DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Awa­reness der Mit­ar­beiter wich­tiger Teil der Unternehmenssicherheit

Teil 2 — Bei­spiel­hafte Risi­ko­analyse nach ISO 31000:2018

In „Teil 1 — Aus­wir­kungen der Pan­demie auf die Awa­reness eines Unter­nehmens“, haben wir fest­ge­halten, dass die Awa­reness der Mit­ar­beiter auch in Pan­de­mie­zeiten ein wich­tiger Teil der Unter­neh­mens­si­cherheit ist und dass eine Risi­ko­analyse auf­zeigt, inwiefern lau­fende Pro­zesse ange­passt werden müssen. Eine Risi­ko­analyse nach der ISO 31000, sieht in der Theorie wie folgt aus:

  • Risi­ko­iden­ti­fi­kation:

Ziel: Risiken finden, erkennen und beschreiben

Unter Berück­sich­tigung von: Ursachen und Ereig­nissen, Bedro­hungen und Chancen, Ver­wund­bar­keiten und Fähig­keiten, Aus­wir­kungen und deren Ein­flüsse auf Ziele, etc.

  • Risi­ko­analyse:

Ziel: Ver­stehen der Art des Risikos, dessen Eigen­schaften und der Risikohöhe

Unter Berück­sich­tigung von: Wahr­schein­lich­keiten und Aus­wir­kungen sowie Art und Umfang, Wirk­samkeit der bestehenden Steuerungen

  • Risi­ko­be­wertung

Ziel: Unter­stützung von Ent­schei­dungen, Ver­gleich der Ergeb­nisse der Risikoanalyse,

Ent­scheidung darüber, ob nichts weiter zu unter­nehmen ist, Optionen zur Risi­ko­be­handlung zu erwägen, weitere Ana­lysen durch­zu­führen, bestehende Steue­rungen auf­recht­zu­er­halten sind oder Ziele über­denkt werden müssen

  • Risi­ko­be­handlung

Ite­ra­tiver Prozess durch For­mu­lieren und Aus­wählen der Risi­ko­be­hand­lungs­op­tionen, Planen und Imple­men­tieren der Risi­ko­be­handlung, Beur­teilen der Wirk­samkeit dieser Behandlung, Ent­scheiden, ob das ver­blei­bende Risiko akzep­tabel ist, falls dies nicht akzep­tabel ist, Vor­nehmen wei­terer Behandlung.

Wie so eine Risi­ko­analyse in der Praxis aus­sehen kann, haben wir im Fol­genden bei­spielhaft dar­ge­stellt. Aus­gangs­si­tuation ist der Monat März des Jahres 2020, als die Corona Pan­demie noch in ihren „Start­lö­chern“ stand.

  • Risi­ko­iden­ti­fi­kation:
    Risiko: Anste­ckungs­gefahr durch Corona
  1. Risiko: Inhalte zu den Themen Unter­neh­mens­si­cherheit werden nicht mehr live in Form von Prä­senz­schu­lungen ver­mittelt und es gibt deshalb Ver­stöße gegen die Daten­­schutz- und Informationssicherheitsbestimmungen
  2. Risiko: Mit­ar­beiter wissen nicht wer ihre Ansprech­partner rund um die Themen Daten­schutz und Infor­ma­ti­ons­si­cherheit sind
  • Risi­ko­analyse:
  1. Risiko: Res­sour­cen­risiko, da bei hoher Infek­ti­onszahl Mit­ar­beiter nicht mehr arbeiten können.

Folge: Arbeit bliebt liegen, Unter­neh­mens­ziele und Umsätze werden nicht erreicht

  1. Risiko: Sicher­heits­risiko, da Mit­ar­beiter den rich­tigen Umgang mit Werten nicht mehr kennen und nicht wissen, wie sie sich im Arbeits­alltag richtig ver­halten müssen.

Folge: Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit von Infor­ma­tionen und Daten sind nicht mehr gewähr­leistet, Angriffe durch Social Engi­neering, Hacking, Viren, Tro­janer etc. sind leichter möglich.

  1. Risiko: Kom­mu­ni­ka­ti­ons­risiko, da neue Mit­ar­beiter ihre Ansprech­partner nor­ma­ler­weise bei den Ein­füh­rungs­ver­an­stal­tungen ken­nen­lernen und live sehen

Folge: Anfragen werden an falsche Abtei­lungen oder viel­leicht auch gar nicht ver­sendet. Dadurch ver­spätet sich die Rück­meldung bzw. es gibt keine.

Die Ein­tritts­wahr­schein­lichkeit sowie die Scha­denshöhe sind vom Unter­nehmen selbst zu bestimmen, da sie abhängig von der Risi­ko­men­ta­lität des jewei­ligen Unter­nehmens sind.

  • Risi­ko­be­wertung
  1. Risiko: Ein­greifen not­wendig, es müssen Alter­na­tiven zum Arbeiten in der Firma erar­beitet, rei­bungslose Kom­mu­ni­kation sicher­ge­stellt und Hardware beschafft werden
  2. Risiko Ein­greifen not­wendig, es müssen Alter­na­tiven zu Prä­senz­schu­lungen für das Thema Daten­schutz und Unter­neh­mens­si­cherheit erar­beitet werden
  3. Risiko Ein­greifen nicht not­wendig, da Ansprech­partner auch an anderen Orten, bei­spiel­weise dem Intranet, ver­mittelt werden
  • Risi­ko­be­handlung
  1. Risiko: Mit­ar­beiter arbeiten mobil (Hotels, Alter­na­tiv­büros) bzw. im Home-Office, Firma stellt Hardware sowie Kom­mu­ni­ka­ti­ons­software, bei­spiel­weise Skype oder Microsoft Teams, zur Verfügung.
    Bei Tätig­keiten, bei denen eine Anwe­senheit zwingend erfor­derlich ist (z.B. Betriebs­schutz, Waren­an­nahme, Gas­tro­nomie), müssen Hygie­nekon­zepte erar­beitet werden.
  2. Risiko: Umstellung des Live Kon­zeptes auf andere Formate, bei­spiel­weise Online­schu­lungen, Lern­videos, Unter­richts­ma­terial im Intranet

Alter­native: Wenn das Risiko als gering bewertet wurde, besteht die Mög­lichkeit, die Schulung ganz aus­fallen zulassen und mög­liche Sicher­heits­ver­stöße zu überwachen.

Abschließend ist fest­zu­halten, dass in den sel­tensten Fällen auf die Awa­reness ver­zichtet werden kann und somit Alter­na­tiven gefunden werden müssen. Die Pan­demie stellt jedes Unter­nehmen vor Her­aus­for­de­rungen, auf die indi­vi­duell reagiert werden muss. Die Durch­führung einer Risi­ko­analyse ist dabei ein gutes Tool zur Unterstützung.

 

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jana Amthor

Jana Amthor arbeitet seit 2019 bei der DATEV eG. Sie ist als Refe­rentin für Daten­schutz und Infor­ma­ti­ons­si­cherheit tätig. Schwer­punkte sind Awa­reness, ISO 27001 Zer­ti­fi­zierung und ISMS-Kenn­zah­len­system. Par­allel stu­diert sie berufs­be­gleitend Business Con­sulting and Digital Management an der FOM.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.