Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Fensterputzer

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung erledigt, ist der aufwändigste Part eines Informationssicherheits-Managementsystems (ISMS) umgesetzt.

Im Zuge der Implementierung eines ISMS muss sich jede Organisation mit dem Thema Risikomanagement auseinandersetzen. Schutzbedarf, Risiko, Gefährdung, Risikokriterien, Risikoakzeptanz. Diese unterschiedlichen Begriffe gilt es zu verstehen, einzuordnen und in den Zusammenhang zu bringen. Doch was genau steckt dahinter? Ist eine Gefährdung einem Risiko gleichzusetzen? Was können mögliche Risikokriterien sein? Und ab wann greift die Risikoakzeptanz? Die Verwirrung ist groß, was genau ist zu tun und vor allem wie?

Es existieren kaum noch Geschäftsprozesse, die nicht IT-gestützt sind. Störungen oder gar Ausfälle der IT-Systeme können zu Produktionsausfällen, Abrechnungsausfällen und somit Umsatzeinbußen bis hin zu existenziellen Bedrohungen für die Organisationen führen. Mögliche Risiken sind bspw. mangelnde Verfügbarkeit, Datenmanipulationen, gezielte und ungezielte Hackerangriffe, Datenverlust, Datenmissbrauch oder Industriespionage. Diese und andere für die Organisation relevante Risiken gilt es zu bewerten und zu behandeln. Das Risikomanagement bildet das Kernelement eines ISMS. Stellen Sie sich also einmal vor, was passiert, wenn Sie die Aufgabe erhalten, einen Prozess zur Informationssicherheitsrisikobeurteilung zu definieren. Kennen Sie den Normtext und wissen, wie die Begriffe einzuordnen sind? In der Realität wären wohl die meisten von uns erst mal ziemlich ratlos und würden nach entsprechenden Hilfestellungen suchen. 

Office-Lösung oder Beratungsansatz?

Genau wie bei anderen Disziplinen auch gibt es bei der Einführung eines IT-Risikomanagements unterschiedliche Herangehensweisen. Die wohl immer noch am weitesten verbreitete Methode ist die Erstellung von Word- und Excel-Dokumenten. Die größte Gefahr dabei ist, dass die Risiken zwar mit einem sehr hohen manuellen Aufwand auf irgendeine Art und Weise dokumentiert werden, durch die geringen Auswertungs- und Kontrollmöglichkeiten jedoch wichtige Schritte des Risikomanagements nur bedingt durchführbar sind. Weiterhin kann bei einer solchen Vorgehensweise die angestrebte Transparenz nicht erreicht werden. Auf diese Weise werden zwar unzählige Dokumente in der Organisation erstellt, das Risikomanagement als solches kann aber in der Organisation kaum gelebt werden. Eine weitere oft in Anspruch genommene Vorgehensweise ist es, ein Beratungsunternehmen zu beauftragen. Wie in der Einleitung beschrieben wird der Organisation damit vermeintlich die Unsicherheit abgenommen. Denn es kommt ein erfahrener Berater ins Haus, der die Thematik sehr gut kennt. Oft hat dieser Berater jedoch auch den Wunsch, möglichst viele Beratungstage zu leisten. Daher werden komplizierte Methoden zur Risikoanalyse und –bewertung angewendet, die den Verantwortlichen am Ende mit noch mehr Fragen zurücklassen als bisher. Und wie geht man nach Abschluss des Projektes vor? Wer übernimmt die Anpassungen, sollten sich bei der Organisation Änderungen ergeben? Viel schlimmer ist es jedoch, wenn ein Berater im laufenden Projekt geht. Denn dann verlässt gleichzeitig das Wissen die Organisation. Ein neuer Berater bringt seine eigene Methode mit. Für die Organisation bedeutet dies also, teilweise von vorne anzufangen.

Eine Softwarelösung als Coach

Das IT-Risikomanagement kann mit Hilfe einer Softwarelösung um ein vielfaches erleichtert werden. Anwender sparen wertvolle Zeit und erhalten mit wenig Aufwand einen genauen Überblick über die kritischen Assets (Unternehmenswerte) und damit die tatsächlichen Risiken für ihre Organisation. Das Hin- und Herschicken von komplexen Excel-Tabellen hat somit ein Ende. Prozesse zur Risikobehandlung lassen sich nach den nationalen und internationalen Standards wie der ISO 27001/27005 durchführen. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung, Risikovermeidung oder Risikoverlagerung werden effizient verwaltet. Eine weitere Erleichterung: Die Unternehmenswerte, wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Eine Softwarelösung bietet jedoch noch mehr Vorteile: Die Software führt den Anwender einfach durch den Prozess der Risikoanalyse und -behandlung, ohne Risikomanagementexperte sein zu müssen. Organisationen mit einer bereits existierenden Risikomethode können die Methode im System auf ihre individuellen Bedürfnisse anpassen. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Assets, wie die IT-Infrastruktur und das Personal, lassen sich automatisch in die Softwarelösung importieren. Damit ist eine separate Assetpflege nicht notwendig. Maßnahmen zur Risikobehandlung können über das Aufgabenmanagement gesteuert werden.

Fazit

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Eine praxisorientierte Vorgehensweise leitet den Anwender durch die einzelnen Schritte und liefert entsprechende Unterstützungsmöglichkeiten. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung eines Risikomanagements erledigt, ist der aufwändigste Part eines ISMS umgesetzt. Eine Softwarelösung, wie INDITOR von CONTECHNET, liefert ein professionelles Risikomanagement. Die vordefinierten Risikokriterien erleichtern die Einstufung der Auswirkung erheblich. Weiterhin entstehen Synergieeffekte zu Bereichen wie IT-Notfallplanung und Datenschutz, da der Datenbestand (Assets) gemeinsam genutzt werden kann.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Doppelpack
Mai 28, 2018

Informationssicherheit und Datenschutz im Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Phishing

Das Phishing-Prinzip und seine Gefahr für die IT von Unternehmen

Im Web ist weltweit jedes dritte kleine und mittlere Unternehmen Opfer von…
Hacker lieben Weihnachten

Gefährliche Weihnachtszeit - Hochsaison für Hacker

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während…
Tb W190 H80 Crop Int B4c4e812090ab33236beb9243853732a

Ein Denkfehler ist keine Pioniertat

Die gesamte IT-Sicherheitsindustrie begeht einen Denkfehler – und verkauft ihn als…
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Was ist der Mimecast ESRA Test?

Viele Organisationen sind der Meinung, dass ihre aktuellen Email-Sicherheitssysteme…
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Smarte News aus der IT-Welt