Auf einen Blick: Best Practices Risikomanagement

Märkte und ihre Anforderungen ändern sich aktuell schneller als je zuvor. Die Digitalisierung schreitet voran, immer mehr Unternehmen verlagern Prozesse in die Cloud. Künstliche Intelligenz bringt Ergebnisse, die man bisher nicht für möglich gehalten hatte – Ausgang ungewiss . Und nicht zuletzt sorgen die Folgen der Corona-Pandemie und der Krieg in Europa dafür, dass lang gehegte Überzeugungen ins Wanken geraten.

In Anbetracht dieser Entwicklungen wird ein kluges Risikomanagement unverzichtbar für Unternehmen aller Art. Ein robuster und auf das Unternehmen angepasster Risikomanagement-Prozess hilft Ihrer Organisation nicht nur, Unsicherheiten zu verringern. Er kann auch das sprichwörtliche Zünglein an der Waage sein, wenn es darum geht, Ihren Kunden den entscheidenden Mehrwert zu bieten.

Dieser Artikel erklärt das Risikomanagement, die Einführung eines unternehmensweiten Risikomanagements und die Verbindung zwischen Risikomanagement und Informationssicherheit (InfoSec).

Worum geht es beim Risikomanagement?

Durch ein Risikomanagement im Unternehmen werden potenzielle Risiken systematisch erkannt, bewertet und behandelt. Diese Risiken könnten die Ziele, Vermögenswerte und Interessengruppen des Unternehmens beeinflussen. Jedes Unternehmen hat eigene Risiken, die von Branche und Kontext abhängen. Eine effektive Strategie erfordert maßgeschneiderte Prozesse, um die Risiken zu analysieren und angemessen zu handhaben.

Mit zunehmender Nutzung von Online-Technologien im Unternehmenskontext nehmen auch die Bedrohungen zu. Beispiele sind Home Office und Cloud-Dienste, denen Unternehmen ausgesetzt sind. Mit diesen Risiken planvoll umzugehen ist von essentieller Bedeutung für die Informationssicherheit eines Unternehmens.

Eine Zertifizierung nach ISO 27001 ist besonders für diejenigen Unternehmen wichtig, die mit großen Mengen personenbezogener Daten arbeiten. Dies gilt umso mehr für Unternehmen kritischer Infrastrukturen, z.B. das Gesundheitswesen und den Finanzsektor. ISO 27001 ist die internationale Norm für Informationssicherheit und legt die Grundlage für ein unternehmensweites Informationssicherheits-Managementsystem (ISMS), welches wiederum Maßnahmen für das Risikomanagement im Unternehmen festlegt. Damit ist das ISMS ein besonders wichtiges Element für den langfristigen Erfolg eines Unternehmens.

Erfahren Sie mehr über effektives Risikomanagement für die ISO 27001-Zertifizierung in unserem kostenlosen Webinar (nur auf Englisch verfügbar).

ISO-27001-Risk-Management

Entwicklung eines Risikomanagement-Prozesses

Das Risikomanagement nach ISO 27001 folgt einem Prozess, der drei zentrale Schritte umfasst:

  1. Identifizierung und Bewertung von Risiken
  2. Entwickeln eines Risiko-Behandlungsplans
  3. Bewertung der Restrisiken

Im Folgenden schauen wir uns jeden dieser Schritte detailliert an und geben Ihnen nützliche Best Practices an die Hand. Sind Sie bereit?

1. Identifizierung und Bewertung von Risiken

Für die Identifizierung und Bewertung der Risiken für ein Unternehmen gibt es verschiedene Ansätze. Besonders verbreitet sind Ansätze mit Fokus auf zu schützende Vermögenswerte (Assets), auf Schwachstellen, auf Bedrohungen und auf Szenarien. Jede Variante hat bestimmte Vor- und Nachteile und Anwendungsbereiche, in denen sie besonders nützlich ist.

Bevor Sie mit der eigentlichen Bewertung der Risiken beginnen, müssen Sie sich zunächst für eine grundsätzliche Perspektive für die Analyse entscheiden. Grundsätzlich unterscheidet man in zwei Kategorien: qualitative und quantitative Risikoanalysen.

Qualitative Risikoanalyse

Bei einer qualitativen Risikoanalyse können Experteninterviews eingesetzt werden. Dabei werden sowohl interne als auch externe Fachleute befragt, um potenzielle Risiken und deren mögliche Auswirkungen zu identifizieren.

Durch Brainstormings können Risiken aufgedeckt werden, die bei anderen Analysemethoden verborgen bleiben. Die größte Herausforderung liegt in der möglichen Voreingenommenheit („Bias“) der Experten und den unterschiedlichen Erfahrungen. Diese können den Prozess behindern und Ergebnisse verzerren.

Qualitative Methoden bieten eine niedrigschwellige und kostengünstige Möglichkeit, ein unternehmensweites Risikomanagement zu etablieren. Dies ist besonders hilfreich, wenn quantitative Daten knapp sind oder es an Verarbeitungsmöglichkeiten mangelt.

Quantitative Risikoanalyse

Bei ausreichend strukturierten Daten und entsprechenden Verarbeitungsmöglichkeiten bieten sich quantitative Methoden zur Risikoanalyse an. Dabei werden konkrete Zahlen, statische Methoden und mathematische Modelle zur Risikobewertung herangezogen.

Häufige Ansätze sind:

  • Zuweisung numerischer Wahrscheinlichkeiten und Auswirkungen zu einzelnen Risiken. Ziel ist, Risiken objektiv vergleichen und priorisieren zu können (Wahrscheinlichkeits- und Auswirkungsanalyse / Risikomatrix).
  • Berechnung der finanziellen Auswirkungen eines Risikos: Wahrscheinlichkeit des Eintritts mit geschätztem Schaden multiplizieren (Expected Monetary Value, EMV-Analyse).
Captura de pantalla 2023-06-11 a las 13.07.38

Verständnis der Risiken wird durch Kombination von qualitativen und quantitativen Methoden erreicht. Im Folgenden erklären wir vier Risikobewertungsmethoden im Detail und analysieren, ob eine quantitative oder qualitative Perspektive geeignet ist.

Bewertung auf Basis von Vermögenswerten (Assets)

Bei der Asset-basierten Bewertung werden Risiken erfasst, indem man sich auf die Vermögenswerte (Assets) eines Unternehmens konzentriert. Hierzu gehören unter anderem physische Infrastruktur, verwendete Technologien und geistiges Eigentum. Potenzielle Bedrohungen und Schwachstellen, die diese Assets betreffen können, werden erfasst und bewertet. Dabei werden meist quantitative Analysemethoden verwendet, um die möglichen Folgen für das Unternehmen zu bestimmen.

Die Asset-basierte Bewertung hilft Unternehmen, ihre wichtigsten Assets zu identifizieren und zu schützen. Gleichzeitig ist der Fokus der Analyse sehr eng gefasst – Risiken, die nicht direkt mit Unternehmenswerten in Verbindung stehen, werden leicht übersehen.

Bewertung auf Basis von Schwachstellen

Der Fokus liegt auf Risiken, die durch potenzielle Schwachstellen entstehen, wie veraltete Sicherheitsprotokolle oder mangelnde Sicherheitsbewusstsein der Mitarbeiter. Die Bewertung umfasst die Erkennung von Schwachstellen und eine Beurteilung möglicher Folgen, z.B. durch Mitarbeiterinterviews und ähnliche Methoden. Sind die Schwachstellen einmal erkannt, können Strategien zu ihrer Behebung entwickelt werden.

Bewertung auf Basis von Bedrohungen

Bei der Bewertung auf Basis bestehender Bedrohungen stehen die Risiken für das Unternehmen im Vordergrund. Dazu gehören Cyber-Angriffe, Naturkatastrophen oder menschliches Fehlverhalten. Der Unterschied zwischen einer Bedrohung und einer Schwachstelle ist folgender: Die Schwachstelle ist der Ausgangspunkt. Eine Bedrohung ist etwas, das eine Schwachstelle ausnutzt. 

Beispiel: Wenn ein Hacker beispielsweise einen Exploit verwendet, um eine vorhandene Schwachstelle in einer Software auszunutzen, entsteht eine Bedrohung. Durch eine detaillierte Analyse jedes Risikos lässt sich die Wahrscheinlichkeit für das tatsächliche Auftreten der Bedrohung bestimmen.

Dieser bedrohungsbasierte Ansatz lässt sich besonders gut mit qualitativen Untersuchungen, z.B. Experteninterviews kombinieren. Verlieren Sie dabei aber nicht die üblichen Fallstricke der Methode (z.B. Bias der Befragten) aus den Augen.

Bewertung auf Basis von Szenarien

Bei der szenariobasierten Risikobetrachtung entwirft die Organisation hypothetische Szenarien und identifiziert damit verbundene Risiken. Sie entwickelt auch mögliche Strategien, um auf verschiedene Umstände zu reagieren und sich darauf vorzubereiten. Das Ziel ist es, die Auswirkungen von Risiken zu mindern und Kosten oder Schäden bestmöglich zu verhindern.

Weiterhin sind Szenario-basierte Bewertungen sehr nützlich, um potenzielle Risiken und ihre Folgen für das Unternehmen kreativ und proaktiv zu beurteilen. So lassen sich auch solche Risiken erkennen, die mit anderen Methoden übersehen worden waren. Auch die Maßnahmen des internen Risikomanagements lassen sich auf dieser Grundlage besser priorisieren.

Wir empfehlen deshalb grundsätzlich, Risiken auf Szenariobasis zu bewerten. Unsere Experten helfen Ihnen gern mit weiteren Informationen und Details zum Thema.

2. Entwickeln eines Risiko-Behandlungsplans

Nachdem die potenziellen Risiken für ein Unternehmen identifiziert und bewertet wurden, muss ein Risikobehandlungsplan erstellt werden. Dieser dient der Bewältigung bzw. Beseitigung der Risiken. Unabhängig von der jeweiligen Branche haben sich vier Wege etabliert, um mit Risiken für Unternehmen umzugehen.

  1. Vermeidung des Risikos

    „Vermeidung des Risikos“ bedeutet in diesem Fall, dass alles unternommen wird, um die Ursache des Risikos zu beseitigen. Dazu kann gehören, bestimmte Aktivitäten einzustellen, bestimmte Märkte nicht länger zu bedienen oder bestimmte Projekte nicht länger fortzuführen. Eine Vermeidung des Risikos ist vor allem dann sinnvoll, wenn das Risiko sehr wahrscheinlich ist und die möglichen Folgen besonders fatal wären.

  2. Reduzierung des Risikos

    Entscheidet sich ein Unternehmen für die "Risikoreduzierung", ergreift es Maßnahmen, um das Risiko zu verringern oder Folgen abzuschwächen. Dazu gehören Einführung von Maßnahmen, Prozessen oder Richtlinien. Diese Variante ist sinnvoll, wenn Eintrittswahrscheinlichkeit gering, mögliche Folgen bedeutend für das Unternehmen sind.

  3. Übertragung des Risikos

    Bei der „Übertragung des Risikos“ wird das Risiko an eine andere Partei abgegeben, beispielsweise durch Abschluss von Versicherungen oder Outsourcing bestimmter Aktivitäten an Dritte. Diese Option wird immer dann gewählt, wenn die möglichen Folgen eines Risikos hoch wären und das Unternehmen selbst keine Gegenmaßnahmen treffen kann oder will.

  4. Akzeptieren (Behalt) des Risikos

    Bei dieser Option werden das Risiko und seine möglichen negativen Folgen akzeptiert. Statt Gegenmaßnahmen zu treffen, bereitet man sich soweit möglich vor, z.B. durch Monitoring oder Notfallpläne, und preist die negativen Folgen als Kosten bei Kalkulationen mit ein. Diese Variante ist immer dann sinnvoll, wenn die möglichen negativen Folgen eines Risikos relativ gering sind und das Unternehmen diese zu tragen bereit ist.

DataGuard Newsletter

Sichern Sie Ihren Erfolg.

Abonnieren Sie praxisnahe Experten-Tipps!

Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.

Jetzt abonnieren

 

3. Review und Prüfung auf Restrisiken

Nach Fertigstellung des Risikobehandlungsplans ist dieser auf seine Wirksamkeit und mögliche Restrisiken zu überprüfen. Werden Restrisiken identifiziert, können diese mit den oben genannten Ansätzen bewertet und in den bestehenden Plan integriert werden. Die abschließende Überprüfung soll sicherstellen, dass das interne Risikomanagement langfristig angelegt ist und kontinuierlich überwacht und gesteuert wird. Jegliche Änderungen in den Unternehmensprozessen oder im Unternehmenskontext müssen berücksichtigt werden und können zu Änderungen im Risikobehandlungsplan führen.

Die kontinuierliche Überwachung der Restrisiken stellt sicher, dass das Risikomanagement im Unternehmen den Anforderungen entspricht. Mögliche negative Auswirkungen und Kosten werden auch bei Veränderungen so gering wie möglich gehalten.

So hilft DataGuard Ihnen bei Risikomanagement und ISO 27001-Zertifizierung

Bewährte Best Practices und Standards bilden die Basis eines funktionierenden Risikomanagements. Nur so ist sichergestellt, dass Sie Risiken jederzeit konsistent und strukturiert bewerten. Dies wiederum hilft Ihnen, weltweite Anforderungen und Normen zu erfüllen. Eine offizielle Zertifizierung sorgt zudem für mehr Vertrauen auf Seiten der Kunden, wenn es um die Sicherheit Ihrer Daten geht.

Die ISO 27001 ist der internationale Standard für die Informationssicherheit und hilft Unternehmen, Ihre Informations-Assets zu schützen und zugleich rechtliche Vorgaben zu erfüllen. Die Norm bietet ein Rahmenwerk für die Entwicklung, Implementierung, Aufrechterhaltung und stetige Verbesserung eines Informationssicherheits-Managementssystems (ISMS). Eine wichtige Komponente des ISMS: Das unternehmensweite Risikomanagement. 

DataGuard bietet Ihnen kompetente Fachberatung und auf Sie zugeschnittene Lösungen, um Sie optimal bei Ihrem Risikomanagement zu unterstützen. Darüber hinaus begleiten wir Sie bei der Zertifizierung nach ISO 27001 und Ihrer DSGVO-Compliance. Wir entwickeln individuelle Strategien für Ihr unternehmensweites Risikomanagement.

Gemeinsam finden wir genau die passenden Lösungen für Ihre Herausforderungen.

Über den Autor

DataGuard Informationssicherheits-Experten DataGuard Informationssicherheits-Experten
DataGuard Informationssicherheits-Experten

Tipps und Best Practices zur erfolgreichen Erlangung von Zertifizierungen wie ISO 27001 oder TISAX®, die Bedeutung robuster Sicherheitsprogramme, effiziente Risikominderung... und vieles mehr!

Profitieren Sie von der jahrelangen Erfahrung unserer zertifizierten Informationssicherheitsbeauftragen (oder CISOs) in Deutschland, UK und Österreich, um Ihr Unternehmen auf den nachhaltigen Erfolgspfad zu bringen – indem Sie Ihre Informationswerte und Mitarbeitenden vor gängigen Risiken wie Cyberangriffen schützen.

Diese Qualifizierungen unserer Informationssicherheitsberater stehen für Qualität und Vertrauen: Certified Information Privacy Professional Europe (IAPP), ITIL® 4 Foundation Certificate for IT Service Management, ISO 27001 Lead Implementer/Lead Auditor/Master, Certificate in Information Security Management Principles (CISMP), Certified TickIT+ Lead Auditor, Certified ISO 9001 Lead Auditor, Cyber Essentials

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren