Ein technisches Versagen dieses Systems stellt eine hohe Bedrohung des Sicherheitsziels dar, sodass das System für das Kriterium „Bedrohung“ mit „3“ den größten Wert erhält. Weil aber das System redundant in beiden Rechenzentren läuft, ist ein technischer Ausfall unwahrscheinlich. Also erhält dieses Asset die niedrige Einstufung „1“ in der Kategorie „Schwachstelle“.

Aus der Multiplikation der drei Werte 3 x 3 x 1 ergibt sich das Ergebnis „9“. In der Klassifikation bekommt dieses Asset deshalb eine Einstufung im Bereich „Gelb“, was heißt: Für das Asset werden zurzeit keine weiteren Maßnahmen ergriffen, es bleibt aber unter Beobachtung. Wäre der Wert größer 9, läge es im roten Bereich, unter 9 im grünen. Insgesamt hat SEW 578 solcher Szenarien dokumentiert.

Kosten-Nutzen-Rechnung scheitert

Aus diesem Ergebnis resultieren Antworten auf die Frage, wie das Unternehmen mit den Risiken umgeht. „Wenn uns das Niveau zu niedrig erschien, haben wir Maßnahmen ergriffen, um das gewünschte Ziel zu erreichen“, sagt Hoppe. Diese Maßnahmen ergeben sich aus dem ersten Sicherheits-Audit durch den TÜV Süddeutschland im April 2006. Der TÜV prüft dabei nicht das Sicherheitsniveau, sondern ob das Sicherheits-Management-System den ISO-Kriterien entspricht. IT-Chef Hoppe erklärt: „Die ISO-Norm schreibt kein bestimmtes Sicherheitsheitsniveau vor. Sie legt nur fest, wie ein Sicherheits-Management auszusehen hat.“