Risikomanagement
|
|
|
|
IT-Sicherheitsrisiken Ohne Risikomanagement keine IT-Sicherheit
IT-Sicherheit wird in den Medien dieser Tage groß geschrieben. Die Diskrepanz zwischen öffentlichem Bewusstsein, Anzahl der Dikussionen und den tatsächlichen sicherheitsfördernden Aktivitäten ist allerdings groß. Muss erst richtig viel passieren? Christian Baetzner, Projekt Manager bei Cambridge Technology Partners, erläutert, warum Risikomanagement ein elementarer Bestandteil der IT-Sicherheit sein muss:
Generelle Immunität gegen IT-Sicherheitsrisiken gibt es nicht. Es ist quasi alles schon einmal vorgekommen. Sensitive Kundendaten werden versehentlich auf der Webseite eines Unternehmens publiziert und sind für alle einsehbar; der Laptop eines Geschäftsführers mit vertraulichen Daten wird gestohlen; ein ehemaliger Mitarbeiter hat weiterhin Zugriff auf interne Informationen und nutzt diese, um dem früheren Arbeitgeber zu schaden etc. etc. etc. Die Liste der Risiken, die bereits eingetreten sind, ist lang. Die Liste derer, die sich umfassend schützen, ist es dagegen nicht.
Das knappe IT-Budget ist daran nicht ganz unschuldig. Aber auch die Komplexität der IT spielt eine wichtige Rolle. Wo fangen relevante und proaktiv anzugehende Sicherheitsrisiken an, wo hören sie auf? Nicht selten wird die Informationstechnologie an sich in Frage gestellt, da die Gefahren unüberschaubar wirken – und es einfacher scheint, vor der Verantwortung auf diese Weise die Augen zu schließen.
Gezieltes Risikomanagement kann abhelfen, indem die einzelnen Einflussfaktoren genau untersucht und somit transparent gemacht werden. Ein Risiko ist laut Definition die Möglichkeit der Beeinträchtigung oder des Verlusts von Vermögenswerten aufgrund von Bedrohungen und dem Ausnutzen von Schwachstellen. Projektrisiken können durch gezielte und umfassende Planung unter Kontrolle gehalten werden. Die Probleme, die im laufenden Betrieb auftreten können, sind dagegen vielfältiger Natur und nicht leicht pauschal abzuwehren.
Am Anfang eines strukturierten Risikomanagements steht die Schutzbedarfsfeststellung. Sie liefert die Grundlage für Vereinbarungen zur Entwicklung, Wartung und Betrieb der jeweiligen IT-Anwendung, der Wert dieser Anwendung wird darin aus fachlicher Sicht beschrieben. Bezüglich der IT-Sicherheit lauten die Schutzziele Verfügbarkeit, Vertraulichkeit, Verbindlichkeit und Integrität. Um diese plangemäß zu erreichen sind Maßnahmen zum Beispiel im Hinblick auf unbefugten Zugang, gesetzliche Bestimmungen, Empfindlichkeiten der Hardware und Software sowie Anwendungsfehler zu identifizieren und durchzuführen – im Bestfall bereits im Rahmen der Entwicklung einer Anwendung. In Abstimmung mit dem Management werden Grenzwerte für diese vier Schutzziele definiert, die es ermöglichen jede Anwendung in sehr hohen, hohen, mittleren und niedrigen Schutzbedarf je Schutzziel einzustufen. Die Einstufung definiert, inwieweit die jeweilige Anwendung kritisch für den wirtschaftlichen Erfolg ist.
Anwendungen, die mittleren oder niedrigen Schutzbedarf haben, werden durch den so genannten Grundschutz abgedeckt – sichergestellt durch die grundsätzliche Ausstattung und die Abläufe in der IT-Abteilung. Der Grundschutz lässt sich nach Bedarf ausgestalten. Anknüpfungspunkte finden sich zum Beispiel im IT-Grundschutzhandbuch (BSI) oder in einem Standard für IT-Organisation und Prozesse wie COBIT.
Für Anwendungen mit hohem oder sehr hohem Schutzbedarf wird dagegen eine anwendungsspezifische Risikosammlung und Analyse durchgeführt, die Hardware, Software, Schnittstellen und auch Organisationen und Abläufe berücksichtigt. Die anschließende Risikobewertung beinhaltet die Eintrittswahrscheinlichkeit und die qualitativen sowie quantitativen Auswirkungen der einzelnen Risiken, das heißt die Höhe des potenziellen Schadens. Die Risiken und ihre Auswirkungen werden aggregiert, so lässt sich das Gesamtrisiko für die Geschäftstätigkeit des Unternehmens im Zusammenhang mit der betrachteten Anwendung feststellen. Maßnahmen – nach wie vor spezifisch für die Anwendung mit hohem oder sehr hohem Schutzbedarf - sollen entweder die Eintrittswahrscheinlichkeit oder die Schadenshöhe vermindern. Die erarbeiteten und festgelegten Maßnahmen betreffen technische, organisatorische, administrative und bauliche Prozesse. Dabei kommen auch Delegation und Transfer über Versicherungen und Verträge in Frage. In Anbetracht dieser - in manchen Fällen umfangreichen - Maßnahmen ist die Kosten-/Nutzenbetrachtung natürlich zur Ermittlung des optimalen Schutzes unerlässlich. Der vereinbarte Maßnahmenkatalog wird daher nicht alle möglichen Schritte enthalten – nicht zuletzt aus Ressourcen- und Budgetgründen. Nichtsdestotrotz erreichen die Unternehmen so einen Status, in dem sie wissen, was sie tun – und was sie bewusst unterlassen.
Vorausschauendes Risikomanagement ist unerlässlich, dient es doch der geplanten und verlässlichen Fortführung der Geschäftstätigkeit. Der strukturierte Umgang mit dem Thema Risiko schafft Klarheit und Transparenz –das Verfahren ist anpassbar auf Unternehmensgröße und Branche. Auch wenn immer ein Restrisiko bleibt, die Abhängigkeit von der Informationstechnologie kann so entspannter in Kauf genommen werden.
Hier können Sie ein Faxformular für ein Probeheft, ein Probeabo oder ein Jahresabo downloaden.
|
|
