Märkte und ihre Anforderungen ändern sich aktuell schneller als je zuvor. Die Digitalisierung schreitet voran, immer mehr Unternehmen verlagern Prozesse in die Cloud. Künstliche Intelligenz bringt Ergebnisse, die man bisher nicht für möglich gehalten hatte – Ausgang ungewiss . Und nicht zuletzt sorgen die Folgen der Corona-Pandemie und der Krieg in Europa dafür, dass lang gehegte Überzeugungen ins Wanken geraten.
In Anbetracht dieser Entwicklungen wird ein kluges Risikomanagement unverzichtbar für Unternehmen aller Art. Ein robuster und auf das Unternehmen angepasster Risikomanagement-Prozess hilft Ihrer Organisation nicht nur, Unsicherheiten zu verringern. Er kann auch das sprichwörtliche Zünglein an der Waage sein, wenn es darum geht, Ihren Kunden den entscheidenden Mehrwert zu bieten.
Dieser Artikel erklärt das Risikomanagement, die Einführung eines unternehmensweiten Risikomanagements und die Verbindung zwischen Risikomanagement und Informationssicherheit (InfoSec).
Worum geht es beim Risikomanagement?
Durch ein Risikomanagement im Unternehmen werden potenzielle Risiken systematisch erkannt, bewertet und behandelt. Diese Risiken könnten die Ziele, Vermögenswerte und Interessengruppen des Unternehmens beeinflussen. Jedes Unternehmen hat eigene Risiken, die von Branche und Kontext abhängen. Eine effektive Strategie erfordert maßgeschneiderte Prozesse, um die Risiken zu analysieren und angemessen zu handhaben.
Mit zunehmender Nutzung von Online-Technologien im Unternehmenskontext nehmen auch die Bedrohungen zu. Beispiele sind Home Office und Cloud-Dienste, denen Unternehmen ausgesetzt sind. Mit diesen Risiken planvoll umzugehen ist von essentieller Bedeutung für die Informationssicherheit eines Unternehmens.
Eine Zertifizierung nach ISO 27001 ist besonders für diejenigen Unternehmen wichtig, die mit großen Mengen personenbezogener Daten arbeiten. Dies gilt umso mehr für Unternehmen kritischer Infrastrukturen, z.B. das Gesundheitswesen und den Finanzsektor. ISO 27001 ist die internationale Norm für Informationssicherheit und legt die Grundlage für ein unternehmensweites Informationssicherheits-Managementsystem (ISMS), welches wiederum Maßnahmen für das Risikomanagement im Unternehmen festlegt. Damit ist das ISMS ein besonders wichtiges Element für den langfristigen Erfolg eines Unternehmens.
Erfahren Sie mehr über effektives Risikomanagement für die ISO 27001-Zertifizierung in unserem kostenlosen Webinar (nur auf Englisch verfügbar).
Entwicklung eines Risikomanagement-Prozesses
Das Risikomanagement nach ISO 27001 folgt einem Prozess, der drei zentrale Schritte umfasst:
- Identifizierung und Bewertung von Risiken
- Entwickeln eines Risiko-Behandlungsplans
- Bewertung der Restrisiken
Im Folgenden schauen wir uns jeden dieser Schritte detailliert an und geben Ihnen nützliche Best Practices an die Hand. Sind Sie bereit?
1. Identifizierung und Bewertung von Risiken
Für die Identifizierung und Bewertung der Risiken für ein Unternehmen gibt es verschiedene Ansätze. Besonders verbreitet sind Ansätze mit Fokus auf zu schützende Vermögenswerte (Assets), auf Schwachstellen, auf Bedrohungen und auf Szenarien. Jede Variante hat bestimmte Vor- und Nachteile und Anwendungsbereiche, in denen sie besonders nützlich ist.
Bevor Sie mit der eigentlichen Bewertung der Risiken beginnen, müssen Sie sich zunächst für eine grundsätzliche Perspektive für die Analyse entscheiden. Grundsätzlich unterscheidet man in zwei Kategorien: qualitative und quantitative Risikoanalysen.
Qualitative Risikoanalyse
Bei einer qualitativen Risikoanalyse können Experteninterviews eingesetzt werden. Dabei werden sowohl interne als auch externe Fachleute befragt, um potenzielle Risiken und deren mögliche Auswirkungen zu identifizieren.
Durch Brainstormings können Risiken aufgedeckt werden, die bei anderen Analysemethoden verborgen bleiben. Die größte Herausforderung liegt in der möglichen Voreingenommenheit („Bias“) der Experten und den unterschiedlichen Erfahrungen. Diese können den Prozess behindern und Ergebnisse verzerren.
Qualitative Methoden bieten eine niedrigschwellige und kostengünstige Möglichkeit, ein unternehmensweites Risikomanagement zu etablieren. Dies ist besonders hilfreich, wenn quantitative Daten knapp sind oder es an Verarbeitungsmöglichkeiten mangelt.
Quantitative Risikoanalyse
Bei ausreichend strukturierten Daten und entsprechenden Verarbeitungsmöglichkeiten bieten sich quantitative Methoden zur Risikoanalyse an. Dabei werden konkrete Zahlen, statische Methoden und mathematische Modelle zur Risikobewertung herangezogen.
Häufige Ansätze sind:
- Zuweisung numerischer Wahrscheinlichkeiten und Auswirkungen zu einzelnen Risiken. Ziel ist, Risiken objektiv vergleichen und priorisieren zu können (Wahrscheinlichkeits- und Auswirkungsanalyse / Risikomatrix).
- Berechnung der finanziellen Auswirkungen eines Risikos: Wahrscheinlichkeit des Eintritts mit geschätztem Schaden multiplizieren (Expected Monetary Value, EMV-Analyse).
Verständnis der Risiken wird durch Kombination von qualitativen und quantitativen Methoden erreicht. Im Folgenden erklären wir vier Risikobewertungsmethoden im Detail und analysieren, ob eine quantitative oder qualitative Perspektive geeignet ist.
Bewertung auf Basis von Vermögenswerten (Assets)
Bei der Asset-basierten Bewertung werden Risiken erfasst, indem man sich auf die Vermögenswerte (Assets) eines Unternehmens konzentriert. Hierzu gehören unter anderem physische Infrastruktur, verwendete Technologien und geistiges Eigentum. Potenzielle Bedrohungen und Schwachstellen, die diese Assets betreffen können, werden erfasst und bewertet. Dabei werden meist quantitative Analysemethoden verwendet, um die möglichen Folgen für das Unternehmen zu bestimmen.
Die Asset-basierte Bewertung hilft Unternehmen, ihre wichtigsten Assets zu identifizieren und zu schützen. Gleichzeitig ist der Fokus der Analyse sehr eng gefasst – Risiken, die nicht direkt mit Unternehmenswerten in Verbindung stehen, werden leicht übersehen.
Bewertung auf Basis von Schwachstellen
Der Fokus liegt auf Risiken, die durch potenzielle Schwachstellen entstehen, wie veraltete Sicherheitsprotokolle oder mangelnde Sicherheitsbewusstsein der Mitarbeiter. Die Bewertung umfasst die Erkennung von Schwachstellen und eine Beurteilung möglicher Folgen, z.B. durch Mitarbeiterinterviews und ähnliche Methoden. Sind die Schwachstellen einmal erkannt, können Strategien zu ihrer Behebung entwickelt werden.
Bewertung auf Basis von Bedrohungen
Bei der Bewertung auf Basis bestehender Bedrohungen stehen die Risiken für das Unternehmen im Vordergrund. Dazu gehören Cyber-Angriffe, Naturkatastrophen oder menschliches Fehlverhalten. Der Unterschied zwischen einer Bedrohung und einer Schwachstelle ist folgender: Die Schwachstelle ist der Ausgangspunkt. Eine Bedrohung ist etwas, das eine Schwachstelle ausnutzt.
Beispiel: Wenn ein Hacker beispielsweise einen Exploit verwendet, um eine vorhandene Schwachstelle in einer Software auszunutzen, entsteht eine Bedrohung. Durch eine detaillierte Analyse jedes Risikos lässt sich die Wahrscheinlichkeit für das tatsächliche Auftreten der Bedrohung bestimmen.
Dieser bedrohungsbasierte Ansatz lässt sich besonders gut mit qualitativen Untersuchungen, z.B. Experteninterviews kombinieren. Verlieren Sie dabei aber nicht die üblichen Fallstricke der Methode (z.B. Bias der Befragten) aus den Augen.
Bewertung auf Basis von Szenarien
Bei der szenariobasierten Risikobetrachtung entwirft die Organisation hypothetische Szenarien und identifiziert damit verbundene Risiken. Sie entwickelt auch mögliche Strategien, um auf verschiedene Umstände zu reagieren und sich darauf vorzubereiten. Das Ziel ist es, die Auswirkungen von Risiken zu mindern und Kosten oder Schäden bestmöglich zu verhindern.
Weiterhin sind Szenario-basierte Bewertungen sehr nützlich, um potenzielle Risiken und ihre Folgen für das Unternehmen kreativ und proaktiv zu beurteilen. So lassen sich auch solche Risiken erkennen, die mit anderen Methoden übersehen worden waren. Auch die Maßnahmen des internen Risikomanagements lassen sich auf dieser Grundlage besser priorisieren.
Wir empfehlen deshalb grundsätzlich, Risiken auf Szenariobasis zu bewerten. Unsere Experten helfen Ihnen gern mit weiteren Informationen und Details zum Thema.
2. Entwickeln eines Risiko-Behandlungsplans
Nachdem die potenziellen Risiken für ein Unternehmen identifiziert und bewertet wurden, muss ein Risikobehandlungsplan erstellt werden. Dieser dient der Bewältigung bzw. Beseitigung der Risiken. Unabhängig von der jeweiligen Branche haben sich vier Wege etabliert, um mit Risiken für Unternehmen umzugehen.
- Vermeidung des Risikos
„Vermeidung des Risikos“ bedeutet in diesem Fall, dass alles unternommen wird, um die Ursache des Risikos zu beseitigen. Dazu kann gehören, bestimmte Aktivitäten einzustellen, bestimmte Märkte nicht länger zu bedienen oder bestimmte Projekte nicht länger fortzuführen. Eine Vermeidung des Risikos ist vor allem dann sinnvoll, wenn das Risiko sehr wahrscheinlich ist und die möglichen Folgen besonders fatal wären.
- Reduzierung des Risikos
Entscheidet sich ein Unternehmen für die "Risikoreduzierung", ergreift es Maßnahmen, um das Risiko zu verringern oder Folgen abzuschwächen. Dazu gehören Einführung von Maßnahmen, Prozessen oder Richtlinien. Diese Variante ist sinnvoll, wenn Eintrittswahrscheinlichkeit gering, mögliche Folgen bedeutend für das Unternehmen sind.
- Übertragung des Risikos
Bei der „Übertragung des Risikos“ wird das Risiko an eine andere Partei abgegeben, beispielsweise durch Abschluss von Versicherungen oder Outsourcing bestimmter Aktivitäten an Dritte. Diese Option wird immer dann gewählt, wenn die möglichen Folgen eines Risikos hoch wären und das Unternehmen selbst keine Gegenmaßnahmen treffen kann oder will.
- Akzeptieren (Behalt) des Risikos
Bei dieser Option werden das Risiko und seine möglichen negativen Folgen akzeptiert. Statt Gegenmaßnahmen zu treffen, bereitet man sich soweit möglich vor, z.B. durch Monitoring oder Notfallpläne, und preist die negativen Folgen als Kosten bei Kalkulationen mit ein. Diese Variante ist immer dann sinnvoll, wenn die möglichen negativen Folgen eines Risikos relativ gering sind und das Unternehmen diese zu tragen bereit ist.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
3. Review und Prüfung auf Restrisiken
Nach Fertigstellung des Risikobehandlungsplans ist dieser auf seine Wirksamkeit und mögliche Restrisiken zu überprüfen. Werden Restrisiken identifiziert, können diese mit den oben genannten Ansätzen bewertet und in den bestehenden Plan integriert werden. Die abschließende Überprüfung soll sicherstellen, dass das interne Risikomanagement langfristig angelegt ist und kontinuierlich überwacht und gesteuert wird. Jegliche Änderungen in den Unternehmensprozessen oder im Unternehmenskontext müssen berücksichtigt werden und können zu Änderungen im Risikobehandlungsplan führen.
Die kontinuierliche Überwachung der Restrisiken stellt sicher, dass das Risikomanagement im Unternehmen den Anforderungen entspricht. Mögliche negative Auswirkungen und Kosten werden auch bei Veränderungen so gering wie möglich gehalten.
So hilft DataGuard Ihnen bei Risikomanagement und ISO 27001-Zertifizierung
Bewährte Best Practices und Standards bilden die Basis eines funktionierenden Risikomanagements. Nur so ist sichergestellt, dass Sie Risiken jederzeit konsistent und strukturiert bewerten. Dies wiederum hilft Ihnen, weltweite Anforderungen und Normen zu erfüllen. Eine offizielle Zertifizierung sorgt zudem für mehr Vertrauen auf Seiten der Kunden, wenn es um die Sicherheit Ihrer Daten geht.
Die ISO 27001 ist der internationale Standard für die Informationssicherheit und hilft Unternehmen, Ihre Informations-Assets zu schützen und zugleich rechtliche Vorgaben zu erfüllen. Die Norm bietet ein Rahmenwerk für die Entwicklung, Implementierung, Aufrechterhaltung und stetige Verbesserung eines Informationssicherheits-Managementssystems (ISMS). Eine wichtige Komponente des ISMS: Das unternehmensweite Risikomanagement.
DataGuard bietet Ihnen kompetente Fachberatung und auf Sie zugeschnittene Lösungen, um Sie optimal bei Ihrem Risikomanagement zu unterstützen. Darüber hinaus begleiten wir Sie bei der Zertifizierung nach ISO 27001 und Ihrer DSGVO-Compliance. Wir entwickeln individuelle Strategien für Ihr unternehmensweites Risikomanagement.
Gemeinsam finden wir genau die passenden Lösungen für Ihre Herausforderungen.