Anzeige

Risikomanagement Treppe

Leben ohne Risiko gibt es nicht, weder im privaten Umfeld noch im Geschäftsleben. Risiken, deren Einschätzung und ihre Absicherung bestimmen viele Bereichen unser Lebens. Vor allem in der IT-Welt, denn hier existieren zahlreiche Risiken, die einen großen Verlust oder gar einen Konkurs nach sich ziehen können.

Die täglichen Meldungen über Datendiebstahl oder Hackerangriffe verdeutlichen dies immer wieder.

Neben den geläufigen Themen gibt es zudem Risiken im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften oder Regularien für bestimmte Branchen. Beispiele sind die DSGVO, das Netz- und Informationssystemsicherheitsgesetz (NISG) für mehr Cybersicherheit oder spezielle Zertifizierungen, etwa nach den Normen ISO 27001 (Informationssicherheit) oder die Prüfung nach ISAE 3402 (internes Kontrollsystem).

Welche Risiken es gibt, können die meisten Unternehmenslenker oder IT-Leiter sehr gut einschätzen. Wie hoch ihre Eintrittswahrscheinlichkeit ist und vor allem welcher Schaden anfällt, dieses abzuschätzen und im Blick zu haben ist alles andere als trivial. Große Unternehmen delegieren das Risikomanagement daher an spezialisierte Fachabteilungen. Mittelständische Unternehmen (KMU) haben jedoch oft nicht die Ressourcen, um das intern an Spezialisten zu delegieren und sind daher auf Alternativen angewiesen. Zum Glück gibt es diese. Im Folgenden möchte ich einen 5-Punkte-Plan vorstellen, mit dem das Risikomanagement auch für KMU relativ einfach durchführbar ist.

In 5 Schritten zum Risikomanagement

Vor der Einführung eines Risikomanagements stellt sich für KMU die Frage, wie eine „vernünftige“ Implementierung aussehen kann, bei der Aufwand, Kosten und Nutzen zueinander in einem angemessenen Verhältnis stehen. Hilfreiche Ansatzpunkte liefern hierbei die Normen „ISO 31000 (Risikomanagement)“, „ISO 27005 (Information Security Risk Management)“ sowie unterschiedliche Branchenstandards mit allen Vor- und Nachteilen, die es abzuwägen gilt. Adacor hat diese Standards analysiert und sie auf brauchbare, einfach zu realisierende Ansatzpunkte hin ausgewertet. Dabei wurde ein 5-Stufen-Modell entwickelt, das über die reinen IT-Risiken hinaus nutzbar ist.

  1. Firmenwerte identifizieren und Risikoszenarien zuordnen
  2. Rahmenparameter definieren und Punktwerte festlegen
  3. Risiken bewerten und Handlungsvorgaben differenzieren
  4. Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen
  5. Wertaktualität überwachen und Prozesskontinuität sicherstellen

Wenn Unternehmen ein effizientes Risikomanagement einführen wollen, müssen dafür im Vorfeld einige Weichen gestellt werden. Vorab erfolgt dazu eine klare Definition der Aufgaben, die im Zusammenhang mit der Implementierung zu erledigen sind, inklusive einer eindeutigen Zuweisung der personellen Verantwortlichkeiten. Sind die wichtigsten Voraussetzungen erfüllt, kann schrittweise die Umsetzung des Risikomanagements erfolgen. 

Im ersten Schritt gilt es, vorhandene Firmenwerte zu identifizieren und Risikoszenarien zuordnen. Dabei umfasst der Begriff „Firmenwert“ alles, was für den Fortbestand des Geschäftsbetriebs wichtig ist. Dazu zählen zum Beispiel die Geschäftsräume, Anwendungen, IT-Systeme, Prozesse, Personal und Lieferanten. Hier müssen diejenigen Dinge identifiziert werden, die potenziell einem Risiko ausgesetzt sind und damit Einfluss auf den Geschäftsbetrieb nehmen können. Im Anschluss daran werden Risikoszenarien denen die Firmenwerte ausgesetzt sind, katalogisiert. Sehr hilfreich ist hier der Katalog der Elementargefährdungen des BSI als Orientierung.

Punktesystem hilft, die Risiken zu quantifizieren

Um Risiken praxisnah bewerten zu können, müssen zuerst die passenden Parameter definiert werden. Klassisch wird das Risiko gemäß der Formel „Risiko = Häufigkeit x Schaden” berechnet. Für die Parameter „Häufigkeit“ und „Schaden“ werden dazu verschiedene Abstufungen festgelegt und Punktwerte vergeben. Relevant ist hierbei die tatsächliche Häufigkeit, mit der das Ereignis zu erwarten ist. Das könnte beispielsweise wie folgt aussehen:

  • Hoch – täglich bis wöchentlich (3 Punkte)
  • Mittel – monatlich bis jährlich (2 Punkte)
  • Niedrig – seltener als jährlich (1 Punkt)

Analog dazu wird auch für die Einschätzung der Folgen eines Schadens ein Punktesystem entwickelt:

  • Niedrig (zu vernachlässigen) – keine Folgen (1 Punkt)
  • Mittel (begrenzt) – geringe Folgen (2 Punkte)
  • Hoch (beträchtlich) – hohe Folgen (3 Punkte)
  • Sehr hoch (existenzbedrohend) – existenzbedrohende Folgen (4 Punkte)

Aus den Punktescores für Schaden und Häufigkeit lässt sich entsprechend der Formel (Risiko = Häufigkeit x Schaden) eine Risikomatrix erstellen, die einzelne Risiken wie beispielsweise einen Blitzschlag bewertet und definierten Werten Handlungsvorgaben zuweist. Mit dieser Systematik kann die unternehmensspezifische „Risikotoleranz“ abgebildet werden.

Risikomatrix

Um aus den Werten eine konkrete Handlungsanweisung ableiten zu können, werden die dazu gehörigen Handlungsvorgaben unterschieden und konkreten Punktzahlen zugewiesen. In der Beispielmatrix könnte ein akzeptables Risiko ohne notwendige Handlung bei 1 bis 2 Punkten liegen. Ein Risiko mit 3-7 Punkte bedeutet ein akzeptables Risiko, das abgesichert werden sollte. Im Bereich von 8 bis 12 Punkten ist das Risiko nicht mehr akzeptabel und es müssen Schritte unternommen werden, um den Eintritt des Risikos zu verhindern bzw. die auftretenden Schäden abzuschwächen, um den Geschäftsbetrieb aufrecht halten zu können.

Risikomanagement braucht Kontinuität

Probleme lösen sich bekanntlich nur in den seltensten Fällen von allein. Mit der Risikomatrix haben Unternehmen ein Werkzeug an der Hand, um ihre Risiken einschätzen und große Risiken mit Priorität behandeln zu können. Für die konkrete Risikoanalyse können die drei genannten Schritte (Firmenwerte identifizieren, Risikoszenarien zuordnen und Risiken bewerten) in einer Tabelle abgebildet werden. Jede einzelne Maßnahme kann in der Liste als zusätzliche Spalten gepflegt werden. Sie sollte entweder die Häufigkeit oder den Schaden verringern und im normalen Aufgabenmanagement der Firma fest verankert sein.

Wichtig ist, dass die Risikoanalyse permanent auf Aktualität und Stimmigkeit hin überprüft wird. Jeder, der unternehmerisch tätig ist, weiß, dass die Wirtschaft sich ständig verändert und Firmen auf die veränderten Variablen reagieren müssen. Hinzu kommt, dass sich im Laufe der Zeit auch die Risikotoleranz eines Unternehmens verändern kann. Die Stufen der Rahmenparameter und die dazugehörigen Punktwerte, die Schadensdefinitionen, die Risikobewertungen und die Handlungsanweisungen sollten daher konsequent und fortlaufend validiert werden.

Andreas Bachmann, CIO
Andreas Bachmann
CIO, Adacor Hosting
Andreas Bachmann ist Mitgründer der ADACOR Hosting. Er bekleidet die Funktion des Chief Information Officer. Als Geschäftsführer verantwortet er die Bereiche Softwareentwicklung, Marketing, Datenschutz und Compliance. In seinen Beiträgen beschäftigt er sich mit Datensicherheit und IT-Security. Weitere Schwerpunkte sind wichtige Methoden strategischer Managementführung und die Erfahrungen bei der Umsetzung damit einhergehender Prozessanpassungen.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!