicht oder nur noch eingeschränkt zur Verfügung steht.

Eine Neubewertung der Risiken auf Basis einer veränderten Bedrohungslage und daraus abgeleitete Maßnahmen ist nicht nur ein regulärer, sondern ein absolut notwendiger Vorgang und wird in der entsprechenden VDA-ISA-Kontrollfrage 1.4.1 explizit gefordert. Ein Beispiel hierfür ist das Angebot oder sogar die Anordnung der Verlagerung der Arbeit in das häusliche Umfeld, um Menschen zu schützen, die Ausbreitung zu verhindern, aber auch die Risiken hinsichtlich der Verfügbarkeit von Personen zu verringern.

3. TISAX-konforme Umsetzung von Maßnahmen

Dies bedeutet, vor Umsetzung von Maßnahmen die verbundenen Risiken weiterhin zu bewerten und ggf. ergänzende Maßnahmen mit der richtigen Priorität abzuleiten. Die VDA-ISA-Kontrollfrage 3.1.2 zielt darauf ab, auch in Krisenfällen die erhöhten Risiken in Bezug auf Vertraulichkeit und Integrität von Informationen z. B. durch die Verarbeitung in der Wohnung des Mitarbeiters zu berücksichtigen.

Um TISAX-konform zu handeln, müssen Sie mindestens die folgenden Aspekte berücksichtigen:

• Ist die Tätigkeit von Zuhause geeignet geregelt (Kontrollfrage 1.1.1) und sind die Regeln hinreichend bekannt (Kontrollfrage 2.1.3)?
• Werden die Regeln zum Umgang mit mobilen Endgeräten (Kontrollfragen 2.1.4 und 3.1.4), die Regeln für die Mitnahme von Assets (Kontrollfrage 3.1.3), der Transport von Informationen (Kontrollfrage 1.3.2) sowie der Umgang mit mobilen Datenträgern (Kontrollfrage 3.1.4) den Anforderungen an Arbeit im Home-Office gerecht?
• Stehen geeignete sichere Kommunikationsmittel zur Verfügung? Insbesondere: Besitzen die genutzten Mittel die notwendigen Kapazitäten und Verfügbarkeiten (Kontrollfrage 5.3.2) und gleichzeitig auch die notwendigen Sicherheitseigenschaften (Kontrollfrage 5.1.2)?
• Bestehen Vereinbarungen mit Geschäftspartnern, die die Mitnahme oder Durchführung von Arbeiten aus dem Home-Office betreffen und/oder einschränken (Kontrollfrage 7.1.1)? Muss der Geschäftspartner über die Umstellung gesondert informiert oder gar die Vereinbarung angepasst werden?
• Bei all diesen Punkten sollte stets auch das Risiko betrachtet werden, dass unnötige oder nicht praktikable Forderungen von den Betroffenen nicht oder unzureichend befolgt werden und de facto die Sicherheit schwächen. Insofern sollte bei der Bewertung von Regelungen auch die Notwendigkeit und Praktikabilität stets mitbetrachtet werden.

Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. Auch darüberhinausgehende Aspekte müssen Sie in geeigneter Weise berücksichtigen.