Wie sicher sind Ihre Projektinformationen? Informationssicherheit im Projekt nach ISO 27001 mit PRINCE2©

Gehen Projektinformationen verloren oder geraten sie in die falschen Hände, kann dies erheblichen Schaden anrichten. Informationssicherheit ist daher Chefsache. Die DIN ISO/IEC 27001:2017-06 beschreibt nicht nur Anforderungen an die Informationssicherheit der Linienorganisation, sondern fordert diese auch für Projekte. Stefanie Eilhardt beschreibt, was Informationssicherheit in Projekten bedeutet. Sie schlägt einen Weg vor, wie man Managementsysteme ineinander integriert, um mit möglichst geringem Overhead sowohl sicher als auch effizient Projekte durchzuführen. In einem ausführlichen Anhang beschreibt Eilhardt, wie dies beim Projektmanagementsystem PRINCE2® aussehen kann.

Management Summary

Download ZIPDownload ZIP
Download PDFDownload PDF

Wie sicher sind Ihre Projektinformationen? Informationssicherheit im Projekt nach ISO 27001 mit PRINCE2©

Gehen Projektinformationen verloren oder geraten sie in die falschen Hände, kann dies erheblichen Schaden anrichten. Informationssicherheit ist daher Chefsache. Die DIN ISO/IEC 27001:2017-06 beschreibt nicht nur Anforderungen an die Informationssicherheit der Linienorganisation, sondern fordert diese auch für Projekte. Stefanie Eilhardt beschreibt, was Informationssicherheit in Projekten bedeutet. Sie schlägt einen Weg vor, wie man Managementsysteme ineinander integriert, um mit möglichst geringem Overhead sowohl sicher als auch effizient Projekte durchzuführen. In einem ausführlichen Anhang beschreibt Eilhardt, wie dies beim Projektmanagementsystem PRINCE2® aussehen kann.

Management Summary

Wir empfehlen zum Thema Vorgehensmodell
12.09.2024
1.395,00,-
Hybrides Projektmanagement - das Beste aus 2 Welten vereinen

Lernen Sie das Wichtigste beim Einsatz von hybridem Projektmanagement, damit auch Sie in Ihrem Unternehmen das Beste aus zwei Welten kombinieren. Mehr Infos

Haben Sie, hat Ihre Organisation den Wert der im Unternehmen vorhandenen Informationen bereits für sich erkannt? Zu diesen Informationen gehören auch die in Projekten verwendeten, aber vor allem die neu entstehenden Informationen – unabhängig von Projektart oder Branche. Doch welche konkreten Maßnahmen haben Sie ergriffen, um diese Informationen zu schützen? Ist Informationssicherheit in Ihrer Organisation Chefsache oder nur Aufgabe der IT-Abteilung?

Informationssicherheit ist ein Managementthema und gewinnt sowohl aufgrund der wachsenden Bedrohung durch Internetkriminalität als auch durch die normativen und rechtlichen Entwicklungen zunehmend an Bedeutung. Die DIN ISO/IEC 27001:2017-06 "Informationstechnik - Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen" (DIN 2017) stellt Organisationen, die ihre Managementsysteme bereit für die Herausforderungen der Informationsgesellschaft machen wollen, einen Maßstab für Informationssicherheit zur Verfügung.

Die ISO 27001 fordert in Anhang A (A.6.1.5) (DIN 2015) explizit, dass die Informationssicherheit auch im Projektmanagement berücksichtigt werden muss. Die logische Konsequenz daraus ist, dass Unternehmen die Aspekte der Informationssicherheit in ihren Projektmanagementsystemen integrieren müssen – sowohl um zukunftsfähig zu sein, als auch um normative wie rechtliche Anforderungen erfüllen zu können, wie z.B. in Deutschland das IT-Sicherheitsgesetz (BSI2016) und das Energiewirtschaftsgesetz §11 Abs. 1a (BMJV 2017).

Im Folgenden stelle ich Ihnen Ansätze vor, wie Sie die Anforderungen der ISO 27001 in Ihr Projektmanagementsystem (PMS) integrieren können. Als konkretes Beispiel verwende ich hierfür das international weit verbreitete PMS PRINCE2® (AXELOS 2017). Selbstverständlich können die hier beschriebenen Ansätze auch analog auf andere PMS übertragen werden.

Mangelnde Informationssicherheit gefährdet den Projekterfolg

Projektbeteiligte sind auf Informationen angewiesen, um Aufgaben ausführen, Produkte beschreiben und Entscheidungen treffen zu können. Entscheidend dafür ist, dass Informationen vollständig und korrekt verfügbar sind. Zugleich dürfen diese Informationen nicht in die falschen Hände geraten. Ist dies nicht gewährleistet, kann das schwerwiegende Folgen für ein Projekt, das Unternehmen, die angeschlossenen Dienstleister und die Kunden haben. Die folgenden Beispiele illustrieren, wie wichtig in Projekten die Sicherheit von Informationen sowohl für den Projekt- als auch für den Unternehmenserfolg ist.

Fehlentscheidungen

Liegen unvollständige oder fehlerhafte Informationen vor, kann das zu Fehleinschätzungen (z.B. Dauer einer Aufgabe mit Auswirkung auf die geschätzte Projektdauer) und Fehlentscheidungen (z.B. durch unbekannte Risiken) führen, die sich langfristig auf Faktoren wie Kosten, Zeit und Qualität eines Projekts auswirken können.

Wiederbeschaffungsaufwände & Zusatzkosten

Kommen Informationen und ihre Datenträger abhanden und besteht keine entsprechende Sicherheitskopie, müssen Informationen neu generiert werden. Aufwände für die Neuanschaffung von Mobilgeräten wie Laptops und Handys belasten das Projektbudget.

Ineffizienter Ressourceneinsatz

Arbeiten Sie mit externen Mitarbeitern zusammen, kann die Nichtverfügbarkeit von Informationen zu Doppelarbeit und Aufwänden für die erneute Informationsbeschaffung führen, z.B. Erstellung einer Auswertung, die über das Projektbudget bezahlt werden müssen.

Terminverschiebungen & Planungsverzug

Stehen entscheidungsrelevante Informationen, z.B. Analyseergebnisse, nicht termingerecht bereit, müssen eventuell Besprechungen verschoben werden. Das hat negative Auswirkung auf Zeit und Verfügbarkeit der Beteiligten und auf die Fähigkeit zu zeitnahen, projektrelevanten Entscheidungen.

Verlust des Wettbewerbsvorsprungs

Die Grundlage für erfolgreiche Industriespionage und Produktpiraterie ist der unerlaubte aber mögliche Zugriff auf Informationen, die der Wettbewerb zu seinem Nutzen verwenden kann. Z.B. Skizzen, Konstruktionszeichnungen, Kalkulationen, Verträge, Analyseergebnisse, Prozessbeschreibungen, Patentinformationen, die den Wettbewerber durch Diebstahl von Daten von eigenen, aufwendigen Entwicklungstätigkeiten entlasten.

Reputationsschaden