Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wissen, wie IT-Risiken identifiziert und bewertet werden
Wie schätzen Sie als Unternehmer oder Unternehmerin Risiken ein und wie identifizieren Sie IT-Risiken? Wie können Sie diese bewerten, damit Sie einschätzen können, wie realistisch die Gefährdung ist? Der 2. Teil der Beitragsserie veranschaulicht dies an einem Beispiel.
Im ersten Teil zur IT-Risikoanalyse habe ich dargelegt, wie Sie methodisch vorgehen können, um IT-Risiken zu identifizieren. In der Praxis stellt sich nun die Frage, wie die Methode genau umzusetzen ist? Dies wird anhand der am Ende des Beitrags zu findenden Excel-Vorlage verdeutlicht. Dabei wird Wert auf eine praxisnahe Methode gelegt.
Risiko vor Sicherheitsmaßnahmen
Eine detaillierte IT-Risikoanalyse identifiziert bestehende Risiken und ermittelt die Höhe des Risikos, wenn Sie keinerlei Maßnahmen ergreifen. (vgl. Abbildung 1, die ein Auszug aus dem Excel-Beispiel ist).
Abbildung 1: Risikoidentifikation
Schritt 1: Asset
Hier werden sämtliche IT-Systeme oder schützenswerte Objekte eingetragen, die im Rahmen der IT-Risikoanalyse zu betrachten sind. Je nach Größe des Unternehmens oder des Analysebereichs bietet es sich an, gleichartige Objekte zusammenzufassen. In unserem Fall ist das zu betrachtende Objekt eine Datenbank.
Schritt 2: Bekannte oder erwartete Risiken
Gemeinsam mit der Fachabteilung werden hier gemeinsam, z. B. durch ein Brainstorming wesentliche Risiken eingetragen. Damit das Rad nicht immer neu erfunden werden muss, bietet sich ein Blick auf die Grundschutzkataloge des BSI an. In unserem Beispiel haben wir die Risiken Hacking, unzureichende Datenqualität und Social Engineering identifiziert.
Schritt 3: Bekannte oder erwartete Schwachstellen
Im nächsten Schritt werden bekannte oder erwartete Schwachstellen aufgelistet. Damit Risiken eintreten können, müssen Schwachstellen vorhanden sein, da andernfalls die Wahrscheinlichkeit des Eintritts eines Risikos immer bei Null liegen wird.
Schritt 4: Wahrscheinlichkeit des Eintritts
Im nächsten Schritt muss ein Unternehmen nun beurteilen, wie wahrscheinlich der Eintritt des identifizierten Risikos ist. Hier kann nur dazu geraten werden, eine praxistaugliche Einteilung vorzunehmen, wie z. B. (eine andere Einteilung wie etwa eine 3‑teilige ist selbstverständlich auch möglich):
- vernachlässigbar: passiert nie = 0
- sehr gering: 2–3 mal in 5 Jahren = 1
- gering: 1 mal im Jahr = 2
- medium: alle halbe Jahre = 3
- hoch: 1 mal im Monat = 4
- sehr hoch: mehr als 1 mal im Monat = 5
Die Einschätzung erfolgt gemeinsam mit den Fachabteilungen.
Schritt 5: Schadensausmaß
Nachdem nun ermittelt ist, wie wahrscheinlich der Eintritt ist, stellt sich anschließend die Frage, welcher Schaden für das Unternehmen entstehen wird. Auch hier sollte eine praxistaugliche Einteilung vorgenommen werden, wie z. B.:
- unbedeutend: keine Auswirkungen = 0
- gering: kleiner Aufwand zur Korrektur = 1
- signifikant: Auswirkungen auf den Betrieb, Extraaufwand für Korrektur = 2
- beeinflussend: starker Einfluss auf den Betrieb und das Image = 3
- gravierend: massive Auswirkungen auf den Gewinn; hoher Datenverlust = 4
- extrem: Existenz des Unternehmens steht auf dem Spiel = 5
Schritt 6: Risiko vor Sicherheitsmaßnahmen
Das nun ermittelte Risiko ist die Multiplikation von Schadensausmaß und Eintrittswahrscheinlichkeit. Aber beachten Sie bitte, dass wir hier davon ausgehen, dass keine Sicherheitsmaßnahmen ergriffen werden. In weiteren Schritten muss ermittelt werden, wie das Risiko real aussieht, da bereits Maßnahmen ergriffen werden.
Risikobewertung
In der Risikobewertung wird dann festgehalten, wie wahrscheinlich der Eintritt eines Risikos in der konkreten Situation ist (d.h. mit eventuell vorhandenen Sicherheitsmaßnahmen) und es erfolgt eine Aggregation für das zu betrachtende Objekt (vgl. Abbildung 2, die ein Auszug aus dem Excel-Beispiel ist).
Abbildung 2: Risikobewertung
Schritt 7: Vorhandene Sicherheitsmaßnahmen
Ermitteln Sie gemeinsam mit den Fachabteilungen, welche Sicherheitsmaßnahmen bereits vorhanden sind. Seien es organisatorische Regelungen, Einsatz spezieller Systeme wie Firewall oder Intrusion Detection Systeme oder Kontrolle wie Auswertung von Log-Files.
Schritt 8: Risikoeintritt unbemerkt
Anschließend wird festgehalten, wie wahrscheinlich es ist, dass das Risiko entdeckt werden kann, da Sicherheitsmaßnahmen vorhanden sind bzw. ergriffen werden. Auch hier sollte wiederum eine praxistaugliche Einteilung vorgenommen werden, wie z. B.:
- extrem hoch: extrem einfach zu entdecken = 1
- hoch: sehr einfach zu entdecken = 2
- medium: kann entdeckt werden, Aufwand notwendig = 3
- gering: geringe Wahrscheinlichkeit der Entdeckung, trotz Maßnahmen = 4
- sehr gering: sehr schwierig oder fast unmöglich zu entdecken = 5
Schritt 9: Risikolevel
Der Risikolevel gibt nun an, wie wahrscheinlich der Eintritt eines Risikos ist, obwohl Sicherheitsmaßnahmen ergriffen worden sind. Hier wird eine Multiplikation von Risiko vor Sicherheitsmaßnahmen mit Risikoeintritt unbemerkt vorgenommen. Hierbei geht man davon aus, dass die Summe von Sicherheitsmaßnahmen das Risiko beeinflusst und nicht eine einzelne Maßnahme.
Schritt 10: Risikodurchschnitt
Der Risikodurchschnitt ist ein Mittelwert aller Risikolevel zu einem Asset bzw. Objekt. Dabei ist 0 der kleinste Wert, 125 der Maximalwert. Hier bietet es sich an, eine Unterteilung vorzunehmen, wie z. B.:
- 0–25: Risiko kann akzeptiert werden für das Objekt
- 26–75: Im Einzelfall muss geprüft werden, ob das Risiko getragen werden kann
- 76–125: Risiko kann auf keinen Fall getragen werden. Durch weitere Maßnahmen muss das Risikoniveau gesenkt werden
Schritte nach der IT-Risikoanalyse
Führen Sie die Schritte oben für alle Assets bzw. Objekte durch, die aus Ihrer Sicht schützenswert sind. Nachdem dies durchgeführt wurde, stellt sich die Frage, welche Schlüsse zieht ein Unternehmen aus den Ergebnissen?
- Zeigt es einem Unternehmen, welche Assets einem besonders hohen Risiko unterliegen. Trotz fehlender Sicherheitsmaßnahmen?
- Sollte dies Ausgangspunkt für einen Risikobehandlungsplan darstellen. In weiteren Schritten sollte geprüft werden, ob es nicht sinnvoll ist, mit weiteren Sicherheitsmaßnahmen das Risiko für einzelne oder mehrere Assets zu reduzieren.
Last but not least: Die IT-Risikoanalyse muss selbstverständlich in regelmäßigen Abständen wiederholt werden. Denn Risiken und Schwachstellen ändern sich im Laufe der Zeit und nur auf Grundlage einer aktuellen Risikoanalyse können fundierte Entscheidungen getroffen werden.
Bild: © LaCatrina — Fotolia.com

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.

Neueste Kommentare