VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

Fensterputzer

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung erledigt, ist der aufwändigste Part eines Informationssicherheits-Managementsystems (ISMS) umgesetzt.

Im Zuge der Implementierung eines ISMS muss sich jede Organisation mit dem Thema Risikomanagement auseinandersetzen. Schutzbedarf, Risiko, Gefährdung, Risikokriterien, Risikoakzeptanz. Diese unterschiedlichen Begriffe gilt es zu verstehen, einzuordnen und in den Zusammenhang zu bringen. Doch was genau steckt dahinter? Ist eine Gefährdung einem Risiko gleichzusetzen? Was können mögliche Risikokriterien sein? Und ab wann greift die Risikoakzeptanz? Die Verwirrung ist groß, was genau ist zu tun und vor allem wie?

Es existieren kaum noch Geschäftsprozesse, die nicht IT-gestützt sind. Störungen oder gar Ausfälle der IT-Systeme können zu Produktionsausfällen, Abrechnungsausfällen und somit Umsatzeinbußen bis hin zu existenziellen Bedrohungen für die Organisationen führen. Mögliche Risiken sind bspw. mangelnde Verfügbarkeit, Datenmanipulationen, gezielte und ungezielte Hackerangriffe, Datenverlust, Datenmissbrauch oder Industriespionage. Diese und andere für die Organisation relevante Risiken gilt es zu bewerten und zu behandeln. Das Risikomanagement bildet das Kernelement eines ISMS. Stellen Sie sich also einmal vor, was passiert, wenn Sie die Aufgabe erhalten, einen Prozess zur Informationssicherheitsrisikobeurteilung zu definieren. Kennen Sie den Normtext und wissen, wie die Begriffe einzuordnen sind? In der Realität wären wohl die meisten von uns erst mal ziemlich ratlos und würden nach entsprechenden Hilfestellungen suchen. 

Office-Lösung oder Beratungsansatz?

Genau wie bei anderen Disziplinen auch gibt es bei der Einführung eines IT-Risikomanagements unterschiedliche Herangehensweisen. Die wohl immer noch am weitesten verbreitete Methode ist die Erstellung von Word- und Excel-Dokumenten. Die größte Gefahr dabei ist, dass die Risiken zwar mit einem sehr hohen manuellen Aufwand auf irgendeine Art und Weise dokumentiert werden, durch die geringen Auswertungs- und Kontrollmöglichkeiten jedoch wichtige Schritte des Risikomanagements nur bedingt durchführbar sind. Weiterhin kann bei einer solchen Vorgehensweise die angestrebte Transparenz nicht erreicht werden. Auf diese Weise werden zwar unzählige Dokumente in der Organisation erstellt, das Risikomanagement als solches kann aber in der Organisation kaum gelebt werden. Eine weitere oft in Anspruch genommene Vorgehensweise ist es, ein Beratungsunternehmen zu beauftragen. Wie in der Einleitung beschrieben wird der Organisation damit vermeintlich die Unsicherheit abgenommen. Denn es kommt ein erfahrener Berater ins Haus, der die Thematik sehr gut kennt. Oft hat dieser Berater jedoch auch den Wunsch, möglichst viele Beratungstage zu leisten. Daher werden komplizierte Methoden zur Risikoanalyse und –bewertung angewendet, die den Verantwortlichen am Ende mit noch mehr Fragen zurücklassen als bisher. Und wie geht man nach Abschluss des Projektes vor? Wer übernimmt die Anpassungen, sollten sich bei der Organisation Änderungen ergeben? Viel schlimmer ist es jedoch, wenn ein Berater im laufenden Projekt geht. Denn dann verlässt gleichzeitig das Wissen die Organisation. Ein neuer Berater bringt seine eigene Methode mit. Für die Organisation bedeutet dies also, teilweise von vorne anzufangen.

Eine Softwarelösung als Coach

Das IT-Risikomanagement kann mit Hilfe einer Softwarelösung um ein vielfaches erleichtert werden. Anwender sparen wertvolle Zeit und erhalten mit wenig Aufwand einen genauen Überblick über die kritischen Assets (Unternehmenswerte) und damit die tatsächlichen Risiken für ihre Organisation. Das Hin- und Herschicken von komplexen Excel-Tabellen hat somit ein Ende. Prozesse zur Risikobehandlung lassen sich nach den nationalen und internationalen Standards wie der ISO 27001/27005 durchführen. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung, Risikovermeidung oder Risikoverlagerung werden effizient verwaltet. Eine weitere Erleichterung: Die Unternehmenswerte, wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Eine Softwarelösung bietet jedoch noch mehr Vorteile: Die Software führt den Anwender einfach durch den Prozess der Risikoanalyse und -behandlung, ohne Risikomanagementexperte sein zu müssen. Organisationen mit einer bereits existierenden Risikomethode können die Methode im System auf ihre individuellen Bedürfnisse anpassen. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Assets, wie die IT-Infrastruktur und das Personal, lassen sich automatisch in die Softwarelösung importieren. Damit ist eine separate Assetpflege nicht notwendig. Maßnahmen zur Risikobehandlung können über das Aufgabenmanagement gesteuert werden.

Fazit

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Eine praxisorientierte Vorgehensweise leitet den Anwender durch die einzelnen Schritte und liefert entsprechende Unterstützungsmöglichkeiten. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung eines Risikomanagements erledigt, ist der aufwändigste Part eines ISMS umgesetzt. Eine Softwarelösung, wie INDITOR von CONTECHNET, liefert ein professionelles Risikomanagement. Die vordefinierten Risikokriterien erleichtern die Einstufung der Auswirkung erheblich. Weiterhin entstehen Synergieeffekte zu Bereichen wie IT-Notfallplanung und Datenschutz, da der Datenbestand (Assets) gemeinsam genutzt werden kann.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Doppelpack
Mai 28, 2018

Informationssicherheit und Datenschutz im Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Schild mit Schwertern

Virtualisierung wird zum Retter der IT

Sicherheitsvorfälle sind weiter an der Tagesordnung und klassische Sicherheitsmaßnahmen…
Tb W190 H80 Crop Int D2e97c879f93358a07f6423857d2138e

Backup und Datensicherheit wachsen zusammen

Backup ist nicht mehr nur Datensicherung und Wiederherstellung. Alleine die Kriterien an…
Marina Kidron

Damit aus Double Kill kein Overkill wird - Schutz vor neuer Angriffsmethode

Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige…
Phishing

So machen KMU das Einfallstor Phishing dicht

Cyber-Kriminelle haben es immer häufiger auf das exklusive Know-how deutscher…
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security