07.03.2024
Es gibt Neuigkeiten, die Ergänzung zur ISO/IEC 27001:2022 adressiert den Klimawandel ausdrücklich. Man kann durchaus diskutieren, ob es in die Norm "passt". Und was kann davon für die Praxis genutzt werden?
Wir wollen das einmal beleuchten, auch anhand von Beispielen:
Das Amendment ist kurz und knapp, es bringt im Textteil zu Kapitel 4.1 sowie 4.2. je einen Satz hinzu, der die Frage stellt, ob der Klimawandel für die Organisation relevant ist, also ggf. ein Risiko darstellt. Und es werden die möglichen Interesssen der Interessierten Parteien in Zusammenhang mit dem Klimawandel gebracht.
In jedem Falle wird die Organisation das Amendment ohnehin in ihr ISMS einpflegen, wenn sie up to date sein will. Und sie muss somit die Themen bewerten sowie ggf. mit Maßnahmen belegen.
Nun lässt sich streiten, ob die Klima-Aspekte nicht besser in Umweltmanagementsystemen aufgehoben sind, dort sind Umwelteinflüsse zu betrachten und sogar die Interessen der Nachbarn eines Standortes. Und man kann diskutieren, ob sie gar nur dem Zeitgeist geschuldet, "aktionistisch" und überflüssig sind, da sie in den Risiken ohnehin zu betrachten sind.
Was spricht für das Amendment?
Der Klimawandel betrifft alle Aspekte unseres Lebens, einschließlich der Informationssicherheit und des Risikomanagements gemäß ISO 27001. Exemplarisch kann man folgende Gefahr im Zusammenhang mit dem Klimawandel und möglichen Maßnahmen zur Risikovermeidung nennen:
Naturkatastrophen wie Überschwemmungen, Stürme, Waldbrände und extreme Wetterereignisse können die physische Sicherheit von Rechenzentren und Infrastrukturen gefährden. Dies kann zu Ausfällen von Informationssystemen führen, die wiederum zu Datenverlusten, Betriebsunterbrechungen und Serviceausfällen führen.
Maßnahmen zur Risikovermeidung können eine erweiterte Standortbewertung und Auswahl von Rechenzentren anhand von Klimarisiken und geografischen Bedingungen sein oder die Implementierung von Redundanz- und Notfallwiederherstellungsplänen, um den Geschäftsbetrieb bei Ausfällen aufgrund von Naturkatastrophen aufrechtzuerhalten.
So kann man das Amendment positiv vertreten, da der Klimawandel mit seiner erhöhten Wahrscheinlichkeit für Risiken zu besonderer Beachtung führen sollte. Und die Unternehmen ohne ein Umweltmanagementsystem würden diese Risiken ggf. gar nicht betrachten.
Was spricht gegen das Amendment?
Energieversorgungsunterbrechungen sollten in den elementaren Gefahren (siehe BSI-Liste) ohnehin betrachtet werden, die o. g. Risiken sind real und treten mit höherer Wahrscheinlichkeit ein, sind aber nicht neu.
Sie sollten ohnehin laufend betrachtet werden und können ganz pragmatisch mit einer erhöhten Wahrscheinlichkeit und höheren Schäden hinterlegt werden, um dem erhöhten Risiko Rechnung zu tragen.
Die klassischen Maßnahmen wären die räumliche Verlagerung des Rechenzentrum in sichere Räume mit Hochwasserschutz und bessere Notstromaggregate. Zudem sind zu Risikovermeidung wie Diversifizierung der Energiequellen und Investition in erneuerbare Energien, um die Abhängigkeit von anfälligen Energiesystemen zu verringern oder der Einsatz von Energieeffizienzmaßnahmen in Rechenzentren und IT-Infrastrukturen, um den Energieverbrauch zu optimieren und die Auswirkungen von Energieversorgungsunterbrechungen zu minimieren.
Kritisch könnte man anmerken, daß dies alles im Risikomanagement ohnehin zu bearbeiten ist. Und das sind Maßnahmen mit unterschiedlichem Zeithorizont und Kosten, die es zu bewerten gilt. Ein niedrigerer Energieverbraucht hat klar Vorteile für die Umwelt aber aufgrund der nötigen Investitionen auch Auswirkungen für die Kostenbilanz.
Fazit
Das Ziel das Amendments ist sicherlich nachvollziehbar und positiv, über die Notwendigkeit, dafür ein Amendment in einem ISMS zu veröffentlichen, mag jeder für sich entscheiden. In der Praxis einer angemessenen Berücksichtigung der Interessen der Stakeholder und der Risiken der eigenen Organisation ändert sich nichts.
Das Amendment ist auf Englisch kostenfrei beim Beuth-Verlag und bei der ISO-Organisation erhältlich.