Risikobewertungen - wozu brauchen wir sie?

Es ist inzwischen üblich geworden, Risikobewertungen durchzuführen - oder zumindest hat man ihre grundsätzliche Notwendigkeit erkannt.

Allzu oft sehen wir jedoch, dass Unternehmen Risikobewertungen einfach nur durchführen, um die eine oder andere Compliance-Anforderung (Buchprüfung, Vertrag, Gesetze u. a.) zu erfüllen. Wenn man Glück hat, werden sogar Ressourcen für eine einmal im Jahr stattfindende Risikobewertung freigegeben. 

Man führt seine Risikobewertung durch, spricht mit seinem Unternehmen und erstellt zum Schluss einen schönen Bericht. Und damit ist das "Projekt" dann abgeschlossen. Es ist aber ein Fehler, Risikobewertung als ein Projekt zu betrachten. Risikobewertung muss ein Prozess sein. Ein Prozess, der sich wiederholt und ständig neu ausgerichtet wird. 

In der ISO27001-Norm ist Risikobewertung ein Dynamo für die IT-Sicherheitsarbeit

• Unsere Risikobewertung bildet den Ausgangspunkt und zieht sich durch unser gesamtes ISMS

• Anhand unseres Risikobehandlungsplans gilt es, in unserem Unternehmen die richtigen Sicherheitsmaßnahmen zu treffen

• Unsere Risikobewertung hilft sicherzustellen, dass die Sicherheitsbelange des Unternehmens identifiziert werden und ein entsprechendes Risikomanagement auf Führungsebene verankert wird

Und was passiert dann? 

Wir müssen uns aktiv mit dem Thema Risikobewertung auseinandersetzen. Wir müssen unsere Einstellung zur Risikobewertung hinterfragen.

Ganz konkret muss jeder, der mit Risikobewertung zu tun hat, Folgendes tun:

• "Risk acceptance criteria" oder den Risikoappetit festlegen, also wie viel Risiko ich bereit bin einzugehen, bevor ich handeln muss
• Kriterien dafür festlegen, wann wir Risikobewertungen vornehmen, z. B. wenn neue Systeme angeschafft werden oder Änderungen an der Infrastruktur stattfinden - mit anderen Worten ist dies ein dynamischer Prozess und nicht nur eine Sache, die wir einmal im Jahr veranstalten
• Unsere Ergebnisse auswerten - liegen unsere Risiken über oder unter unserem Risikoapptetit?
• Unsere Risiken behandeln - nachdem wir Risiken festgestellt haben, die über unserem Risikoappetit liegen, müssen wir etwas daran tun!

Behandlung von Risiken

Oder "risk treatment" wie es in ISO27001/5 heißt, ist jener Teil des Prozesses, der das Ergebnis der Risikobewertung in den Rest unseres Managementsystems für IT-Sicherheit integriert.

Wenn wir uns mit identifizierten Risiken auseinandersetzen müssen, die über unserem Risikoappetit liegen, tun wir Folgendes:

1. Wir definieren, was wir mit dem Risiko tun wollen
   • Das Risikoreduzieren - weitere Sicherheitsmaßnahmen, mehr Sicherheit, neue Regeln
   • Das Risikoeliminieren - wir schalten das System oder den Prozess aus, der das Risiko auslöst
   • Das Risikoübertragen - das Risiko versichern, Outsourcing an Dritte
   • Das Risikoakzeptieren - etwas am Risiko zu machen, ist zu teuer, also wird es von der Geschäftsführung akzeptiert
2. Wir erstellen Handlungspläne für alle jene Risiken, an denen wir etwas tun wollen
   • Was ist zu tun (siehe Punkt 1)?
   • Wer ist verantwortlich?
   • Wann ist Deadline?
   • Wie hoch ist die Priorität?
3. Wir verfolgen die Handlungspläne
   • Haben die Verantwortlichen ihre Arbeit getan?
   • Wie können wir das Ergebnis sehen?
4. Wie gehen wir weiter mit unseren Risiken um
   • Aktualisierung der Risikobewertung für die Bereiche, für die wir Handlungspläne erstellt haben
   • Ist das Risiko erhöht?
   • Ist das Risiko geringer geworden?
   • Können wir die von uns akzeptierten Risiken weiter akzeptieren?

Wenn wir ISO27001 anwenden und befolgen, müssen sich die Risiken, die wir identifiziert haben und die erarbeiteten Handlungspläne in unserem "Statement of Applicability" niederschlagen können. Auf diese Weise stellen wir sicher, dass sich ein roter Faden durch den gesamten Prozess zieht bis hinunter zu unseren Sicherheitsmaßnahmen und Kontrollzielen.

Das Risikomanagement kann unter anderem auch Anforderungen daran stellen, wie wir implementieren::

• Notfallpläne
• Awareness
• Interne Audits
• Metriken
• Umgang mit Sicherheitsereignissen
• etc.

Abschließend möchte ich Sie daran erinnern, dass Risikobewertung keine Sache ist, die Sie Ihrem Buchprüfer zuliebe tun, sondern für sich selbst. Denn sie ist ein unglaublich wichtiges und wirkungsvolles Werkzeug zur Implementierung Ihrer IT-Sicherheit. Also nutzen Sie sie!

Sonstige Ressourcen

Anleitung für das Risikomanagement gemäß ISO 27005

Eines der wichtigsten Elemente der ISO 27001 ist die Forderung, dass die IT-Sicherheit auf den realen Risiken basieren muss, denen Organisationen ausgesetzt sind. Die Gesamtheit aller diesbezüglichen Aktivitäten wird als Risikomanagement bezeichnet. Die acht Seiten lange Risikomanagement-Anleitung von NorthGRC wurde ausgehend von der Norm für Risikomanagement, ISO 27005, ausgearbeitet. 

Lesen Sie außerdem, wie GRC-Plattform Sie bei effektiven Risikobewertungen und bei der Behandlung von Risiken unterstützen kann.