Richtiges Handeln durch richtige Entscheidungen – Risikomanagement gestalten

Text: Dr. M. Tarek Gerdewal

Im Zuge einer funktionierenden Informationssicherheit müssen richtige Entscheidungen zum richtigen Zeitpunkt getroffen werden. Als Entscheidungsgrundlage dienen dem Sicherheitsmanagement konsolidiert vorgelegte Informationen. Wird das Management jedoch unzureichend mit den richtigen Informationen versorgt, oder hat das Management nicht die notwendige Sorge dafür getragen, dass die richtigen Informationen gewonnen werden, hat dies zur Folge, dass möglicherweise ungünstige Entscheidungen getroffen werden.

Ein Teil dieser richtigen Informationen ist die Gegenüberstellung und Abwägung von aussichtsreichen Erträgen zu den damit verbundenen Gefahrenpotenzialen (Gleißner: 2008, S. 2 ff). Genau hier setzt Risikomanagement als erweitertes Instrument der Informationssicherheit an. Mithilfe geeigneter Verfahren und systematischer Vorgehensweise werden Maßnahmen erarbeitet und durchgesetzt, um Risiken proaktiv zu begegnen und diese in geeigneter Weise abzuschwächen.

Die Wahrnehmung und die richtige Klassifizierung der Risiken hängen jedoch maßgeblich von dem Informationsstand über die Risiken ab. Werden beispielsweise verhältnismäßig milde Risiken hoch priorisiert, können Chancen nicht wahrgenommen werden, und es entstehen unnötige Aufwendungen bei der Maßnahmenergreifung, um gegen diese Risiken vorzugehen. Vernachlässigt man auf der anderen Seite aufgrund mangelnder Kenntnis kritische Risiken, kann dies zu unvorhersehbaren Folgen führen, welche die Informationssicherheit gefährden.

Der Risikostrategie in der Informationssicherheit liegt der Schutzbedarf der Objekte in einem Informationsverbund zugrunde. Bei hohem oder sehr hohem Schutzbedarf sollten auf Prozess-, Anwendungs- und Infrastrukturebene elementare und spezifische Risiken identifiziert und bewertet werden (BSI-Standard 200-3: 2019). Bevor jedoch mit der Identifizierung und Bewertung von Risiken begonnen werden kann, sollte nach Empfehlung des BSI bereits ein systemischer Informationssicherheitsprozess etabliert worden sein. Dies ist auch deswegen wichtig, weil hinsichtlich der Vielzahl an Objekten ein geeigneter Geltungsbereich (Informationsverbund) definiert und dieser einer IT-Grundschutzvorgehensweise unterzogen werden sollte, um gezielt und priorisiert potenzielle Risiken anzugehen.

Im Folgenden wird schrittweise gezeigt, wie ein solcher Risikomanagementprozess vorbereitet und durchgeführt werden kann.

Zunächst einmal ist es notwendig, die IT-Infrastruktur inklusive der dazugehörigen fachlichen und technischen Prozesse zu durchleuchten. Das klingt nach einer Mammutaufgabe – ist es auch. Aus diesem Grund empfiehlt sich, entweder mit bereits bekannten kritischen Systemen oder kritischen Prozessen zu beginnen. Letzteres ist eine Top-down-Variante, während ersteres eine Bottom-up-Methode darstellt. Beginnen wir mit der meistverwendeten Bottom-up-Methode.

Beiden Methoden liegt jedoch zugrunde, dass die ermittelten Objekte einem Informationsverbund zugewiesen werden sollten. Dieser Informationsverbund kann im Anschluss als überschaubarer Scope bzw. Geltungsbereich einer IT-Grundschutzvorgehensweise unterzogen werden. Diese Zuordnung ist abhängig von der Kritikalität der darin befindlichen Prozesse und Systeme.

Es existieren die drei IT-Grundschutzvorgehensweisen Basis-Absicherung, Standard-Absicherung und Kern-Absicherung, wobei die Basis-Absicherung grundlegende und die Kern-Absicherung erhöhte Sicherheitsanforderungen für Schlüsselprozesse und Systeme bereithält. Die Vorgehensweise Standard-Absicherun hält ausreichende Sicherheitsanforderungen für normal-kritische Prozesse und Systeme bereit. Ist die Vorgehensweise Basis-Absicherung gewählt, reicht es laut BSI aus, wenn die Sicherheitsanforderungen umgesetzt sind. Eine weitere Risikoanalyse ist dann nicht mehr notwendig. Bei der Standard-Absicherung“sollten die Prozesse und Anwendungen auf mögliche Gefährdungen und Risiken geprüft und entsprechende Maßnahmen zur Risikobehandlung initiiert werden. Ist die Kern-Absicherung gewählt, so sind Objekte mit erhöhtem Schutzbedarf vorrangig zu behandeln.

Die Behandlung von Objekten bedeutet in erster Linie, die Relevanz der elementaren Gefährdungen für die Objekte hinsichtlich Eintrittswahrscheinlichkeit, Auswirkung und ggf. Bedeutung zu bewerten. Anschließend können unternehmensspezifische Gefährdungen identifiziert und analog bewertet werden. Darüber hinaus sind die spezifischen Gefährdungen des IT-Grundschutzes für die zugrunde liegenden IT-Infrastrukturkomponenten zu bewerten. Sowohl für spezifische als auch für relevante elementare Gefährdungen werden Maßnahmen zur Risikobehandlung, das heißt Risikovermeidung oder -abschwächung, initiiert und im Risikomanagementprozess nach dem PDCA-Zyklus (Plan-Do-Check-Act) umgesetzt. Die oben genannte Risikoprioritätszahl hilft dabei, Risiken bzw. die entsprechenden Maßnahmen zu priorisieren.

Bei weiteren Informationen zu einer tool-gestützten Vorgehensweise und Durchführung eines Risikomanagementprozesses unterstütze ich gerne und freue mich auf eine Kontaktaufnahme.

Dieser Artikel erschien erstmals in der ExperSite – das Magazin für Informationssicherheit und Datenschutz

Literaturverzeichnis

Bruhn, M. (2004): Qualitätsmanagement für Dienstleistungen, 5. Auflage, Springer-Verlag: Berlin, Heidelberg
BSI (2018): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzAbout/ITGrundschutzSchulung/WebkursITGrundschutz/Schutzbedarfsfeststellung/Schutzbedarfskategorien/Definitionen/definitionen_node.html, aufgerufen am 26.06.2018
BSI IT Grundschutz (2018): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/einstieg/01001.html, aufgerufen am 26.06.2018
BSI-Standard 200-3 (2019): Risikoanalyse auf Basis von IT-Grundschutz, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_3.pdf?__blob=publicationFile&v=6, aufgerufen am 03.07.2019
Ebert, C. (2006): Risikomanagement Kompakt, 1. Auflage, Spektrum Akademischer Verlag: München
Gleißner, W. (2008): Grundlagen des Risikomanagements im Unternehmen, S. 2 ff, Verlag Franz Vahlen GmbH: München
Gleißner, W. (2001): Identifikation, Messung und Aggregation von Risiken, in: Gleißner, W., Meier, G. (2001): Wertorientiertes Risikomanagement für Industrie und Handel, Gabler-Verlag: Wiesbaden
Rosenkranz, F./Missler-Behr, M. (2005): Unternehmensrisiken erkennen und managen, Springer-Verlag, Berlin, Heidelberg