CyberInsights
Der Blog rund um
Ihre Datensicherheit

Risikomanagementprozess in der IT: Das sollten Unternehmen bei der Implementierung beachten

DGC-Risikomanagementprozess

Wie können Unternehmen ein erfolgreiches IT-Risikomanagement etablieren? Welche Schritte gilt es dabei zu berücksichtigen? Nachdem wir im ersten Interviewteil zum Thema IT-Risikomanagement mit Hanno Schaz, Leiter Security Operation Center und Incident Response bei der DGC, über notwendige Maßnahmen zur Absicherung sowie aktuelle IT-Risiken gesprochen haben, geht es diesmal um die Implementierung des Ganzen in die eigene IT-Organisation:

Von menschlichen Fehlern über veraltete IT-Komponenten bis hin zu Sicherheitslücken im digitalen Ökosystem haben wir kürzlich über die größten IT-Risiken und die daraus resultierende Notwendigkeit für Unternehmen gesprochen, ein Risikomanagement zu verfolgen. Heute soll es um die Umsetzung des Vorhabens gehen.

Wie kann ein Risikomanagementprozess erfolgreich im eigenen Unternehmen etabliert werden?

Mit einem Risikomanagement im IT-Bereich verfolgen Unternehmen das Ziel, sich umfassende Transparenz über den eigenen technologischen Ist-Zustand zu verschaffen, um Risiken agil entgegenwirken zu können. Damit die Einführung gelingt, gilt es im Wesentlichen fünf Schritte zu berücksichtigen: Zunächst muss die zugrundeliegende Strategie als Bestandteil der Unternehmensstrategie festgelegt werden. Ergänzend dazu braucht es ein gelebtes Bekenntnis der Unternehmensleitung zu dem Thema – oftmals geschieht das in Form einer Leitlinie, über die sämtliche Mitarbeitende informiert werden. In einem nächsten Schritt geht es um den Aufbau der erforderlichen Organisation, mit der die Strategie umgesetzt werden kann – dazu zählt beispielsweise, Verantwortlichkeiten und Aufgabenbereiche zu benennen. Auch gilt es einen Geltungsbereich festzulegen: Das Unternehmen muss sich bewusst darüber werden, welche Bereiche das Risikomanagement umfassen soll. Das kann sich gerade für Unternehmensgruppen als größeres Thema erweisen, weil Unternehmensbereiche nicht immer klar voneinander zu trennen sind oder auch eigene lokale Verantwortungen für den IT-Betrieb bzw. das Risikomanagement bestehen. Nicht zuletzt müssen Richtlinien und Verfahren erstellt und etabliert werden – etwa das Notfallhandbuch, Notfallkonzepte und Risikomanagementverfahren, aber auch Verfahren für Business Impact Analysen oder das Asset Management für die Erfassung der zu schützenden Assets.

Wurden diese Schritte absolviert, muss das Ganze in den Betrieb überführt und am Laufen gehalten werden – IT-Risikomanagement bedeutet nicht nur Initialaufwand, sondern auch kontinuierliche Pflege. Bei einem kosteneffizienten Risikomanagement steht der Aufwand jedoch in keinem Verhältnis zu den enormen Kosten, die im Schadensfall auftreten können. Verantwortliche sollten daher stets zwischen möglichen Bedrohungen und Schwachstellen, ihren Eintrittswahrscheinlichkeiten und den Kosten von Gegenmaßnahmen abwägen. Nicht jede Maßnahme ist sinnvoll, sondern muss in Relation zum Risiko bzw. möglichen Schaden gesehen werden.

Welche Arten von Risikoanalysen können für das Aufsetzen eines IT-Risikomanagementprozesses hilfreich sein?

Als besonders hilfreich erweisen sich Business Impact Analysen: Damit lassen sich kritische Information Assets – wie etwa genutzte Dokumente, Rechner oder Applikationen – im Detail betrachten sowie im Hinblick auf verschiedene Notfallszenarien bewerten. Der Impact lässt sich in verschiedene Kategorien unterteilen, um den möglichen Schaden genauer beziffern und Risiken differenzieren zu können – beispielsweise im Hinblick auf finanzielle Folgen, Reputationsschäden sowie Folgen für Mitarbeitende. Bei der Bewertung, wie hoch ein jeweiliger potenzieller Schaden sein kann, hilft die Prozessbetrachtung – sprich: die Zuordnung von gefährdeten Assets zu einem Geschäftsprozess. So lässt sich beispielsweise im Vertrieb ein indikativer Wert dafür festlegen, welche Kosten der Ausfall eines digitalen Sales Tools pro Stunde verursachen würde.

Business Impact Analysen leisten also einen großen Beitrag dazu, etwas Nicht-Greifbares wie ein Risiko greifbar zu machen. Verantwortliche können damit faktenbasierte Entscheidungen treffen, welche Sicherheitsmaßnahmen zielführend sind – und welche eher nicht.

Gibt es weitere Methoden, die bei der Einschätzung potenzieller IT-Risiken unterstützen können?

Es gibt eine ganze Reihe weiterer Analysemethoden, die essenzielle Informationen für die Ausgestaltung des Risikomanagements liefern. Für die Einschätzung potenzieller Risiken eignen sich beispielsweise professionelle Penetrationstests: Bei diesen simulierten Hackerangriffen werden IT-Infrastrukturen auf den Prüfstand gestellt und reale Angriffspunkte aufgezeigt, die von Cyberkriminellen ausgenutzt werden könnten. Verantwortliche bekommen anschaulich vor Augen geführt, wie weit der Pentester in die Systeme vorgedrungen ist und welche Schäden er hätte anrichten können.

Als hilfreich erweist sich zudem die Schwachstellenanalyse mit Hilfe unseres IT-Security Tools cyberscan.io, das in wenigen Schritten eine umfangreiche Schwachstellen-Ansicht der IT-Systeme ermöglicht und damit verbundene Risiken sichtbar macht. Aber auch eine Kapazitätsanalyse kann eine gute Datengrundlage liefern, um Risiken wie etwa Festplattenengpässe und Arbeitsspeicher-Überlastungen einschätzen zu können und entsprechende Gegenmaßnahmen zu entwickeln. Ergänzend zu den Risiken im Bereich der IT-Administration sollten elementare Gefährdungen wie Wasser, Sturm, Blitz und Feuer in das Risikomanagement einbezogen werden. Auch diese können für Ausfälle der IT-Landschaft sorgen, wenn beispielsweise durch Brand bzw. Hitze gleich mehrere Kühltürme des Rechenzentrums ausfallen.

Die angewandten Analysen können also sehr vielseitig sein und sollten stets abhängig von den Besonderheiten des jeweiligen Unternehmens und der Bedrohungslage gewählt werden. Für einen transparenten Überblick über die aktuelle Sicherheitslage erweist es sich als zielführend, mit einem professionellen Dienstleister wie der DGC zusammenzuarbeiten. Mit leistungsstarken Sicherheitstools und Fachwissen wird eine umfassende Durchleuchtung der IT-Organisation ermöglicht sowie grundlegende Daten zur Risikoeinschätzung und Optimierung geliefert.

Sie möchten die aktuellen IT-Risiken Ihres Unternehmens sicht- und messbar machen? Nehmen Sie jetzt Kontakt auf – wir freuen uns auf Ihre Anfrage und beraten Sie gerne in IT-Sicherheitsfragen.

Welche Rolle spielen Schulungen und Praxisübungen bei der Etablierung erfolgreicher Risikomanagementprozesse im Unternehmen?

Regelmäßige Schulungen, aber auch Übungen spielen eine entscheidende Rolle bei der Implementierung und stellen einen Grundfeiler des Notfall-Managements dar. Mitarbeitende, die beispielsweise ein Verfahren zum Umgang mit einer Ransomware-Attacke in einer Kommunikationsübung besprochen, einer Planübung vertieft oder sogar in einer Koordinationsübung in kontrollierter Umgebung erprobt haben sind für den Ernstfall gewappnet. Sie sind eher imstande, besonnen und koordiniert zu handeln. Dabei sollte etwa auch die Zeit gemessen werden, die es braucht, bis der Krisenstab einsatzfähig und auf einer Kommunikationsplattform zusammengekommen ist. Hierfür gibt das Szenario die Rahmenbedingungen vor – im Falle einer Ransomware-Attacke besteht unter anderem die Herausforderung, das gewohnte Kommunikationsplattformen nicht mehr verfügbar sind. Daraus ergeben sich wichtige Erkenntnisse für die Optimierung der erarbeiteten Notfallkonzepte.

Das Ganze lässt sich ausweiten: Im Rahmen einer Notfallübung werden die Disaster Recovery Prozesse auch in der Realität auf die Probe gestellt. Dabei wird ein ganzer Standort kontrolliert heruntergefahren und wieder in Betrieb genommen. Die genutzten Wiederanlaufpläne und ermittelten Zeiten für den Wiederanlauf ermöglichen es, Risiken exakt zu definieren und geeignete Maßnahmen zu planen. Die Grundlage für solche Übungen stellen gut geschulte Mitarbeiter dar. Daher stellt dies hohe Anforderungen an die internen Schulungs- und Trainingsangebote eines Unternehmens.

Um vertrauliche Firmeninformationen zu schützen, Nutzungsrechte bedarfsgerecht und sicher zuzuordnen und Kommunikationskanäle abzusichern, brauchen Mitarbeitende an ihre Funktion angepasstes Anwenderwissen. Gerade im Onboarding-Prozess sind Nutzerschulungen essenziell, um Grundlagen sowie Hintergründe und Regelungen zur Informationssicherheit zu vermitteln.

Welche Bedeutung haben Cyber-Versicherungen für das Risikomanagement im IT-Bereich?

Bei der Behandlung von Risiken können verschiedene Methoden angewendet werden. Die Risikominimierung zielt darauf ab, die Eintrittswahrscheinlichkeiten oder die Auswirkungen von Risiken auf ein akzeptables Niveau zu senken. Die Risikoauslagerung kann bedeuten, das Betriebs- oder Geschäftsprozesse in andere Unternehmensformen ausgelagert werden. Das kann im Rahmen des IT-Betriebs das Auslagern eines Service zu einem externen Serviceprovider sein. Eine weitere Methode zum Umgang mit Risiken ist die Risikovorsorge im Sinne einer Cyber-Versicherung. Diese ermöglicht im Notfall die finanziellen Auswirkungen des eingetretenen Schadens zu reduzieren und zusätzliche entstehende Kosten durch die Notfallbewältigung aufzufangen.

Wenn alle Methoden zur Risikobehandlung ausgeschöpft wurden, bleibt am Ende noch die Risikoakzeptanz. Diese sollte nur als letzte Option gewählt sowie differenziert betrachtet und gut dokumentiert werden.

Vielen Dank für das interessante Gespräch.

Lesen Sie auch unseren ersten Beitrag zum Thema IT-Risikomanagement!


Folgen Sie uns auf