Ein wesentlicher Aspekt in Informationssicherheitsmanagementsystemen (ISMS) ist es, Anwendungen, Systeme und Netzwerke mit den Anforderungen der IT-Security in Einklang zu bringen: Welchen Gefahren ist mein Unternehmen in der digitalen Welt ausgesetzt und worum muss ich mich konkret kümmern? Sind mir alle Risiken im Unternehmen bewusst? Wie entscheide ich, ob ich ein sicherheitsrelevantes Thema umsetze oder nicht?
Hier kann ein professionelles Risikomanagement Abhilfe schaffen und die IT-Security insgesamt verbessern – insbesondere die anfängliche Risikoanalyse. Aber auch ein allgemeines Verständnis für den Prozess der Risikobewertung seitens der Mitarbeiterschaft kann einen substanziellen Einfluss für die Unternehmenssicherheit haben.
Wie bewerten Sie ein Risiko in der IT-Security?
Sagen wir, Sie möchten in Ihrer Firma ein neues Ticketsystem einführen, und fragen sich, ob Sie es selbst hosten oder in der Cloud betreiben möchten. Fragen Sie sich hier zunächst, welchen Schutzwert dieses Ticketsystem für Sie hat.
Wie definieren Sie Schutzwert und Restschutzwert?
Der Schutzwert hängt davon ab, welche Vertraulichkeit, Integrität und Verfügbarkeit eine Anwendung haben soll. Es geht konkret um die Frage, welchen Diskretionsgrad die Informationen haben (Vertraulichkeit), die im System hinterlegt werden sollen, und wie wichtig es ist, dass diese Daten dort nicht verändert werden (Integrität) bzw. welche Auswirkungen es hätte, wenn das System beispielsweise ausfallen sollte (Verfügbarkeit).
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Die Bewertung erfolgt über definierte Werte, die klar beziffert werden können. So können Sie die Vertraulichkeit für das Ticketsystem etwa als sehr hoch einstufen, wenn Sie dort unternehmensinterne Informationen speichern und der Schaden für das Unternehmen im Falle einer Kompromittierung des Systems erheblich wäre. Die Bezifferung kann wie folgt aussehen:
- niedrig = 1,
- mittel = 2,
- hoch = 3.
Wenn Sie zum Beispiel die Vertraulichkeit als hoch (= 3), die Integrität als mittel (= 2) und die Verfügbarkeit als niedrig (= 1) einstufen, erhalten Sie im Ergebnis einen Schutzwert von 6. Als Einstufungskriterien können Sie u. a. folgende Punkte zur Hilfe nehmen:
- Kann der normale Arbeitsbetrieb im Angriffsfall weiterlaufen?
- Werden durch einen Schadensfall Menschenleben in Gefahr gebracht?
- Besteht das Risiko, gegen geltende Gesetze oder Verträge zu verstoßen?
- Welcher monetäre Schaden wäre bei einer Kompromittierung zu erwarten?
- Wie hoch fiele der Reputationsschaden für das Unternehmen aus?
Diese Kriterien sollten Sie vorab im Unternehmen definieren sowie potenzielle Gefährdungen analysieren und Eintrittswahrscheinlichkeiten ermitteln.
Gefahren und ihre Eintrittswahrscheinlichkeiten
Haben Sie so den Schutzwert der Anwendung ermittelt, können Sie sich Gedanken machen, welche Gefährdungen für das Ticketsystem und die IT-Security relevant sind. Schreiben Sie diese zum Beispiel in eine Tabelle und bewerten Sie sie nach Eintrittswahrscheinlichkeit. Hierbei können Sie verschiedene Szenarien betrachten – zum Beispiel, wie eingangs erwähnt, ob Sie das Ticketsystem selbst hosten oder in der Cloud betreiben.
Die Kriterien für die Eintrittswahrscheinlichkeiten (EW) von Gefahren können Sie selbst festlegen, indem Sie zum Beispiel wie folgt vorgehen:
- nie = 0,
- selten = 1,
- häufig = 2,
- sehr häufig = 3,
- sicher = 4.
Wichtig ist, dass die Kriterien plausibel zum Unternehmen passen, Sie bei der Ermittlung der Wahrscheinlichkeiten unterstützen und Ihnen Orientierung geben. Dafür sollten Sie definieren, was z. B. „häufig“ für das Unternehmen genau bedeutet.
Haben Sie dies definiert, können Sie der möglichen Gefährdung eine Eintrittswahrscheinlichkeit zuordnen. Gehen wir zum Beispiel davon aus, dass Sie das Ticketsystem selbst hosten möchten. Betrachten Sie hier also die Gefahr, dass der Server, auf dem die Anwendung laufen soll, gehackt werden könnte, und bewerten Sie dann die Eintrittswahrscheinlichkeit beispielsweise mit dem Wert 1 = selten.
Sie vermuten somit, dass ein Hackerangriff auf Ihren Server aufgrund der hohen IT-Security-Standards in Ihrem Haus nur sehr unwahrscheinlich erfolgreich sein wird – eine 100-prozentige Sicherheit gibt es natürlich nie. Diese geringe Eintrittswahrscheinlichkeit wird dann mit dem Schutzwert der Anwendung (hier 6) multipliziert. Damit erhalten Sie einen Restschutzwert nach Eintrittswahrscheinlichkeit von ebenfalls 6 (bei EW = 2 wären es 12, bei EW = 3 wären es 18 etc.).
Erstellen Sie einen Risikomaßnahmenplan
Vor der Erstellung einer Risikoanalyse für Ihre IT-Security muss definiert werden, welche Restschutzwerte und damit welche Risiken getragen werden können, und welche bearbeitet werden müssen. So können Sie z. B. definieren, dass alle Restschutzwerte unter 15 getragen werden, dann wäre hier nichts weiter zu tun. Ist der Restschutzwert allerdings höher als 15, kommt dieser in den Risikomaßnahmenplan.
Im Risikomaßnahmenplan werden Maßnahmen erarbeitet, die zur Minderung des Risikos führen. Sie werden zumeist direkt mit der Geschäftsführung des Unternehmens besprochen und inkl. Datum schriftlich fixiert.
Wer bewertet das Risiko für die IT-Security?
Die Bewertung sollte stets von sachkundigen Mitarbeitern erstellt werden. Darüber hinaus sind themenbezogen andere Teams im Unternehmen einzubeziehen (so darf etwa beim Thema Hosting die Systemadministration nicht fehlen).
Die Bewertung und auch die Aktualisierung des Risikomaßnahmenplans sollte in einem kontinuierlichen Turnus erfolgen und als wiederkehrende Routine in Ihrer IT-Security Anwendung finden.
Fazit
Hier die einzelnen Schritte zur Bewertung des Sicherheitsrisikos für Ihre IT-Landschaften noch einmal im Überblick:
- Bestimmung des Schutzwertes (Vertraulichkeit, Integrität und Verfügbarkeit)
- Identifikation der Gefahren für Ihre IT-Security
- Bestimmung der Eintrittswahrscheinlichkeiten dieser Gefahren
- Multiplikation der Schutzwerte und der Eintrittswahrscheinlichkeiten = Restrisiken
- Bewertungen der Restrisiken und Ableitung von Maßnahmen zur Risikominimierung im Risikomaßnahmenplan
Sie können die Risikoanalyse also nicht nur zur Bewertung von Risiken und potentiellen Gefahren nutzen, sondern vor allem auch zur Festlegung von konkreten IT-Security-Maßnahmen, die terminlich eingeplant werden können. So erhalten Sie ein hervorragendes Instrument IT-Security-Themen geordnet und priorisiert zu bewerten, um im Anschluss die daraus resultierenden Maßnahmen umzusetzen.
Empfehlung der Redaktion: Was macht eigentlich ein Datenschutzbeauftragter?
