Risikomanagement in der Informationssicherheit

Risikomanagement in der Informationssicherheit
Was bedeutet Risikomanagement?

Grundsätzlich befasst sich das Risikomanagement mit allen Arten von Risiken, die bei einem Unternehmen Planabweichungen auslösen können, also z.B. mit strategischen Risiken, Marktrisiken, Ausfallrisiken sowie Compliance-Risiken und Risiken der Leistungserstellung. Die Anforderungen an das Risikomanagement werden in Deutschland geprägt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998 und dem darauf aufbauenden IDW Standard zur Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340). Demnach ist jedes Unternehmen in Deutschland verpflichtet, ein unternehmerisches Risikomanagement zu betreiben.

Warum ist ein funktionierendes Risikomanagement so wichtig?

Zertifizierungen im Bereich der Informationssicherheit werden immer wichtiger im Geschäftsumfeld. Seien es Kundenanforderungen, gesetzliche Vorgaben oder das eigene Sicherheitsbedürfnis, sein Unternehmen gegen IT-Angriffe zu sichern.

Wer sich schon einmal mit einer Zertifizierung und den Anforderungen der jeweiligen Normen (z.B. ISO/IEC 27001:2013, TISAX oder BSI Grundschutz) auseinandergesetzt hat wird zwangsläufig über das Thema Risikomanagement gestolpert sein. Aber was hat es damit auf sich und was muss beachtet werden?

Eine Risikobewertung im Bereich der Informationssicherheit verfolgt das Ziel, Risiken zu identifizieren, zu bewerten und passende Optionen für die Behandlung von Risiken aufzustellen. Hierdurch soll sichergestellt werden, dass Maßnahmen zur Informationssicherheit nicht „blind“ umgesetzt werden, sondern eine risikobasierte Umsetzung erfolgt. Würde man ohne eine Risikoanalyse und -bewertung Maßnahmen planen und umsetzen kann es passieren, dass Ressourcen an weniger riskanten Stellen eingesetzt werden, obwohl diese an anderer Stelle wesentlich sinnvoller investiert wären. Typische Risiken in der Informationssicherheit sind der Ausfall von Systemen und Anwendungen (Verfügbarkeit) oder der Verlust von Informationen, z.B. durch Diebstahl (Vertraulichkeit).

Typische Fehler im Risikomanagement – Was sollte vermieden werden

Viele Unternehmen tun sich bei der Umsetzung der Anforderungen zum Risikomanagement schwer und versuchen mit Hilfe einer toolgestützten Anwendung eine Risikobewertung durchzuführen. Dies birgt jedoch die Gefahr, dass „globalgalaktische“ Risiken bewertet werden, die wirklich interessanten und tatsächlich vorhandenen Risiken aber nicht dargestellt werden. Daher sollte man sich vor der Fragen nach einer toolgestützten Anwendung erst einmal mit der Methodik zum Risikomanagement beschäftigen und diese dokumentieren z.B. in Form einer Richtlinie zum Risikomanagement.

Ein ebenfalls klassischer Fehler ist die einmalige Aufnahme von Risiken, welche dann aber nicht weiter betrachtet werden. Ein nachhaltiges Risikomanagement kann nur dann zu einer spürbaren Verbesserung führen, wenn Risiken optimiert und permanent beobachtet und bei Bedarf neu bewertet werden. Ist dies nicht der Fall hat man einen „Papiertiger“ welcher keine Verbesserung der Informationssicherheit herbeiführt.

Auch sollte man den Begriff Risikobewertung nicht zu negativ belasten. Lieber sollte man die Vorteile aus bewerteten Risiken ziehen. Ein Risiko bedeutet auch immer eine Chance. Eine Chance zur Verbesserung. Wenn man definierten Risiken einmal die Chancen zur Verbesserung gegenhält, sieht das Thema Risikomanagement gar nicht mehr so düster aus.

Die klassischen Schritte im Risikomanagement

Bevor man sich nun „blind“ auf das Risikomanagement stürzt, sollte man sich das Vorgehen bei der Implementierung selber einmal skizzieren.

Der erste Schritt auf der Reise zum Risikomanagement sollte immer die Festlegung der Methodik zum Risikomanagement sein. Es müssen Regelungen definiert werden, wie das Risikomanagement durchgeführt werden soll. Hierzu gehören unter anderem,

  • Definition der Ziele des Risikomanagements
    • Zu Beginn müssen immer die Ziele des Risikomanagements dargestellt werden. Es muss klar benannt werden, was erreicht werden soll.
  • Beschreibung der Methodik zur Erfassung der Risiken
    • Als nächstes sollte die Methodik zur Erfassung der Risiken beschrieben werden. Hierzu gehören unter anderem in welcher Art und mit Hilfe welcher Anwendung Risiken erfasst werden und welche Verantwortlichkeiten sich ergeben
  • Festlegung von Bewertungskriterien der Risiken
    • Entscheidung welche Norm als Grundlage für Risikomanagement gewählt werden soll und welche Gefährdungen als Orientierung für die Risikobewertung dienen
  • Definition der Werte für die Eintrittswahrscheinlichkeit
    • Hier muss festgelegt werden, wie die Eintrittswahrscheinlichkeit eines Risikos bewertet wird. Als praxistauglich hat sich hier eine Einteilung in 4 Klassen bewährt (gering, mittel, hoch, sehr hoch)
  • Definition der Werte für die Schadenskategorien
    • Hier müssen die Schadenskategorien definiert werden. Auch hier macht eine Einteilung in 4 Klassen Sinn (gering, mittel, hoch, sehr hoch)
  • Festlegung der Risikomatrix
    • Die Risikomatrix stellt das Risikoergebnis aus der Eintrittswahrscheinlichkeit und der Schadenskategorie dar
  • Beschreibung der Risikoakzeptanzgrenze
    • Es muss eine Grenze festgesetzt werden, bis zu welcher Risikohöhe Risiken akzeptiert werden dürfen. Alle Risiken, die über dieser Grenze liegen, sollten behandelt werden
  • Bestimmung der möglichen Risikobehandlungsoptionen
    • Zu den klassischen Behandlungsoptionen gehören die Akzeptanz, die Reduzierung, die Vermeidung und der Transfer

Eine Frage, die man bei der Implementierung von vorneweg betrachten sollte, ist die Grundlage, nach welcher man das Risikomanagement aufbauen möchte. Hier gibt es diverse Normen welche als Orientierung dienen können. Auch bei einer Zertifizierung eines ISMS nach der ISO 27001 lässt die Norm bei der Auswahl einer Methodik für das Risikomanagement freie Hand.

Entsprechend dem Ziel und Zweck können dabei unterschiedliche Risikoanalysen oder Standards mehr oder weniger sinnvoll sein. Mögliche Methoden zur Risikoanalyse finden sich im Standard 100-3 des Bundesamtes für Sicherheit und Informationstechnik (BSI). Weitere Grundsätze und Leitlinien zum Risikomanagement können Unternehmen in der Norm ISO 31000 finden. Gerade für IT-basierte Umgebungen eignet sich jedoch die Vorgehensweise nach der ISO IEC 27005 sehr gut. Dabei gibt diese Norm Empfehlungen für die Umsetzung des Risikomanagements. Zudem ist die ISO 27005 mit der ISO 31000 abgestimmt.

Die wichtigsten Schritte und Aufgaben zur Implementierung eines Risikomanagements haben wir in einer Checkliste im Ansatz dargestellt.

Das könnte Sie auch interessieren

Computer Security Day IT-Sicherheit für Zuhause
Home Office – IT-Sicherheit für Zuhause

Home Office – IT-Sicherheit für Zuhause

Vor genau vier Jahren hat sich unser Leben durch Corona stark verändert: Einschränkungen, Lockdowns und die Umstellung auf Homeoffice prägten ...
Implementierung eines Managementsystems
Implementierung eines Managementsystems: Die Einbindung der Betriebsräte

Implementierung eines Managementsystems: Die Einbindung der Betriebsräte

Warum ist eine frühzeitige Einbindung der Betriebsräte bei der Implementierung eines Managementsystems entscheidend? Ist der Betriebsrat eine interessierte Partei und ...
migo Blogartikel - Integrierte Managementsysteme
Integrierte Managementsysteme: Was macht Sinn?

Integrierte Managementsysteme: Was macht Sinn?

Der Ausfall eines Lieferanten oder der Angriff auf die IT-Infrastruktur sind Risiken, denen jede Organisation ausgesetzt ist. Ein angemessenes Risikomanagement ...
System Administrator Appreciation Day
Informationssicherheits-Anforderungen an Systemadministratoren

Informationssicherheits-Anforderungen an Systemadministratoren

Donnerstagnacht, kurz vor 23 Uhr. Das ganze Unternehmen schläft. Das ganze Unternehmen? Nein, ein unerschrockener Held trotzt seiner Müdigkeit und ...
Sicher im Homeoffice
Wir dürfen uns jetzt keinen zweiten Virus einfangen – Informationssicherheit im Homeoffice

Wir dürfen uns jetzt keinen zweiten Virus einfangen – Informationssicherheit im Homeoffice

Die aktuelle Lage aufgrund der „Corona-Krise“ hat große Auswirkungen auf die Unternehmen in unserem Land. Um den persönlichen Kontakt untereinander ...
Standarddatenschutzklauseln
BayLDA sieht Einsatz von Mailchimp als unzulässig an – Prüfpflichten beim Einsatz der Standarddatenschutzklauseln

BayLDA sieht Einsatz von Mailchimp als unzulässig an – Prüfpflichten beim Einsatz der Standarddatenschutzklauseln

Der EuGH erklärte im Juli 2020 nicht nur das Privacy Shiel Abkommen zwischen der EU und den USA für unwirksam ...
Nur noch 1 Jahr Umsetzungsfrist: IT-Sicherheitskatalog für Energieanlagen
IT-Sicherheitskatalog für Energieanlagen

IT-Sicherheitskatalog für Energieanlagen

Der Countdown läuft. Für Betreiber von Energieanlagen, die als kritische Infrastrukturen gelten, hat das letzte Jahr für die Umsetzung aller ...
Starke Authentisierung statt Passwortwechsel
Starke Authentisierung statt Passwortwechsel

Starke Authentisierung statt Passwortwechsel

Heute, am 01. Februar, ist der „Ändere dein Passwort“-Tag. Wir erläutern, warum dieser Tag kaum noch Existenzberechtigung hat. Außerdem erläutern ...

Podcast

Jeden Freitag bekommen Sie mit den Datenschutz News einen kurzen Wochenrückblick der aktuellen Datenschutz-Themen. In unseren Themenfolgen geht es um rechtliche, technische und organisatorische Themen aus der Praxis, die wir mit wechselnden Experten aus den Bereichen Datenschutz und Informationssicherheit beleuchten.

Spotify iTunes Deezer

Newsletter

Für unser Datenschutz Update anmelden:


Mit dem Klick auf „Anmelden“ bestätige ich, dass ich per E-Mail Datenschutz-Updates erhalten möchte. Ich bin damit einverstanden, dass migosens GmbH meine Interaktionen mit dem Newsletter für die Optimierung der Newsletter-Inhalten sowie die Verbesserung der Newsletter-Kampagnen auswertet. Mehr erfahren ⯆


Newsletter März