Zum Inhalt springen

Risikomanagement in der Informationssicherheit

    Risikomanagement in der Informationssicherheit
    Was bedeutet Risikomanagement?

    Grundsätzlich befasst sich das Risikomanagement mit allen Arten von Risiken, die bei einem Unternehmen Planabweichungen auslösen können, also z.B. mit strategischen Risiken, Marktrisiken, Ausfallrisiken sowie Compliance-Risiken und Risiken der Leistungserstellung. Die Anforderungen an das Risikomanagement werden in Deutschland geprägt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998 und dem darauf aufbauenden IDW Standard zur Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340). Demnach ist jedes Unternehmen in Deutschland verpflichtet, ein unternehmerisches Risikomanagement zu betreiben.

    Warum ist ein funktionierendes Risikomanagement so wichtig?

    Zertifizierungen im Bereich der Informationssicherheit werden immer wichtiger im Geschäftsumfeld. Seien es Kundenanforderungen, gesetzliche Vorgaben oder das eigene Sicherheitsbedürfnis, sein Unternehmen gegen IT-Angriffe zu sichern.

    Wer sich schon einmal mit einer Zertifizierung und den Anforderungen der jeweiligen Normen (z.B. ISO/IEC 27001:2013, TISAX oder BSI Grundschutz) auseinandergesetzt hat wird zwangsläufig über das Thema Risikomanagement gestolpert sein. Aber was hat es damit auf sich und was muss beachtet werden?

    Eine Risikobewertung im Bereich der Informationssicherheit verfolgt das Ziel, Risiken zu identifizieren, zu bewerten und passende Optionen für die Behandlung von Risiken aufzustellen. Hierdurch soll sichergestellt werden, dass Maßnahmen zur Informationssicherheit nicht „blind“ umgesetzt werden, sondern eine risikobasierte Umsetzung erfolgt. Würde man ohne eine Risikoanalyse und -bewertung Maßnahmen planen und umsetzen kann es passieren, dass Ressourcen an weniger riskanten Stellen eingesetzt werden, obwohl diese an anderer Stelle wesentlich sinnvoller investiert wären. Typische Risiken in der Informationssicherheit sind der Ausfall von Systemen und Anwendungen (Verfügbarkeit) oder der Verlust von Informationen, z.B. durch Diebstahl (Vertraulichkeit).

    Typische Fehler im Risikomanagement – Was sollte vermieden werden

    Viele Unternehmen tun sich bei der Umsetzung der Anforderungen zum Risikomanagement schwer und versuchen mit Hilfe einer toolgestützten Anwendung eine Risikobewertung durchzuführen. Dies birgt jedoch die Gefahr, dass „globalgalaktische“ Risiken bewertet werden, die wirklich interessanten und tatsächlich vorhandenen Risiken aber nicht dargestellt werden. Daher sollte man sich vor der Fragen nach einer toolgestützten Anwendung erst einmal mit der Methodik zum Risikomanagement beschäftigen und diese dokumentieren z.B. in Form einer Richtlinie zum Risikomanagement.

    Ein ebenfalls klassischer Fehler ist die einmalige Aufnahme von Risiken, welche dann aber nicht weiter betrachtet werden. Ein nachhaltiges Risikomanagement kann nur dann zu einer spürbaren Verbesserung führen, wenn Risiken optimiert und permanent beobachtet und bei Bedarf neu bewertet werden. Ist dies nicht der Fall hat man einen „Papiertiger“ welcher keine Verbesserung der Informationssicherheit herbeiführt.

    Auch sollte man den Begriff Risikobewertung nicht zu negativ belasten. Lieber sollte man die Vorteile aus bewerteten Risiken ziehen. Ein Risiko bedeutet auch immer eine Chance. Eine Chance zur Verbesserung. Wenn man definierten Risiken einmal die Chancen zur Verbesserung gegenhält, sieht das Thema Risikomanagement gar nicht mehr so düster aus.

    Die klassischen Schritte im Risikomanagement

    Bevor man sich nun „blind“ auf das Risikomanagement stürzt, sollte man sich das Vorgehen bei der Implementierung selber einmal skizzieren.

    Der erste Schritt auf der Reise zum Risikomanagement sollte immer die Festlegung der Methodik zum Risikomanagement sein. Es müssen Regelungen definiert werden, wie das Risikomanagement durchgeführt werden soll. Hierzu gehören unter anderem,

    • Definition der Ziele des Risikomanagements
      • Zu Beginn müssen immer die Ziele des Risikomanagements dargestellt werden. Es muss klar benannt werden, was erreicht werden soll.
    • Beschreibung der Methodik zur Erfassung der Risiken
      • Als nächstes sollte die Methodik zur Erfassung der Risiken beschrieben werden. Hierzu gehören unter anderem in welcher Art und mit Hilfe welcher Anwendung Risiken erfasst werden und welche Verantwortlichkeiten sich ergeben
    • Festlegung von Bewertungskriterien der Risiken
      • Entscheidung welche Norm als Grundlage für Risikomanagement gewählt werden soll und welche Gefährdungen als Orientierung für die Risikobewertung dienen
    • Definition der Werte für die Eintrittswahrscheinlichkeit
      • Hier muss festgelegt werden, wie die Eintrittswahrscheinlichkeit eines Risikos bewertet wird. Als praxistauglich hat sich hier eine Einteilung in 4 Klassen bewährt (gering, mittel, hoch, sehr hoch)
    • Definition der Werte für die Schadenskategorien
      • Hier müssen die Schadenskategorien definiert werden. Auch hier macht eine Einteilung in 4 Klassen Sinn (gering, mittel, hoch, sehr hoch)
    • Festlegung der Risikomatrix
      • Die Risikomatrix stellt das Risikoergebnis aus der Eintrittswahrscheinlichkeit und der Schadenskategorie dar
    • Beschreibung der Risikoakzeptanzgrenze
      • Es muss eine Grenze festgesetzt werden, bis zu welcher Risikohöhe Risiken akzeptiert werden dürfen. Alle Risiken, die über dieser Grenze liegen, sollten behandelt werden
    • Bestimmung der möglichen Risikobehandlungsoptionen
      • Zu den klassischen Behandlungsoptionen gehören die Akzeptanz, die Reduzierung, die Vermeidung und der Transfer

    Eine Frage, die man bei der Implementierung von vorneweg betrachten sollte, ist die Grundlage, nach welcher man das Risikomanagement aufbauen möchte. Hier gibt es diverse Normen welche als Orientierung dienen können. Auch bei einer Zertifizierung eines ISMS nach der ISO 27001 lässt die Norm bei der Auswahl einer Methodik für das Risikomanagement freie Hand.

    Entsprechend dem Ziel und Zweck können dabei unterschiedliche Risikoanalysen oder Standards mehr oder weniger sinnvoll sein. Mögliche Methoden zur Risikoanalyse finden sich im Standard 100-3 des Bundesamtes für Sicherheit und Informationstechnik (BSI). Weitere Grundsätze und Leitlinien zum Risikomanagement können Unternehmen in der Norm ISO 31000 finden. Gerade für IT-basierte Umgebungen eignet sich jedoch die Vorgehensweise nach der ISO IEC 27005 sehr gut. Dabei gibt diese Norm Empfehlungen für die Umsetzung des Risikomanagements. Zudem ist die ISO 27005 mit der ISO 31000 abgestimmt.

    Die wichtigsten Schritte und Aufgaben zur Implementierung eines Risikomanagements haben wir in einer Checkliste im Ansatz dargestellt.