Bundesamt für Sicherheit in der Informationstechnik

M 2.439 Konzeption und Organisation des Anforderungsmanagements

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Anforderungsmanager, Behörden-/Unternehmensleitung

Typischerweise gibt es in den verschiedenen Bereichen einer Institution Übersichten über die Anforderungen, die in diesen Bereichen und für deren Geschäftsprozesse relevant sind. Nicht immer sind dies formalisierte Übersichten, sondern oftmals Einzelinformationen in verschiedenen Strukturen und Wissen in den Köpfen von Experten. Durch die Komplexität vieler Geschäftsprozesse und Organisationsstrukturen sowie durch eine zunehmende Vielfalt an Vorgaben aus der internationalen Zusammenarbeit können sich hierbei schnell eine große Anzahl verschiedener Anforderungen ergeben.

Deswegen ist es sinnvoll, das vorhandene Wissen über die verschiedenen gesetzlichen, vertraglichen und sonstigen Vorgaben zusammenzutragen und, wenn nötig, zu ergänzen. Dafür müssen Verantwortliche benannt und deren Aufgaben im Bereich Anforderungsmanagement festgelegt werden. Die entsprechende Rolle wird häufig als "Anforderungsmanager" bezeichnet. Je nach Art und Größe der Institution kann es sinnvoll sein, einen oder mehrere Anforderungsmanager zu benennen.

In einigen Unternehmen wird auch die Bezeichnung "Compliance Manager" benutzt, dieser ist dann der zentrale Anforderungsmanager für die Institution. Sofern dies nicht durch andere Regelungen vorgeschrieben ist, muss hierfür aber keine neue Stelle geschaffen werden. Die Aufgabe kann beispielsweise vom Sicherheitsmanagement, der Revision, dem Controlling oder dem Justitiariat mit übernommen werden.

Die Benennung eines zentralen Anforderungsmanagers hat den Vorteil, dass dieser einen Überblick über die gesamte Institution hat, wodurch Doppelarbeiten und Konflikte frühzeitig erkannt und vermieden werden können. Mehrere Anforderungsmanager in den verschiedenen Bereichen einer Institution können andererseits meist besser die Bedürfnisse der von ihnen betreuten Zielgruppe abdecken. Im Folgenden wird der besseren Lesbarkeit wegen immer im Singular auf die Rolle des Anforderungsmanagers Bezug genommen.

Zu den Aufgaben eines Anforderungsmanagers (für die von ihm betreuten Bereiche) gehören:

  • Alle für die wesentlichen Geschäftsprozesse und Informationen sowie für den Betrieb von IT-Systemen und der zugehörigen physischen Infrastruktur zu beachtenden gesetzlichen, vertraglichen und sonstigen Vorgaben müssen identifiziert und dokumentiert werden (siehe M 2.340 Beachtung rechtlicher Rahmenbedingungen ).
  • Die Anforderungen sind strukturiert zu erfassen und aus den verschiedenen Bereichen zusammenzuführen und zu konsolidieren.
  • Um die einzelnen identifizierten Anforderungen zu erfüllen und angemessene Maßnahmen umzusetzen, müssen Verantwortliche benannt werden. Der Anforderungsmanager sollte regelmäßig überprüfen, ob die ergriffenen Maßnahmen geeignet sind, um die Anforderungen abzudecken.
  • Häufig müssen Anforderungen auch zunächst interpretiert und auf die Gegebenheiten der jeweiligen Institution übersetzt werden, da die meisten Gesetze und Vorgaben eher Ziele und Erwartungen formulieren, nicht aber wie deren Umsetzung konkret auszugestalten ist.
  • Alle Arten der genannten Anforderungen gehen auch jeweils auf eine bestimmte Zielgruppe zurück, die deren Einhaltung fordert oder prüft. Bei der Identifikation der Anforderungen sollte auch immer die Zielgruppe dokumentiert werden, um deren Bedürfnisse zu erfüllen. Dies erspart später viele Anpassungsarbeiten. Bei gesetzlichen Anforderungen ist es z. B. sinnvoll, festzuhalten, welche Instanz (also z. B. welche Aufsichtsstelle) deren Einhaltung prüft und in welcher Form hierfür die Informationen aufbereitet werden müssen.

In der folgenden Tabelle finden sich hierzu einige Beispiele:

Anforderungen Zielgruppe Verantwortlicher Anforderungsmanager
Datenschutz-Gesetze Datenschutz-Aufsicht Behördlicher oder betrieblicher Datenschutzbeauftragter
Arbeitsrecht Personalvertretung Personalreferat
Strafrecht Strafverfolgungsbehörden
Justitiariat / Hausjurist
Verträge Dienstleister
Kunden
Einkauf
Vertrieb
Sonstige Anforderungen Kooperationspartner Fachabteilung

Tabelle: Zuordnung von Anforderungen zu Zielgruppen und Anforderungsmanagern

Zusammenarbeit mit Sicherheitsmanagement

Die Informationssicherheit ist direkt oder indirekt ein zu beachtender Aspekt in fast allen Anforderungsbereichen. Dabei ist der IT-Sicherheitsbeauftragte nur in wenigen Fällen der Anforderungsmanager. Anforderungsmanager und IT-Sicherheitsbeauftragter müssen daher regelmäßig zusammenarbeiten, um einerseits die Sicherheitsanforderungen aus den verschiedenen Bereichen ins Anforderungsmanagement zu integrieren und andererseits die als sicherheitsrelevant identifizierten Anforderungen in Sicherheitsmaßnahmen zu überführen und deren Umsetzung zu kontrollieren.

Sicherheitsanforderungen ergeben sich in erster Linie durch die Auslegung allgemeiner Rechtsvorschriften, teilweise aus Spezialgesetzen sowie aus tätigkeits- oder branchenbezogenen Vorschriften, die die Sicherheit bestimmter Systeme, Dienstleistungen oder Tätigkeiten regeln. Dazu kommen zivilrechtliche Pflichten, deren (schuldhafte) Verletzung zu Haftung des Verantwortlichen führen kann. Beispiele sind

  • Datenschutzgesetze
  • KWG, KonTraG
  • Urheberrechtsgesetz
  • Verträge, Allgemeine Geschäftsbedingungen, etc.
  • Lizenzmanagement

Die als sicherheitsrelevant identifizierten Anforderungen fließen typischerweise bei der Planung und Konzeption von Geschäftsprozessen, Anwendungen und IT-Systemen oder bei der Beschaffung neuer Komponenten ein. Typische Beispiele in den IT-Grundschutz-Katalogen sind Maßnahmen wie M 2.419 Geeignete Auswahl von VPN-Produkten .

Prüffragen:

  • Gibt es in der Institution einen Überblick über die zu beachtenden gesetzlichen, vertraglichen und sonstigen Vorgaben?

  • Ist sichergestellt, dass die Maßnahmen zur Erfüllung der spezifischen Anforderungen umgesetzt werden und geeignet sind?

Stand: 11. EL Stand 2009