VERANSTALTUNGEN

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

ELO Solution Day - Stuttgart
18.10.18 - 18.10.18
In Kornwestheim (bei Stuttgart)

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

Fensterputzer

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung erledigt, ist der aufwändigste Part eines Informationssicherheits-Managementsystems (ISMS) umgesetzt.

Im Zuge der Implementierung eines ISMS muss sich jede Organisation mit dem Thema Risikomanagement auseinandersetzen. Schutzbedarf, Risiko, Gefährdung, Risikokriterien, Risikoakzeptanz. Diese unterschiedlichen Begriffe gilt es zu verstehen, einzuordnen und in den Zusammenhang zu bringen. Doch was genau steckt dahinter? Ist eine Gefährdung einem Risiko gleichzusetzen? Was können mögliche Risikokriterien sein? Und ab wann greift die Risikoakzeptanz? Die Verwirrung ist groß, was genau ist zu tun und vor allem wie?

Es existieren kaum noch Geschäftsprozesse, die nicht IT-gestützt sind. Störungen oder gar Ausfälle der IT-Systeme können zu Produktionsausfällen, Abrechnungsausfällen und somit Umsatzeinbußen bis hin zu existenziellen Bedrohungen für die Organisationen führen. Mögliche Risiken sind bspw. mangelnde Verfügbarkeit, Datenmanipulationen, gezielte und ungezielte Hackerangriffe, Datenverlust, Datenmissbrauch oder Industriespionage. Diese und andere für die Organisation relevante Risiken gilt es zu bewerten und zu behandeln. Das Risikomanagement bildet das Kernelement eines ISMS. Stellen Sie sich also einmal vor, was passiert, wenn Sie die Aufgabe erhalten, einen Prozess zur Informationssicherheitsrisikobeurteilung zu definieren. Kennen Sie den Normtext und wissen, wie die Begriffe einzuordnen sind? In der Realität wären wohl die meisten von uns erst mal ziemlich ratlos und würden nach entsprechenden Hilfestellungen suchen. 

Office-Lösung oder Beratungsansatz?

Genau wie bei anderen Disziplinen auch gibt es bei der Einführung eines IT-Risikomanagements unterschiedliche Herangehensweisen. Die wohl immer noch am weitesten verbreitete Methode ist die Erstellung von Word- und Excel-Dokumenten. Die größte Gefahr dabei ist, dass die Risiken zwar mit einem sehr hohen manuellen Aufwand auf irgendeine Art und Weise dokumentiert werden, durch die geringen Auswertungs- und Kontrollmöglichkeiten jedoch wichtige Schritte des Risikomanagements nur bedingt durchführbar sind. Weiterhin kann bei einer solchen Vorgehensweise die angestrebte Transparenz nicht erreicht werden. Auf diese Weise werden zwar unzählige Dokumente in der Organisation erstellt, das Risikomanagement als solches kann aber in der Organisation kaum gelebt werden. Eine weitere oft in Anspruch genommene Vorgehensweise ist es, ein Beratungsunternehmen zu beauftragen. Wie in der Einleitung beschrieben wird der Organisation damit vermeintlich die Unsicherheit abgenommen. Denn es kommt ein erfahrener Berater ins Haus, der die Thematik sehr gut kennt. Oft hat dieser Berater jedoch auch den Wunsch, möglichst viele Beratungstage zu leisten. Daher werden komplizierte Methoden zur Risikoanalyse und –bewertung angewendet, die den Verantwortlichen am Ende mit noch mehr Fragen zurücklassen als bisher. Und wie geht man nach Abschluss des Projektes vor? Wer übernimmt die Anpassungen, sollten sich bei der Organisation Änderungen ergeben? Viel schlimmer ist es jedoch, wenn ein Berater im laufenden Projekt geht. Denn dann verlässt gleichzeitig das Wissen die Organisation. Ein neuer Berater bringt seine eigene Methode mit. Für die Organisation bedeutet dies also, teilweise von vorne anzufangen.

Eine Softwarelösung als Coach

Das IT-Risikomanagement kann mit Hilfe einer Softwarelösung um ein vielfaches erleichtert werden. Anwender sparen wertvolle Zeit und erhalten mit wenig Aufwand einen genauen Überblick über die kritischen Assets (Unternehmenswerte) und damit die tatsächlichen Risiken für ihre Organisation. Das Hin- und Herschicken von komplexen Excel-Tabellen hat somit ein Ende. Prozesse zur Risikobehandlung lassen sich nach den nationalen und internationalen Standards wie der ISO 27001/27005 durchführen. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung, Risikovermeidung oder Risikoverlagerung werden effizient verwaltet. Eine weitere Erleichterung: Die Unternehmenswerte, wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Eine Softwarelösung bietet jedoch noch mehr Vorteile: Die Software führt den Anwender einfach durch den Prozess der Risikoanalyse und -behandlung, ohne Risikomanagementexperte sein zu müssen. Organisationen mit einer bereits existierenden Risikomethode können die Methode im System auf ihre individuellen Bedürfnisse anpassen. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Assets, wie die IT-Infrastruktur und das Personal, lassen sich automatisch in die Softwarelösung importieren. Damit ist eine separate Assetpflege nicht notwendig. Maßnahmen zur Risikobehandlung können über das Aufgabenmanagement gesteuert werden.

Fazit

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Eine praxisorientierte Vorgehensweise leitet den Anwender durch die einzelnen Schritte und liefert entsprechende Unterstützungsmöglichkeiten. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung eines Risikomanagements erledigt, ist der aufwändigste Part eines ISMS umgesetzt. Eine Softwarelösung, wie INDITOR von CONTECHNET, liefert ein professionelles Risikomanagement. Die vordefinierten Risikokriterien erleichtern die Einstufung der Auswirkung erheblich. Weiterhin entstehen Synergieeffekte zu Bereichen wie IT-Notfallplanung und Datenschutz, da der Datenbestand (Assets) gemeinsam genutzt werden kann.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Doppelpack
Mai 28, 2018

Informationssicherheit und Datenschutz im Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Smarte News aus der IT-Welt