top of page

Security Pilot Weekend Briefing Nr. 5 - Risikomanagement - Einführung


Eines der essenziellen Themen im Zusammenhang mit Informationssicherheit ist Risikomanagement.

Das Thema ist so umfangreich, dass man ganze Bücher damit füllen kann, ich versuche daher, mich auf das Wesentliche zu beschränken.


Was ist Risikomanagement?

Risikomanagement bezeichnet die strukturierte Bearbeitung von Risiken in einem Unternehmen. Informationssicherheits-Risikomanagement behandelt speziell die Risiken in Verbindung mit den Informations-Assets eines Unternehmens.

Risikomanagement hat zum Ziel, alle potenziellen Risiken zu identifizieren, um anschließend geeignete Schutzmaßnahmen zu entwickeln, damit die Risiken auf ein erträgliches Maß reduziert werden können.

 

Ich teile dieses Thema in fünf Teile auf. Dieser erste Teil befasst sich mit den Grundlagen des Risikomanagements. In den weiteren vier Teilen gehe ich auf die einzelnen Schritte von Identifikation über Bewertung bis Behandlung und Überwachung näher ein.

 

Was sind nun aber eigentlich Risiken?

Ganz allgemein gesprochen, sind Risiken das Ergebnis oder ein Beiwerk von Tun und Unterlassen.

Jedes Handeln von mir, ist mit einem Risiko verbunden, deren Auswirkung auf mich unterschiedlich schwerwiegend sein kann. Ebenso kann das Unterlassen einer Handlung ein Risiko mit sich bringen.

In der Informationssicherheit beschäftigen wir uns mit Risiken für das Geschäft (Business Risiken) - und üblicherweise mit den negativen Auswirkungen eines Risikos, dabei betrachten wir die Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.


Ein Beispiel:

Das Schutzziel Vertraulichkeit für meine Informationen ist gefährdet (und damit einem Risiko ausgesetzt), wenn ich diese unverschlüsselt auf einem öffentlich zugänglichen Cloudspeicherplatz ablege.

Die Verfügbarkeit mag super sein, weil jeder ohne Zugangssperre die Information erreichen kann, die Integrität ist sichergestellt, wenn ich einen Hash zu der Information abspeichere.

Durch mein Handeln setze ich das Schutzziel Vertraulichkeit der Information einem Risiko aus und muss nun die Eintrittswahrscheinlichkeit und die Schadensauswirkungen untersuchen, um die Höhe des Risikos einschätzen zu können.


Ein Risiko ist also das Ergebnis einer Berechnung aus


Risiko = Eintrittswahrscheinlichkeit * Schadensauswirkung


Als Helikopter-Pilot führe ich vor und während des Fluges ständig Risikobewertungen durch, hierfür ziehe ich eine Vielzahl an Informationsquellen hinzu. Für einen Helikopter ist (stärkerer) Rückenwind ein Risiko, daher ziehe ich ständig Informationsquellen hinzu, um das Risiko einschätzen zu können, dies sind neben Online-Informationen die Wetterdaten an Flughäfen, welche ich per Funk hören kann, die Anzeigen durch eine Windhose oder die Bewegung von Blättern an Bäumen).

Weitere Risiken sind beispielsweise Überlandleitungen, anderer Flugverkehr und Vögel, daher sind die Augen eines Piloten DIE Informationsquelle für die Risikoidentifikation.

Die Eintrittswahrscheinlichkeit ändert sich je nach meiner Position und Geschwindigkeit, ebenso die Schadensauswirkung, wodurch auch das Risiko einer stetigen Veränderung unterliegt.


Erfolgreiches Risikomanagement bedarf einiger Vorbereitung.

Je nach Unternehmensgröße können Risiken sehr kleinteilig werden, es ist zu überlegen, Risiken zu gruppieren. Ist dies das Ziel, dann sollte ein passendes Gruppen-Schema erstellt werden.


Begriffe im Zusammenhang mit Risikomanagement


Risikohunger (Risk Appetite)

Risikohunger bezeichnet den Schweregrad von Risiken bzw. die Menge an Risiken, die ein Unternehmen bereit ist einzugehen, um seine Unternehmensziele zu erreichen.


Helikopter-Piloten setzen sich persönliche Limits, beispielsweise wenn es um Windgeschwindigkeiten geht. Mit zunehmender Erfahrung verändern sich diese Limits, der Risikohunger steigt während die Kompetenzen dem Risiko adäquat zu begegnen ebenfalls steigen, das Risiko also qualitativ beständig bleibt.


Risikotoleranz (Risk tolerance)

Risikotoleranz ist ein vom Unternehmen definierter Schwellwert, der über den Risikohunger hinausgeht und dem das Unternehmen bei Erreichen widerstehen kann, d.h. der das Unternehmen nicht aus der Bahn wirft.


Ein Beispiel:

Der Risikohunger eines Unternehmens ist auf maximal 1 Mio Euro Verlust beschränkt, nun ergibt sich aber eine seltene Option für ein Geschäft, dessen Gewinnspanne höher als üblich, aber das Risiko eines Verlusts bei 1,2Mio liegt, wenn das Geschäft nicht aufgeht.

Der Risikohunger verbietet es, solch ein Geschäft einzugehen, während eine vordefinierte Spanne von 20% Toleranz dieses Geschäft wiederum gestatten würde. Die Risikotoleranz gibt weitere Flexibilität im Tun, sofern der oder die Entscheider es für sinnvoll erachten, ohne dass interne Regelungen und Prozesse umgangen werden müssen.

 

Als Pilot muss ich entscheiden, bei welchem Schwellwert mein persönliches Limit erreicht ist - und wie weit ich bereit bin darüber hinauszugehen. Mein Limit für Windgeschwindigkeit mag bei 10kn liegen, kommt aber schlechtes Wetter hinzu, reduziert sich meine Toleranz während gutes Wetter in Verbindung mit der Windrichtung meine Toleranz auf 12kn erhöht.

Die Risikotoleranz bietet ein wenig Flexibilität in Bezug auf meine Entscheidung, wenn es die Umstände zulassen und eine Folgeabschätzung mich zuversichtlich bleiben lässt, dass das Risiko beherrschbar bleibt.


Modell der drei Verteidigungslinien

Im Risikomanagement hat sich das Modell der drei Verteidigungslinien etabliert.

Das Modell regelt Zuständigkeiten innerhalb des Risikomanagements, Berichtslinien und die gegenseitige Kontrolle.

Eine beispielshafte Darstellung könnte wie folgt aussehen:

Die Details des Konzepts erläutere ich im Rahmen der nächsten Schritte.


Risikoeigner (Risk Owner)

Risikoeigner ist derjenige, der aufgrund seiner Zuständigkeit und Position im Unternehmen für das Unternehmen (in Vertretung der Geschäftsführung, sofern diese nicht selbst der Eigner ist) das Risiko trägt und damit für alle Maßnahmen zur Schadensbegrenzung verantwortlich ist.

Der Risikoeigner hat die Verantwortung, dem Risiko entsprechend seiner Gefahr zu begegnen und die erforderlichen Personen ins Boot zu holen, um das Risiko effektiv reduzieren zu können.

Risikoeigner sollte nur sein, wer auch über die erforderlichen Mittel verfügt, um die Aufwände für die Sicherheitsmaßnahmen - oder im Schadensfall des Risikoeintritts - tragen zu können.

Verantwortung muss sich am betroffenen Bereich und den Kosten bei Schadenseintritt und für die Risikoreduzierung orientieren.


Risikomanager

Als Risikomanager wird die Person bezeichnet, die für den Risikoeigner die praktische Verwaltung der Risiken wahrnimmt und eng mit dem Risikoeigner zusammenarbeitet. Der Risikomanager organisiert die Risiken und mögliche Maßnahmen sowie das Berichtswesen für den Risikoeigner und arbeitet mit der 2. Verteidigungslinie zusammen an der Verbesserung des unternehmensweiten Risikomanagements.


Alle weiteren Begriffe und Rollen erläutere ich im Rahmen der einzelnen Risikomanagementschritte.


Wie geht man nun eigentlich vor?

  

Risikomanagement erfolgt in vier Schritten


1. Risikoidentifikation

Während der Risikoidentifikation prüfe ich, welchen Risiken meine Assets

ausgesetzt sind (deshalb ganz wichtig: Assetmanagement als erster Schritt!)

2. Risikobewertung

In der Risikobewertung prüfe ich, wie hoch das Risiko ist, indem ich

Eintrittswahrscheinlichkeit und Auswirkung prüfe.

3. Risikobehandlung

In der Risikobehandlung prüfe ich, mit welchen Maßnahmen ich das Risiko

reduzieren kann und wähle geeignete Maßnahmen aus.

4. Risikoüberwachung

Ziel der Risikoüberwachung ist, kontinuierlich zu prüfen, ob das Risiko weiterhin

besteht und ob die Maßnahmen der Risikobehandlung tatsächlich das Risiko reduzieren, gleichzeitig wird kontinuierlich geprüft, ob neue Risiken

hinzugekommen sind, dies kann sowohl durch (veränderte)

Geschäftstätigkeiten der Fall sein als auch durch die Schutzmaßnahmen (z.B. durch Angriffe auf die Sicherheitstechnologie selbst)


Im nächsten Briefing erkläre ich den Prozess beginnend mit der Risikoidentifikation.

Stay tuned!


12 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page