top of page

Security Pilot Weekend Briefing Nr. 8 - Risikomanagement - Risikobehandlung


Nachdem alle Risiken identifiziert und bewertet sind, ist es an der Zeit, die Risiken zu behandeln, denn wir wollen ja nicht nur eine tolle Liste mit Risiken, wir wollen die Risiken ja zumindest reduzieren, wenn wir sie denn nicht ganz loswerden können.


Innerhalb des Risikomanagementkreislaufs befinden wir uns nun also an Punkt 3, der Risikobehandlung.


Was ist das Ziel der Risikobehandlung?

Das Hauptziel der Risikobehandlung besteht darin, sicherzustellen, dass das Restrisiko kleiner oder gleich dem akzeptablen Risiko ist, wobei


  • Das Gesamtrisiko ist das Risiko, das ohne mildernde Maßnahmen (Security Controls) berechnet wird (Bruttorisiko).

  • Das Restrisiko ist das Risiko nach der Implementierung von Maßnahmen (Nettorisiko).


Ziel ist es, bei allen identifizierten Risiken zu prüfen, was wir tun können, um entweder die Eintrittswahrscheinlichkeit oder die Auswirkungen oder sogar beides gleichzeitig zu reduzieren, sofern es nicht möglich ist, das Risiko gänzlich zu vermeiden.


In der Risikobehandlung unterscheiden wir zwischen vier grundsätzlichen Vorgehensweisen:


  1. Risikovermeidung

  2. Risikoreduktion

  3. Risikotransfer

  4. Risikoakzeptanz


Risikovermeidung

Wie der Name schon sagt, versuchen wir z.B. durch Anpassung unserer Strategie ein Risiko komplett zu vermeiden, damit wir es quasi aus unserer Liste streichen können. Dies kann zum Beispiel geschehen, wenn wir uns entscheiden, ein bestimmtes Risiko gar nicht erst einzugehen. Eventuell ist unserer Risikohunger einfach nicht groß genug, so dass wir entscheiden, dass das Verhältnis zwischen möglichem Gewinn und Verlust zu weit auseinandergeht. Wir entscheiden uns damit, das Risiko zu vermeiden, indem wir die Tätigkeiten unterlassen, die zum Risiko führen würden.


Risikoreduktion (auch Risikomitigierung)

Der häufigste Fall in der Risikobehandlung ist die Risikoreduktion durch entsprechende Maßnahmen.

So reduzieren wir beispielsweise das Risiko von Malware durch Installation eines entsprechenden Antivirenprogramms. Das Antivirenprogramm fungiert in dieser Konstellation als das sogenannte Security Control, also die Maßnahme, welche zur Reduzierung des Risikos beiträgt. Das Programm kann dabei sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkung einer Infektion reduzieren.

Die Risikoreduktion ist solange erforderlich, bis das verbleibende Risiko unterhalb des definierten akzeptablen Risikos liegt. Somit sind unter Umständen diverse Maßnahmen erforderlich, um diesen Punkt zu erreichen.


Risikotransfer

Hinter dem Risikotransfer steht die Absicht, das Risiko auf andere zu übertragen, dabei müssen neben Abhängigkeiten auch die damit einhergehenden Anforderungen der Partei, zu der das Risiko transferiert werden soll und die damit verbundenen Kosten betrachtet werden.

Typische Beispiele für Risikotransfer sind eine Cyberversicherung oder ein Zusammenschluss von Unternehmen, die dann gemeinsam das Risiko tragen.


Risikoakzeptanz

Ein Risiko zu akzeptieren, ohne Maßnahmen zu ergreifen sollte stets die Ausnahme sein. Es ist höchst unwahrscheinlich, dass es keine umsetzbaren Maßnahmen zur Risikoreduktion gibt. Für die Risikoakzeptanz empfiehlt es sich, im Unternehmen ein Rahmenwerk zu erstellen, innerhalb dessen eine Akzeptanz zulässig sein kann.


Dies kann sich beispielsweise an dem zu erwartenden Schaden orientieren, so könnte beispielsweise ein möglicher Schaden von 10.000€, der sich nur auf einen kleinen Bereich des Unternehmens auswirkt akzeptabel sein, während eine Schadenserwartung von 1 Mio. Euro außerhalb des akzeptablen Bereichs liegt.


Hier sollte jedes Unternehmen ähnlich wie beim Risikohunger Akzeptanzgrenzen bzw. Risikoakzeptanzkriterien festlegen, damit jeder Risikoeigner zuerst einmal angehalten ist, Maßnahmen zur Reduzierung von Risiken zu implementieren. Risikoakzeptanz sollte stets das letzte Mittel sein.


Wichtig: Die Anzahl der "akzeptierten" Risiken sollte in einem Unternehmen auf ein Minimum reduziert werden, da dies ansonsten dem Zweck des Risikomanagements zuwiderläuft und das Unternehmen zu vielen Gefahren ausgesetzt ist.


Spätestens im Rahmen der Risikobehandlung empfiehlt es sich - und dies kann auch als Risikoakzeptanzkriterium herangezogen werden - noch folgende Dinge zu klären:

  • Single Loss Expectancy

  • Risikoeignerschaft

  • Reputationsverlust

  • Gesetzesverstöße


Single Loss Expectancy ist die Höhe des Verlusts (in finanzieller Form ausgedrückt) pro einzelnem Eintrittsfall. Im Rahmen der Risikobewertung ist es nicht unwahrscheinlich, dass eine Eintrittswahrscheinlichkeit von X-Mal pro Zeitraum (bspw. 6-mal pro Jahr) errechnet wird. Der einzelne Schadensfall akkumuliert sich daher um den Faktor 6, wenn wir das gesamte Jahr betrachten. Sowohl im Rahmen der Risikobewertung aber auch -behandlung muss daher geklärt werden, ob jeweils nur der Einzelfall betrachtet werden soll oder auch die Akkumulation pro Zeitraum. Dies ist insbesondere wichtig, wenn es darum geht, ob ein Risikoeigner (finanziell) in der Lage ist, den möglichen Schaden (nur) im Einzelfall zu tragen oder auch in der Gesamtrechnung, sofern diese in einem Jahr tatsächlich mehrere Male eintritt.


Hinsichtlich der Risikoeignerschaft muss im Unternehmen geklärt werden, welche Hierarchieebene bis zu welchen Summen diese Rolle übernehmen darf. Je nach Risikohunger, Geschäftszweig und Größe (bzw. Widerstandsfähigkeit) des Unternehmens können hier sehr unterschiedliche Werte heranzogen werden.


Eine einfache Darstellung könnte wie folgt aussehen:


Nach einmaliger Entscheidung über die Wertegrenzen lässt sich so schnell identifizieren, wer die mögliche Risikoeigner ist.


Reputationsverluste lassen sich nur schwer monetär ausdrücken, sehr wohl lässt sich aber mit Worten beschreiben, ob dieser sich nur intern auswirkt oder eine Außenwirkung hat und falls er eine Außenwirkung hat, ob er sich nur auf bestimmte Kunden und Partner oder sogar alle oder die gesamte Branche auswirkt.

Dies sollte sowohl in der Bewertung als auch Behandlung berücksichtigt werden.


Hinsichtlich Gesetzesverstöße sollten jedes Unternehmen klar Position beziehen, ob dies überhaupt in den akzeptablen Bereich fallen kann und unter welchen Umständen. Aufgrund der teils nur schwer vorhersehbaren Konsequenzen sollte hier tunlichst vermieden werden, derartiges Verhalten in irgendeiner Form zu akzeptieren.


Zuständigkeit:

Für die Risikobehandlung ist stets der Risikoeigner verantwortlich. Dabei wird er durch sein Risikomanagement Team (1st Level) und das Team aus dem 2nd Level unterstützt. Für die Entwicklung adäquater Maßnahmen greift der Risikoeigner zusätzlich auf die Fachleute aus dem Unternehmen oder ggf. externe Experten zu.


Fazit:

Im Rahmen der Risikobehandlung ermitteln wir für jedes einzelne Risiko, welche Möglichkeiten der Reaktion auf das Risiko wir haben.

Priorität hat neben der Risikovermeidung und dem Risikotransfer die Entwicklung von effektiven Maßnahmen zur Risikoreduktion, also die Reduzierung der Eintrittswahrscheinlichkeit eines Risikos oder deren Auswirkungen oder beides.


Risikoakzeptanz sollte nur innerhalb vorgegebener Leitlinien eine Wahl sein und innerhalb vorgegebener Grenzen liegen. Die einfache Akzeptanz eines Risikos ohne reduzierende Maßnahmen ist generell die schlechteste Reaktion auf ein Risiko und sollte möglichst vermieden werden.


Am Ende der Risikobehandlung haben wir mögliche Maßnahmen zur Reduktion ermittelt und beginnen mit der Umsetzung dieser Maßnahmen.


Es ist zu beachten, dass zur effektiven Reduktion von Risiken häufig eine Vielzahl an Maßnahmen für sich aber auch gemeinschaftlich wirken. Selten ist eine einzelne Maßnahme ausreichend, ein Risiko effektiv zu reduzieren.


Nach der Risikobehandlung steht die Risikoüberwachung bzw. das Risiko Monitoring an, darauf gehe ich im nächsten Security Briefing näher ein.


Dieser Beitrag ist als Kurzübersicht zu verstehen, das Thema Risikomanagement ist insgesamt wesentlich komplexer, bei Fragen kommen Sie gern direkt auf mich zu.



0 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Commenti

Valutazione 0 stelle su 5.
Non ci sono ancora valutazioni

Aggiungi una valutazione
bottom of page