top of page

Security Pilot Weekend Briefing Nr. 6 - Risikomanagement - Risikoidentifikation


Nach den grundlegenden Informationen im Security Pilot Weekend Briefing Nr. 5 zum Thema Risikomanagement steigen wir jetzt richtig ein.


Schritt 1 im Risikomanagement (nach Sammeln aller Assets, Konkretisierung des Geschäftsumfeldes usw.) ist die Risikoidentifikation.


Kurz zur Erinnerung, wo befinden wir uns?


Was ist das Ziel der Risikoidentifikation?

Ziel ist es, alle Risiken, die mein Geschäft betreffen aufzulisten, um das Risiko später bewerten zu können.

Die Identifikation ist also ein essenzieller Schritt, bevor eine qualitative und quantitative Bewertung des Risikos erfolgen kann.


Wie identifiziere ich Risiken für mein Geschäft?

Natürlich gibt es hierfür kein Patentrezept, aber einfach formuliert kann ich

  • durch Beobachten

  • durch eigene Erfahrungen und die Anderer

  • durch Heranziehen historischer Daten

  • durch Kenntnis von Vorschriften

viele Risiken identifizieren.


Fiktives Beispiel:

Im Fachmagazin „Bretterbude“ wird darauf hingewiesen, dass im vergangenen Monat 12 Arbeiter beim Aufbauen einer Bretterbude Arbeitsgerät auf den blanken Fuß gefallen war.

Welche Risiken identifizieren wir?

  • Schmerzen am Fuß, möglicherweise unfallbedingter Arbeitsausfall

  • Mögliche Beschädigung des Arbeitsgeräts

  • Verzögerung des Aufbaus durch fehlende Arbeitskraft und defektes Arbeitsgerät

  • Mögliche Verstöße gegen Sicherheitsvorschriften

  • Usw.


Das Ergebnis ist eine Liste mit allen Risiken, die identifiziert worden sind, z.B. in der Form

Risiko

Schadsoftware

Rechtliche Anforderungen für Cybersicherheit

Spam

Fehlende Softwarelizenzen

Datensicherheit

Unsichere Passwörter

Jedem Risiko sollte eine Beschreibung hinzugefügt werden, damit auch später noch ersichtlich ist, was genau mit dem Risiko gemeint war, als es identifiziert wurde. 

Risiken können natürlich mehrfach vorhanden sein, bspw. Schadsoftware auf Windows, auf MAC OS, Linux, etc., je nachdem, was konkret betrachtet wurde.


Risiken der gleichen Art können dann zusätzlich gruppiert werden, beispielsweise

  • IT-Risiken

  • Softwarerisiken

  • Netzwerkrisiken

  • Compliance-Risiken

  • Personalrisiken

  • Risiken im physischen Schutzbereich

  • Usw.


Diese Gruppierung mag nach dem nächsten Schritt anzupassen sein, wenn die Behandlungen der Risiken voneinander abweichen, da dies ansonsten das Management erschwert.


Weitere wichtige Informationen, die im Rahmen der Risikoidentifikation bereits erhoben werden sollten, sind:

  • Wer ist der Risikoeigner, also wem ist das Risiko verantwortlich zuzuordnen?

  • Wer ist Eigentümer des Assets, für welches Risiken identifiziert wurden?

  • Welchen potenziellen und tatsächlichen Wert hat das Asset für den Geschäftsbereich / das Unternehmen?

  • Wie sind die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit des risikobehafteten Assets?

  • Daten welcher Art (Stichwort "Datenklassifikation") werden mit dem Asset verarbeitet, welches Risiken birgt?


Antworten auf diese Fragen helfen im nächsten Schritt, bei der Risikobewertung (auch Risikoassessment genannt).


Damit wäre Schritt 1 von 4 abgeschlossen.


Wer ist für die Risikoidentifikation zuständig?

Ich erinnere an folgende Darstellung aus meinem vorigen Briefing.

Für die Risikoidentifikation sind die 1. und 2. Verteidigungslinie zuständig.

Die 1. Verteidigungslinie ist dabei direkt dran am Business und identifiziert alle Risiken in ihrem Zuständigkeitsbereich. Das Ergebnis teilt sie mit der 2. Verteidigungslinie.

In der 2. Verteidigungslinie werden alle Risiken gesammelt, ggf. gruppiert und (sobald möglich) priorisiert.

Die 2 Verteidigungslinie ist in dieser Darstellung das Risikomanagement-Team um den CISO / Sicherheitsverantwortlichen des Unternehmens. Dieses Team muss den Überblick behalten und kann so übergreifende Risiken identifizieren.

Übergreifende Risiken erfordern die Geschäftsbereichs-übergreifende Festlegung der Zuständigkeit, da diese üblicherweise nicht durch einen einzelnen Bereich behandelt werden können.

Die 2. Verteidigungslinie spielt dabei ebenfalls die Rolle der Qualitätskontrolle, d.h. Prüfung, ob Informationen, die für den weiteren Prozess erforderlich sind, gesammelt wurden.

Die Aufgabe der 3. Verteidigungslinie ist es, zu prüfen, dass die 1. und 2. Verteidigungslinie ihren Aufgaben im Rahmen des Risikomanagements im erforderlichen Umfang und mit der erforderlichen Gewissenhaftigkeit nachkommt.


Fazit:

Im Rahmen der Risikoidentifikation schauen wir uns im Unternehmen nach möglichen Risiken u.a. mit folgenden Fragestellungen um

  • Was kann alles schief gehen?

  • Welche Assets (Geräte, Daten, Prozesse etc.) sind von Risiken betroffen?

  • Was ist schon mal schief gegangen?

  • Was ist bei Anderen (ähnliches Business) schon mal schief gegangen?

  • Was wird z.B. in Berichten von Versicherungen als Risiken genannt oder was in Fachmagazinen oder einfach in den täglichen Nachrichten?


Wir betrachten dabei alles unter Berücksichtigung unseres individuellen Geschäftsmodells, unserer Lokation, unserer technischen Infrastruktur, unserer Kunden, Mitarbeiter und Partner usw.

Zum Schluss dieses 1. Schrittes verfügen wir über eine Auflistung unserer Risiken.


Dieser Beitrag ist als Kurzübersicht zu verstehen, das Thema Risikomanagement ist insgesamt wesentlich komplexer, bei Fragen kommen Sie gern direkt auf mich zu.



2 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page