Awa­reness der Mit­ar­beiter wich­tiger Teil der Unternehmenssicherheit

Teil 2 — Bei­spiel­hafte Risi­ko­analyse nach ISO 31000:2018

In „Teil 1 — Aus­wir­kungen der Pan­demie auf die Awa­reness eines Unter­nehmens“, haben wir fest­ge­halten, dass die Awa­reness der Mit­ar­beiter auch in Pan­de­mie­zeiten ein wich­tiger Teil der Unter­neh­mens­si­cherheit ist und dass eine Risi­ko­analyse auf­zeigt, inwiefern lau­fende Pro­zesse ange­passt werden müssen. Eine Risi­ko­analyse nach der ISO 31000, sieht in der Theorie wie folgt aus:

• Risi­ko­iden­ti­fi­kation:

Ziel: Risiken finden, erkennen und beschreiben

Unter Berück­sich­tigung von: Ursachen und Ereig­nissen, Bedro­hungen und Chancen, Ver­wund­bar­keiten und Fähig­keiten, Aus­wir­kungen und deren Ein­flüsse auf Ziele, etc.

• Risi­ko­analyse:

Ziel: Ver­stehen der Art des Risikos, dessen Eigen­schaften und der Risikohöhe

Unter Berück­sich­tigung von: Wahr­schein­lich­keiten und Aus­wir­kungen sowie Art und Umfang, Wirk­samkeit der bestehenden Steuerungen

• Risi­ko­be­wertung

Ziel: Unter­stützung von Ent­schei­dungen, Ver­gleich der Ergeb­nisse der Risikoanalyse,

Ent­scheidung darüber, ob nichts weiter zu unter­nehmen ist, Optionen zur Risi­ko­be­handlung zu erwägen, weitere Ana­lysen durch­zu­führen, bestehende Steue­rungen auf­recht­zu­er­halten sind oder Ziele über­denkt werden müssen

• Risi­ko­be­handlung

Ite­ra­tiver Prozess durch For­mu­lieren und Aus­wählen der Risi­ko­be­hand­lungs­op­tionen, Planen und Imple­men­tieren der Risi­ko­be­handlung, Beur­teilen der Wirk­samkeit dieser Behandlung, Ent­scheiden, ob das ver­blei­bende Risiko akzep­tabel ist, falls dies nicht akzep­tabel ist, Vor­nehmen wei­terer Behandlung.

Wie so eine Risi­ko­analyse in der Praxis aus­sehen kann, haben wir im Fol­genden bei­spielhaft dar­ge­stellt. Aus­gangs­si­tuation ist der Monat März des Jahres 2020, als die Corona Pan­demie noch in ihren „Start­lö­chern“ stand.

• Risi­ko­iden­ti­fi­kation:
  Risiko: Anste­ckungs­gefahr durch Corona

2. Risiko: Inhalte zu den Themen Unter­neh­mens­si­cherheit werden nicht mehr live in Form von Prä­senz­schu­lungen ver­mittelt und es gibt deshalb Ver­stöße gegen die Daten­­­schutz- und Informationssicherheitsbestimmungen
3. Risiko: Mit­ar­beiter wissen nicht wer ihre Ansprech­partner rund um die Themen Daten­schutz und Infor­ma­ti­ons­si­cherheit sind

• Risi­ko­analyse:

1. Risiko: Res­sour­cen­risiko, da bei hoher Infek­ti­onszahl Mit­ar­beiter nicht mehr arbeiten können.

Folge: Arbeit bliebt liegen, Unter­neh­mens­ziele und Umsätze werden nicht erreicht

2. Risiko: Sicher­heits­risiko, da Mit­ar­beiter den rich­tigen Umgang mit Werten nicht mehr kennen und nicht wissen, wie sie sich im Arbeits­alltag richtig ver­halten müssen.

Folge: Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit von Infor­ma­tionen und Daten sind nicht mehr gewähr­leistet, Angriffe durch Social Engi­neering, Hacking, Viren, Tro­janer etc. sind leichter möglich.

3. Risiko: Kom­mu­ni­ka­ti­ons­risiko, da neue Mit­ar­beiter ihre Ansprech­partner nor­ma­ler­weise bei den Ein­füh­rungs­ver­an­stal­tungen ken­nen­lernen und live sehen

Folge: Anfragen werden an falsche Abtei­lungen oder viel­leicht auch gar nicht ver­sendet. Dadurch ver­spätet sich die Rück­meldung bzw. es gibt keine.

Die Ein­tritts­wahr­schein­lichkeit sowie die Scha­denshöhe sind vom Unter­nehmen selbst zu bestimmen, da sie abhängig von der Risi­ko­men­ta­lität des jewei­ligen Unter­nehmens sind.

• Risi­ko­be­wertung

1. Risiko: Ein­greifen not­wendig, es müssen Alter­na­tiven zum Arbeiten in der Firma erar­beitet, rei­bungslose Kom­mu­ni­kation sicher­ge­stellt und Hardware beschafft werden
2. Risiko Ein­greifen not­wendig, es müssen Alter­na­tiven zu Prä­senz­schu­lungen für das Thema Daten­schutz und Unter­neh­mens­si­cherheit erar­beitet werden
3. Risiko Ein­greifen nicht not­wendig, da Ansprech­partner auch an anderen Orten, bei­spiel­weise dem Intranet, ver­mittelt werden

• Risi­ko­be­handlung

1. Risiko: Mit­ar­beiter arbeiten mobil (Hotels, Alter­na­tiv­büros) bzw. im Home-Office, Firma stellt Hardware sowie Kom­mu­ni­ka­ti­ons­software, bei­spiel­weise Skype oder Microsoft Teams, zur Verfügung.
   Bei Tätig­keiten, bei denen eine Anwe­senheit zwingend erfor­derlich ist (z.B. Betriebs­schutz, Waren­an­nahme, Gas­tro­nomie), müssen Hygie­ne­kon­zepte erar­beitet werden.
2. Risiko: Umstellung des Live Kon­zeptes auf andere Formate, bei­spiel­weise Online­schu­lungen, Lern­videos, Unter­richts­ma­terial im Intranet

Alter­native: Wenn das Risiko als gering bewertet wurde, besteht die Mög­lichkeit, die Schulung ganz aus­fallen zulassen und mög­liche Sicher­heits­ver­stöße zu überwachen.

Abschließend ist fest­zu­halten, dass in den sel­tensten Fällen auf die Awa­reness ver­zichtet werden kann und somit Alter­na­tiven gefunden werden müssen. Die Pan­demie stellt jedes Unter­nehmen vor Her­aus­for­de­rungen, auf die indi­vi­duell reagiert werden muss. Die Durch­führung einer Risi­ko­analyse ist dabei ein gutes Tool zur Unterstützung.