VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Fensterputzer

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung erledigt, ist der aufwändigste Part eines Informationssicherheits-Managementsystems (ISMS) umgesetzt.

Im Zuge der Implementierung eines ISMS muss sich jede Organisation mit dem Thema Risikomanagement auseinandersetzen. Schutzbedarf, Risiko, Gefährdung, Risikokriterien, Risikoakzeptanz. Diese unterschiedlichen Begriffe gilt es zu verstehen, einzuordnen und in den Zusammenhang zu bringen. Doch was genau steckt dahinter? Ist eine Gefährdung einem Risiko gleichzusetzen? Was können mögliche Risikokriterien sein? Und ab wann greift die Risikoakzeptanz? Die Verwirrung ist groß, was genau ist zu tun und vor allem wie?

Es existieren kaum noch Geschäftsprozesse, die nicht IT-gestützt sind. Störungen oder gar Ausfälle der IT-Systeme können zu Produktionsausfällen, Abrechnungsausfällen und somit Umsatzeinbußen bis hin zu existenziellen Bedrohungen für die Organisationen führen. Mögliche Risiken sind bspw. mangelnde Verfügbarkeit, Datenmanipulationen, gezielte und ungezielte Hackerangriffe, Datenverlust, Datenmissbrauch oder Industriespionage. Diese und andere für die Organisation relevante Risiken gilt es zu bewerten und zu behandeln. Das Risikomanagement bildet das Kernelement eines ISMS. Stellen Sie sich also einmal vor, was passiert, wenn Sie die Aufgabe erhalten, einen Prozess zur Informationssicherheitsrisikobeurteilung zu definieren. Kennen Sie den Normtext und wissen, wie die Begriffe einzuordnen sind? In der Realität wären wohl die meisten von uns erst mal ziemlich ratlos und würden nach entsprechenden Hilfestellungen suchen. 

Office-Lösung oder Beratungsansatz?

Genau wie bei anderen Disziplinen auch gibt es bei der Einführung eines IT-Risikomanagements unterschiedliche Herangehensweisen. Die wohl immer noch am weitesten verbreitete Methode ist die Erstellung von Word- und Excel-Dokumenten. Die größte Gefahr dabei ist, dass die Risiken zwar mit einem sehr hohen manuellen Aufwand auf irgendeine Art und Weise dokumentiert werden, durch die geringen Auswertungs- und Kontrollmöglichkeiten jedoch wichtige Schritte des Risikomanagements nur bedingt durchführbar sind. Weiterhin kann bei einer solchen Vorgehensweise die angestrebte Transparenz nicht erreicht werden. Auf diese Weise werden zwar unzählige Dokumente in der Organisation erstellt, das Risikomanagement als solches kann aber in der Organisation kaum gelebt werden. Eine weitere oft in Anspruch genommene Vorgehensweise ist es, ein Beratungsunternehmen zu beauftragen. Wie in der Einleitung beschrieben wird der Organisation damit vermeintlich die Unsicherheit abgenommen. Denn es kommt ein erfahrener Berater ins Haus, der die Thematik sehr gut kennt. Oft hat dieser Berater jedoch auch den Wunsch, möglichst viele Beratungstage zu leisten. Daher werden komplizierte Methoden zur Risikoanalyse und –bewertung angewendet, die den Verantwortlichen am Ende mit noch mehr Fragen zurücklassen als bisher. Und wie geht man nach Abschluss des Projektes vor? Wer übernimmt die Anpassungen, sollten sich bei der Organisation Änderungen ergeben? Viel schlimmer ist es jedoch, wenn ein Berater im laufenden Projekt geht. Denn dann verlässt gleichzeitig das Wissen die Organisation. Ein neuer Berater bringt seine eigene Methode mit. Für die Organisation bedeutet dies also, teilweise von vorne anzufangen.

Eine Softwarelösung als Coach

Das IT-Risikomanagement kann mit Hilfe einer Softwarelösung um ein vielfaches erleichtert werden. Anwender sparen wertvolle Zeit und erhalten mit wenig Aufwand einen genauen Überblick über die kritischen Assets (Unternehmenswerte) und damit die tatsächlichen Risiken für ihre Organisation. Das Hin- und Herschicken von komplexen Excel-Tabellen hat somit ein Ende. Prozesse zur Risikobehandlung lassen sich nach den nationalen und internationalen Standards wie der ISO 27001/27005 durchführen. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung, Risikovermeidung oder Risikoverlagerung werden effizient verwaltet. Eine weitere Erleichterung: Die Unternehmenswerte, wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Eine Softwarelösung bietet jedoch noch mehr Vorteile: Die Software führt den Anwender einfach durch den Prozess der Risikoanalyse und -behandlung, ohne Risikomanagementexperte sein zu müssen. Organisationen mit einer bereits existierenden Risikomethode können die Methode im System auf ihre individuellen Bedürfnisse anpassen. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Assets, wie die IT-Infrastruktur und das Personal, lassen sich automatisch in die Softwarelösung importieren. Damit ist eine separate Assetpflege nicht notwendig. Maßnahmen zur Risikobehandlung können über das Aufgabenmanagement gesteuert werden.

Fazit

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Eine praxisorientierte Vorgehensweise leitet den Anwender durch die einzelnen Schritte und liefert entsprechende Unterstützungsmöglichkeiten. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung eines Risikomanagements erledigt, ist der aufwändigste Part eines ISMS umgesetzt. Eine Softwarelösung, wie INDITOR von CONTECHNET, liefert ein professionelles Risikomanagement. Die vordefinierten Risikokriterien erleichtern die Einstufung der Auswirkung erheblich. Weiterhin entstehen Synergieeffekte zu Bereichen wie IT-Notfallplanung und Datenschutz, da der Datenbestand (Assets) gemeinsam genutzt werden kann.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Doppelpack
Mai 28, 2018

Informationssicherheit und Datenschutz im Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
EU-Flagge Paragraf

Fünf Schritte zur NIS-Compliance

Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das…
Security Concept Shield

Gute Basisarbeit in der IT-Security fängt 90 Prozent aller Cyber-Attacken ab

Unternehmen setzen bei der IT-Sicherheit meist auf die neuesten Tools. Allerdings helfen…
Security Concept

Cyberschutz: Unternehmen brauchen wirksame Instrumente

"Cyberkriminalität wird in den meisten Unternehmen unterschätzt. Insbesondere kleine und…
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Airlock WAF 7.1: Automatisierung der IT-Security

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Cloud Account Defense: Sicherheit bei Office-365-Accounts

Proofpoint, Inc. (NASDAQ: PFPT), gab die Verfügbarkeit von Proofpoint Cloud Account…
Security Concept

Compliance ist nur Teilaspekt der IT-Sicherheit

IT-Sicherheit ist primär Compliance-getrieben, vor allem im Finanzbereich, in dem…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security