Das Risikomanagement konzentriert sich auf die Zukunft Ihres Unternehmens und dient als Werkzeug, um mögliche Risiken für die Informationssicherheit aufzudecken. Ebenso werden Maßnahmen hinterlegt, um diesen Risiken zu begegnen. Auch wenn sich nicht alle Eventualitäten abbilden lassen (siehe Corona-Pandemie), gilt der Grundsatz: „to be prepared“. Risikomanagement besteht aus Risikoidentifikation, Risikoanalyse, Risikobewertung, Risikobewältigung und kontinuierlicher Risikoüberwachung.
Ziel und Geltungsbereich des Risikomanagements
Chancen und Risiken sind ständige Begleiter unternehmerischen Handelns und damit Gegenstand des Managements. Auch gesetzliche und regulatorische Anforderungen verlangen den Aufbau und Betrieb eines formalen Risikomanagements. Dieses soll jedoch effektiv und gleichzeitig effizient sein. Eine toolgestützte Unternehmenssteuerung, in der der Umgang mit Risiken festgelegt ist, wird damit unabdingbar.
Der Risikomanagementprozess wird im Informationssicherheits-Managementsystem (kurz: ISMS) dokumentiert und kann dort bei Bedarf abgerufen werden. In diesem System werden auch Rollen, Rechte, Funktionen und Verantwortlichkeiten festgelegt. Ein dedizierter Risikomanager übernimmt die Steuerungsfunktion. Häufig fällt diese Rolle mit dem Informationssicherheitsbeauftragten (ISB) zusammen. Die Aufgabe des Risikomanagers besteht in der kontinuierlichen Erfassung, Überwachung und Bewertung der Risiken sowie in der Steuerung allfälliger Maßnahmen zur Vermeidung oder Bewältigung dieser Risiken.
Dabei ist der Risikobeauftragte keinesfalls allein, sondern auch verpflichtet, die entsprechenden Fachkräfte in den Risikoprozess einzubeziehen. Denn in der Praxis entstehen die Risiken nicht im Risikomanagement selbst, sondern in den primären und sekundären Wertschöpfungsprozessen des Unternehmens. Und diese Prozesse liegen in der Hoheit der Führungskräfte und Mitarbeitenden. Damit sind die Mitarbeiterinnen und Mitarbeiter die Risikoeigner und Experten für jedes einzelne Risiko. Der Risikomanager und das Risikomanagement haben die Aufgabe, diese Risiken aufzudecken und für das Unternehmen transparent zu machen, damit auch in komplexen Unternehmensstrukturen die entscheidenden Maßnahmen für die Risiken getroffen werden können. Insofern ist Risikomanagement ein lebendiger Prozess, der einem ständigen Wandel im Unternehmen unterliegt.
Unternehmensinformationen werden im Rahmen des Informationssicherheitsmanagements geschützt. Verfügbarkeit, Integrität und Vertraulichkeit der Informationen sind zu gewährleisten.
Das Risikomanagement hat folgende Ziele:
- Ermittlung Ihrer informationsrelevanten Gefährdungen.
- Feststellung und Bewertung Ihrer Schwachstellen.
- Eruierung Ihrer informationsrelevanten Unternehmenswerte (Assets) und deren Eigentümer.
- Bewertung der Risiken nach nachvollziehbaren Kriterien.
- Aufsetzen von Maßnahmen zur Reduzierung Ihrer Risiken.
- Pandemie (COVID-19)Entscheidungsfindung zur Priorität Ihrer Risikobehandlung und Ihrer Maßnahmenumsetzung auf Basis der Maßnahmenvorschläge.
- Dokumentation und Kommunikation Ihrer relevanten Risiken.
Risikomanagement-Methode
Der Umgang mit Risiken hängt von der gewählten Risikomanagementmethode ab. In Deutschland stellt der BSI-Standard 200-3 einen Quasi-Standard für das Risikomanagement dar. Eine weitere verbreitete Methode ist die ISO 27005. Für ein effektives und effizientes Risikomanagement müssen jedoch die Anforderungen des Unternehmens individuell geprüft werden. Gesetzliche Vorgaben, vertragliche Verpflichtungen oder sonstige Anforderungen variieren von Unternehmen zu Unternehmen und von Branche zu Branche. Auch die Höhe der Anforderungen ist nicht für jedes Unternehmen gleich. Ein gutes Beispiel hierfür sind die Finanzdienstleister mit ihren besonderen Anforderungen aus den MaRisk.
Risikoidentifizierung
Am Anfang des Risikomanagements steht in der Praxis die systematische Erfassung der relevanten Risiken und damit die Risikoidentifikation. Dazu werden zunächst alle relevanten Prozesse, Anwendungen, Systeme, Netzwerke und Standorte erfasst. Diese erfassten Objekte sind Assets und stellen die Werte des Unternehmens dar. Zwischen ihnen können Hierarchien und Abhängigkeiten bestehen. Es liegt auf der Hand, dass in vielen Fällen das mobile Gerät eines Geschäftsführers oder Administrators im Falle einer Kompromittierung eine größere Bedrohung für das Unternehmen darstellt als das Gerät eines Leiharbeiters. Obwohl die Schwachstelle die gleiche ist. Hinzu kommt, dass Geschäftsführer an verschiedenen Standorten arbeiten können und somit mehr Abhängigkeiten bestehen als bei einem Leiharbeiter an einem bestimmten Standort.
Es sollten dabei folgende Informationssicherheitsrisiken betrachtet werden:
Vertraulichkeit: Eigenschaft, dass Informationen unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden.
Verfügbarkeit: Eigenschaft eines Wertes, einer Einheit auf Verlangen zugänglich und nutz-bar zu sein.
Integrität: Eigenschaft der Absicherung von Richtigkeit und Vollständigkeit von Werten. Im Besonderen zählt dazu die Eigenschaft, dass Informationen nicht unberechtigt verändert werden.
Ziel ist es, alle relevanten Assets des Unternehmens zu erfassen und für eine effiziente Weiterverarbeitung in bestimmte Klassen zu gruppieren. So ist es z.B. nicht sinnvoll, jeden Laptop einzeln zu erfassen, sondern vielmehr Gruppen von gleichartigen Laptops hinsichtlich Bedrohung und Schwachstelle zu bilden. Darüber hinaus müssen verantwortliche Personen, sogenannte Risikoeigner, definiert werden.
Risikoanalyse und -bewertung
In der Risikoanalyse werden die Assets untersucht, die Risiken bewertet und mit Maßnahmen hinterlegt. Häufig wird dabei auf einen bestehenden Risiko- oder Gefährdungskatalog, z.B. aus dem IT-Grundschutz des BSI, zurückgegriffen. Dies erleichtert die Arbeit und bietet als Rahmenwerk die Sicherheit, strukturiert an alles zu denken.
Die Risikobewertung ermöglicht eine Gewichtung und Bewertung der identifizierten Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe. Die anschließende Einstufung des Risikos in die entsprechende Risikoklasse gering, mittel, hoch oder sehr hoch bildet den Abschluss der Risikobewertung.
Risikobehandlung
Die Risikobehandlung folgt der offensichtlichen Tatsache, dass eine Bewertung noch kein Risiko verhindert oder im Falle seines Eintretens überwindet. Risiken müssen entsprechend ihrer Bewertung angemessen behandelt werden. Im Rahmen der Risikobehandlung können Risiken vermieden, reduziert, übertragen oder akzeptiert werden.
Beispielsweise kann ein mobiles Endgerät gestohlen oder von einem Angreifer mit Schadsoftware infiziert werden. Insofern stellen Schadprogramme eine Bedrohung dar, die als Informationsrisiko zu bewerten ist und hier die Integrität betrifft. Mögliche Maßnahmen sind der Ausschluss bestimmter Gerätetypen, eine Nutzungsrichtlinie oder der Einsatz einer Anti-Malware-Lösung. Insofern ist die Risikoklasse hier als niedrig einzustufen.
Die Risikoeigner können je nach Maßnahme variieren. Der Zeitpunkt der Umsetzung sowie der Umsetzungsstatus sind zu erfassen und zu überwachen.
Ergebnis
Es wird deutlich, dass Risikomanagement ein komplexer Prozess ist, der das gesamte Unternehmen in seinen Prozessen, Vermögenswerten und Menschen betrifft. Ebenso ist es ein kontinuierlicher Prozess, der es erfordert, ständig nach Risiken zu suchen, diese zu dokumentieren und zu bewerten sowie die Behandlungswege zu hinterfragen. Audits sichern die Qualität des Risikomanagements und tragen dazu bei, das Risikobewusstsein im Unternehmen auf allen Ebenen zu schärfen.
Tool basiertes Risikomanagements
Viele Unternehmen nutzen Excel für ihr Risikomanagement. Eine auf den ersten Blick kostengünstige Lösung, die jedoch aufgrund der Komplexität, des ständigen Wandels und der Kritikalität des Themas schnell an ihre natürlichen Grenzen stößt. In der Folge wird Risikomanagement oft zum Datengrab und zur Spezialwissenschaft des Excel-Tapetenherstellers.
GRASP bietet als Governance Risk and Compliance Plattform eine integrierte Lösung für das Risikomanagement. Die Vorteile liegen klar auf der Hand:
Prozesse und Abläufe orientieren sich an etablierten Normen und Standards (z.B. BSI, DIN ISO, Berufsgenossenschaften) sowie deren Richtlinien und Empfehlungen. Dadurch erfolgt eine Beschränkung auf das Wesentliche und Notwendige und es wird keine unnötige Komplexität aufgebaut. Das Risikomanagement bleibt zielgerichtet.
Einmal erfasste Daten können immer wieder für andere Managementsysteme (DSM, BCM etc.) verwendet werden. Mandanten, Rechte und Rollen regeln die Verantwortlichkeiten und ermöglichen eine gezielte Steuerung und Verteilung der kritischen Informationen im Unternehmen. Fachspezialisten können ihre Risikomanagementaufgaben optimal wahrnehmen, während zuliefernde Mitarbeiter oder zu berichtende Manager nur die für sie notwendigen Informationen sehen müssen. Insofern erhält jeder den richtigen Umfang und die richtige Qualität an Informationen. Die Anmeldung erfolgt über Single-Sign-On. Multi-Faktor-Authentifizierung sorgt neben anderen Maßnahmen für die notwendige Sicherheit der Software selbst. Auch bei Ausfall der IT kann die Verfügbarkeit durch autarke Systeme sichergestellt werden.
Risikomanagement ist lebendig und so einem steten Wandel unterworfen. Mit Workflows können einfach Automatisierungen, Planungen und Erinnerungen ausgeführt werden, um einerseits nichts zu vergessen und andererseits die Nutzung so komfortabel wie möglich zu machen.
Dashboards und Berichte ermöglichen ein einfaches Reporting für interne und externe Auditoren sowie das Top-Management.