DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

IT-Risi­­ko­analyse

IT-Risikoanalyse

Wie schätzen Sie als Unter­nehmer oder Unter­neh­merin Risiken ein und wie iden­ti­fi­zieren Sie IT-Risiken? Dieser Beitrag liefert eine Anleitung und zeigt auf, wie eine IT-Risi­­ko­analyse durch­ge­führt werden kann.

 

 

 

Ein­führung

Chancen und Risiken bestimmen den unter­neh­me­ri­schen Alltag. Je mehr Chancen genutzt und erfolg­reich umge­setzt werden, desto größer ist der Wett­be­werbs­vorteil für ein Unter­nehmen. Wie sieht es aller­dings mit den Risiken aus, ist z.B. die Bedro­hungslage für Infor­ma­ti­ons­si­cherheit nur ein
Fall von Paranoia?

Die Opti­mierung des unter­neh­mens­in­ternen Sicher­heits­ma­nage­ments führt oft vom reinen Grund­schutz­ansatz zur risi­ko­ori­en­tierten Steuerung. Die not­wendige Risi­ko­analyse schafft die Mög­lichkeit die Steuerung vor­zu­nehmen.

Phasen einer IT-Risi­­ko­analyse

Die Risi­ko­analyse ist der Prozess, um Gefähr­dungen und deren Ursachen zu erkennen sowie deren Risiken qua­li­tativ und quan­ti­tativ zu erfassen, unab­hängig davon, ob man finan­zielle Risiken oder IT-Risiken oder sonstige Risiken erfassen möchte (vgl. Abbildung 1).
 

Bild zu IT-Risikoplanung

Abbildung 1: Vor­gehen bei der IT-Risi­­ko­analyse

Quelle: Eigene Dar­stellung in Anlehnung an ISO 27005; © Bild: DATEV eG

Die erst­malige Durch­führung einer detail­lierten IT-Risi­­ko­analyse und die anschlie­ßende Erstellung eines Sicher­heits­kon­zeptes erfordern einen Aufwand, der zumindest im Bereich von Wochen, even­tuell auch von Monaten liegt. Um den Aufwand zu redu­zieren, bietet es sich an, sich zu Beginn auf IT-Systeme zu kon­zen­trieren, die eine hohe Anfor­derung bezgl. Inte­grität, Ver­füg­barkeit und Ver­trau­lichkeit besitzen.

Detail­lierte IT-Risi­­ko­analyse

Schritt 1: Abgrenzung des Ana­ly­se­be­reiches
Hier sind die zu ana­ly­sie­rende IT-Systeme zu spe­zi­fi­zieren und anzu­geben, ob und in welchem Maße auch andere Objekte (z.B. Gebäude und Infra­struktur) in die Analyse ein­be­zogen werden sollen.

Schritt 2: Iden­ti­fi­kation der bedrohten Objekte (“Assets”)
Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte, die innerhalb des im vor­an­ge­gan­genen Schritt fest­ge­setzten Ana­ly­se­be­reiches liegen.

Schritt 3: Iden­ti­fi­kation der Risiken zu den Assets
Unter­suchen Sie die mög­lichen Schwach­stellen der Assets und prüfen Sie anhand der vor­han­denen Schutz­maß­nahmen, ob diese aus­rei­chend sind. Hierzu bietet sich ein Blick auf die Grund­schutz­ka­taloge des BSI an.

Schritt 4: Bewertung der Risiken zu den Assets

Stellen Sie in einem wei­teren Schritt fest, welcher (geschätzte) Schaden in Ihrem Unter­nehmen durch Ein­tritt des Risikos ent­stehen könnte. Bewerten Sie das Risiko, indem Sie die Scha­denshöhe abschätzen und die Wahr­schein­lichkeit und Dauer eines Aus­falls beur­teilen.

Für die IT-Risi­­ko­analyse gibt es ver­schiedene Methoden und Modelle:

  • Mathe­ma­tische Modelle (Ver­si­che­rungen, Banken!)
  • Inte­grierte Ansätze im Con­trolling (Budget, Pla­nungs­rech­nungen etc.)
  • FMEA (Failure Mode and Effect Ana­lysis)
  • Feh­­lerbaum- und Erei­g­­nis­­ablauf-Analyse

… und ganz prag­ma­tisch auch etliche qua­­li­­tativ-heu­­ris­­tische Methoden mit dem Ziel eines mög­lichst geringen Auf­wands der IT-Risi­­ko­analyse. So können oft auch ver­ständ­li­chere Aus­sagen getroffen und auf dieser Grundlage pas­sende Maß­nahmen zur Ver­bes­serung der Infor­ma­ti­ons­si­cherheit geplant und umge­setzt werden. Gerade für kleinere und mit­tel­stän­dische Unter­nehmen bietet sich der prag­ma­tische Weg an (hierzu wird es einen geson­derten Beitrag geben).

Was kommt nach der Ermittlung der IT-Risiken?

Nach der Durch­führung einer IT-Risi­­ko­analyse müssen die nächsten Schritte im Unter­nehmen vor­ge­nommen werden. Fol­gende Mög­lich­keiten stehen dabei als Optionen zur Ver­fügung:

  • Risi­ko­ak­zeptanz
  • Die ermit­telten Risiken werden seitens des Unter­nehmens getragen. Weitere Maß­nahmen wie z.B. noch mehr Sicher­heits­maß­nahmen scheiden aus Sicht des Unter­nehmens aus, da Kosten und Nutzen in keinem ange­mes­senen Ver­hältnis stehen.

  • Risi­ko­mi­ni­mierung
  • Gewisse Risiken werden nicht getragen. D.h. es werden Maß­nahmen ergriffen, um das Risiko weiter zu senken.

  • Risi­ko­transfer
  • Bei manchen Risiken ist es möglich, die finan­zi­ellen Aus­wir­kungen durch Ver­si­che­rungen zu mini­mieren.

Aus­blick

Im zweiten Teil wird ein prag­ma­ti­sches Vor­gehen vor­ge­stellt, wie eine IT-Risi­­ko­analyse durch­ge­führt werden kann. Anhand einer Excel-Vorlage und eines Bei­spiels wird dies ver­deut­licht.

Bild: © LaCa­trina — Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.