Anzeige

Risikomanagement Treppe

Leben ohne Risiko gibt es nicht, weder im privaten Umfeld noch im Geschäftsleben. Risiken, deren Einschätzung und ihre Absicherung bestimmen viele Bereichen unser Lebens. Vor allem in der IT-Welt, denn hier existieren zahlreiche Risiken, die einen großen Verlust oder gar einen Konkurs nach sich ziehen können.

Die täglichen Meldungen über Datendiebstahl oder Hackerangriffe verdeutlichen dies immer wieder.

Neben den geläufigen Themen gibt es zudem Risiken im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften oder Regularien für bestimmte Branchen. Beispiele sind die DSGVO, das Netz- und Informationssystemsicherheitsgesetz (NISG) für mehr Cybersicherheit oder spezielle Zertifizierungen, etwa nach den Normen ISO 27001 (Informationssicherheit) oder die Prüfung nach ISAE 3402 (internes Kontrollsystem).

Welche Risiken es gibt, können die meisten Unternehmenslenker oder IT-Leiter sehr gut einschätzen. Wie hoch ihre Eintrittswahrscheinlichkeit ist und vor allem welcher Schaden anfällt, dieses abzuschätzen und im Blick zu haben ist alles andere als trivial. Große Unternehmen delegieren das Risikomanagement daher an spezialisierte Fachabteilungen. Mittelständische Unternehmen (KMU) haben jedoch oft nicht die Ressourcen, um das intern an Spezialisten zu delegieren und sind daher auf Alternativen angewiesen. Zum Glück gibt es diese. Im Folgenden möchte ich einen 5-Punkte-Plan vorstellen, mit dem das Risikomanagement auch für KMU relativ einfach durchführbar ist.

In 5 Schritten zum Risikomanagement

Vor der Einführung eines Risikomanagements stellt sich für KMU die Frage, wie eine „vernünftige“ Implementierung aussehen kann, bei der Aufwand, Kosten und Nutzen zueinander in einem angemessenen Verhältnis stehen. Hilfreiche Ansatzpunkte liefern hierbei die Normen „ISO 31000 (Risikomanagement)“, „ISO 27005 (Information Security Risk Management)“ sowie unterschiedliche Branchenstandards mit allen Vor- und Nachteilen, die es abzuwägen gilt. Adacor hat diese Standards analysiert und sie auf brauchbare, einfach zu realisierende Ansatzpunkte hin ausgewertet. Dabei wurde ein 5-Stufen-Modell entwickelt, das über die reinen IT-Risiken hinaus nutzbar ist.

  1. Firmenwerte identifizieren und Risikoszenarien zuordnen
  2. Rahmenparameter definieren und Punktwerte festlegen
  3. Risiken bewerten und Handlungsvorgaben differenzieren
  4. Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen
  5. Wertaktualität überwachen und Prozesskontinuität sicherstellen

Wenn Unternehmen ein effizientes Risikomanagement einführen wollen, müssen dafür im Vorfeld einige Weichen gestellt werden. Vorab erfolgt dazu eine klare Definition der Aufgaben, die im Zusammenhang mit der Implementierung zu erledigen sind, inklusive einer eindeutigen Zuweisung der personellen Verantwortlichkeiten. Sind die wichtigsten Voraussetzungen erfüllt, kann schrittweise die Umsetzung des Risikomanagements erfolgen. 

Im ersten Schritt gilt es, vorhandene Firmenwerte zu identifizieren und Risikoszenarien zuordnen. Dabei umfasst der Begriff „Firmenwert“ alles, was für den Fortbestand des Geschäftsbetriebs wichtig ist. Dazu zählen zum Beispiel die Geschäftsräume, Anwendungen, IT-Systeme, Prozesse, Personal und Lieferanten. Hier müssen diejenigen Dinge identifiziert werden, die potenziell einem Risiko ausgesetzt sind und damit Einfluss auf den Geschäftsbetrieb nehmen können. Im Anschluss daran werden Risikoszenarien denen die Firmenwerte ausgesetzt sind, katalogisiert. Sehr hilfreich ist hier der Katalog der Elementargefährdungen des BSI als Orientierung.

Punktesystem hilft, die Risiken zu quantifizieren

Um Risiken praxisnah bewerten zu können, müssen zuerst die passenden Parameter definiert werden. Klassisch wird das Risiko gemäß der Formel „Risiko = Häufigkeit x Schaden” berechnet. Für die Parameter „Häufigkeit“ und „Schaden“ werden dazu verschiedene Abstufungen festgelegt und Punktwerte vergeben. Relevant ist hierbei die tatsächliche Häufigkeit, mit der das Ereignis zu erwarten ist. Das könnte beispielsweise wie folgt aussehen:

  • Hoch – täglich bis wöchentlich (3 Punkte)
  • Mittel – monatlich bis jährlich (2 Punkte)
  • Niedrig – seltener als jährlich (1 Punkt)

Analog dazu wird auch für die Einschätzung der Folgen eines Schadens ein Punktesystem entwickelt:

  • Niedrig (zu vernachlässigen) – keine Folgen (1 Punkt)
  • Mittel (begrenzt) – geringe Folgen (2 Punkte)
  • Hoch (beträchtlich) – hohe Folgen (3 Punkte)
  • Sehr hoch (existenzbedrohend) – existenzbedrohende Folgen (4 Punkte)

Aus den Punktescores für Schaden und Häufigkeit lässt sich entsprechend der Formel (Risiko = Häufigkeit x Schaden) eine Risikomatrix erstellen, die einzelne Risiken wie beispielsweise einen Blitzschlag bewertet und definierten Werten Handlungsvorgaben zuweist. Mit dieser Systematik kann die unternehmensspezifische „Risikotoleranz“ abgebildet werden.

Risikomatrix

Um aus den Werten eine konkrete Handlungsanweisung ableiten zu können, werden die dazu gehörigen Handlungsvorgaben unterschieden und konkreten Punktzahlen zugewiesen. In der Beispielmatrix könnte ein akzeptables Risiko ohne notwendige Handlung bei 1 bis 2 Punkten liegen. Ein Risiko mit 3-7 Punkte bedeutet ein akzeptables Risiko, das abgesichert werden sollte. Im Bereich von 8 bis 12 Punkten ist das Risiko nicht mehr akzeptabel und es müssen Schritte unternommen werden, um den Eintritt des Risikos zu verhindern bzw. die auftretenden Schäden abzuschwächen, um den Geschäftsbetrieb aufrecht halten zu können.

Risikomanagement braucht Kontinuität

Probleme lösen sich bekanntlich nur in den seltensten Fällen von allein. Mit der Risikomatrix haben Unternehmen ein Werkzeug an der Hand, um ihre Risiken einschätzen und große Risiken mit Priorität behandeln zu können. Für die konkrete Risikoanalyse können die drei genannten Schritte (Firmenwerte identifizieren, Risikoszenarien zuordnen und Risiken bewerten) in einer Tabelle abgebildet werden. Jede einzelne Maßnahme kann in der Liste als zusätzliche Spalten gepflegt werden. Sie sollte entweder die Häufigkeit oder den Schaden verringern und im normalen Aufgabenmanagement der Firma fest verankert sein.

Wichtig ist, dass die Risikoanalyse permanent auf Aktualität und Stimmigkeit hin überprüft wird. Jeder, der unternehmerisch tätig ist, weiß, dass die Wirtschaft sich ständig verändert und Firmen auf die veränderten Variablen reagieren müssen. Hinzu kommt, dass sich im Laufe der Zeit auch die Risikotoleranz eines Unternehmens verändern kann. Die Stufen der Rahmenparameter und die dazugehörigen Punktwerte, die Schadensdefinitionen, die Risikobewertungen und die Handlungsanweisungen sollten daher konsequent und fortlaufend validiert werden.

Andreas Bachmann, CIO
Andreas Bachmann
CIO, Adacor Hosting
Andreas Bachmann ist Mitgründer der ADACOR Hosting. Er bekleidet die Funktion des Chief Information Officer. Als Geschäftsführer verantwortet er die Bereiche Softwareentwicklung, Marketing, Datenschutz und Compliance. In seinen Beiträgen beschäftigt er sich mit Datensicherheit und IT-Security. Weitere Schwerpunkte sind wichtige Methoden strategischer Managementführung und die Erfahrungen bei der Umsetzung damit einhergehender Prozessanpassungen.

Weitere Artikel

2021

Im Jahr 2021 wurden über 40 Milliarden Datensätze offengelegt

Laut einer Studie von Tenable, spezialisiert auf Cyber Exposure, wurden im Jahr 2021 weltweit mindestens 40.417.167.937 Datensätze offengelegt. Dies wurde durch die Analyse von 1.825 Datenverletzungen, die zwischen November 2020 und Oktober 2021 öffentlich…
Cyber Security

5 Schritte um Ihre IT-Sicherheit zu stärken

Fast neun von zehn Unternehmen (88 Prozent) wurden laut einer Bitkom-Umfrage in den Jahren 2020/2021 Opfer von Cyberangriffen. Starke IT-Sicherheitsvorkehrungen müssen damit für Unternehmen Priorität haben, um sich und ihre Anwendungen vor Bedrohungen zu…
Supply Chain

Es braucht keine Katastrophe, um die Lieferkette zu unterbrechen

Noch bis vor wenigen Jahren war die Sicherheit von Lieferketten für die meisten von uns nicht unbedingt ein Thema, über das wir regelmäßig nachdenken mussten. Es genügt festzustellen, dass sie seither deutlich häufiger in den Schlagzeilen zu finden ist - und…
Cyber Security

Was steht der Cybersicherheit im Jahr 2022 bevor?

2021 war ein Jahr, in dem sich die Ereignisse überschlugen. Die Pandemie führte zu mehr Spaltung, mehr Isolation und einem allgemeinen Unsicherheitsgefühl in vielen Lebensbereichen. In der Cybersicherheit gab es einen starken Anstieg der Zahl der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.