|
Risikoanalyse
& -management und ihre Bedeutung für
die Sicherheit der Geschäftsinformationen
Quelle: CASH,
Schutz und Sicherheit, 24. Mai 2007
Autor: Christoph Koch, Information Security
Consultant, InfoTrust
Die Nachfrage
nach Transparenz bezüglich Risiken
aufgrund interner und externer Vorgaben
gewinnt zunehmend an Bedeutung. Dabei geht
es nicht ausschliesslich um Technologien
und Infrastrukturen, sondern auch um einen
wirtschaftlich optimalen, in der Praxis
umsetzbaren Schutz der Geschäftsaktivitäten
und –Prozesse.
Unternehmen
im Spannungsfeld des Marktes
Erfolgreiche Unternehmen
haben erkannt, dass neben den spezifischen
Leistungen in Geschäftsfeldern das
Risikomanagement zur Kernkompetenz des Unternehmens
gehört. Der Stellenwert der Risiken
rund um Geschäftsinformationen und
die Abhängigkeit der Unternehmen von
der Informationstechnologie nehmen zu. Dank
Möglichkeiten wie Internet, Mobilität
und die immer engere Zusammenarbeit mit
Kunden, Zulieferern und anderen Partnern
werden die Anforderungen an das Sicherheitskonzept
höher. In einem durch Konkurrenzkampf
geprägten Marktumfeld heben sich innovative
Unternehmen durch in der Praxis anwendbares
Risikomanagement ab. Diese Unternehmen haben
ihre Risiken im Griff und nutzen identifizierte
Chancen.
IT-Risikomanagement
Unabhängig von
den verschiedenen Risiko-Kategorisierungen
und sonstigen Definitionen verstehen Unternehmen
vermehrt Informationssicherheit als in der
Praxis angewendetes IT-Risikomanagement
unter Berücksichtigung der IT-Systeme,
der Verfahren (d.h. Geschäftsaktivitäten
und –Prozesse), der betroffenen Personen
(Mitarbeiter, Kunden, Partner) und der externen
Ereignisse (beispielsweise Erdbeben, Überflutungen).
Dabei werden gängige, relevante Standardregelwerke
(ISO/IEC 17799, 27001, Cobit und IT-Grundschutzkataloge)
herangezogen und geltende, regulatorische
Vorgaben einbezogen (Swiss Code of Best
Practice in Corporate Governance, Basel
II, Gesetze und interne Vorgaben).
Komponenten
des IT-Risikomanagements
Das IT-Risikomanagement
besteht aus den Komponenten Abgrenzung und
Rahmenbedingungen, Risikoanalyse, Bewertung,
Strategie, Umsetzung und Kommunikation des
Restrisikos. In der Abgrenzung und den Rahmenbedingungen
werden festgehalten, welche Bereiche einer
Unternehmensorganisation und welche IT-Infrastrukturen
untersucht werden. Je nach Situation kann
es erforderlich sein, spätestens an
dieser Stelle eine Anforderungsanalyse durchzuführen,
damit die passende Zielsetzung festgehalten
werden kann. Im Zentrum des IT-Risikomanagements
steht die IT-Risikoanalyse, d.h. die Identifikation
und eine erste Einschätzung von IT-Risiken
gemäss der zuvor definierten Zielsetzung
und des abgegrenzten Untersuchungsbereichs,
beispielsweise der internen IT-Organisation.
In der separaten Bewertung der in der Analyse
identifizierten IT-Risiken fliessen übergeordnete
Aspekte ein. Dazu gehören beispielsweise
Erkenntnisse aus der IT-Risikoanalyse selbst
(Potential für Kosteneinsparung, bessere
Geschäftsabläufe), der Einbezug
der Risikowahrnehmung des Managements sowie
die Anforderungen an die Gegenmassnahmen.
Als nächster Schritt wird die Strategie
der Umsetzung festgelegt. Es wird entschieden,
welche Risiken zu verhindern, vermindern,
überwälzt oder in Kauf genommen
werden wollen. Mit diesen gesammelten Informationen
können schliesslich die geeigneten
Gegenmassnahmen für jedes identifizierte
Risiko gewählt und umgesetzt werden.
IT-Risikoanalyse
Bei der IT-Risikoanalyse
geht es darum, Risiken zu identifizieren,
die den IT-Betrieb auf die eine oder andere
Art gefährden und somit die unterstützten
Geschäftsaktivitäten und –Prozesse
ebenfalls beeinträchtigen oder gar
ausfallen lassen. Oft liegen nicht genügend
Informationen für eine umfassende IT-Risikoanalyse
vor, damit die Eintrittswahrscheinlichkeit
und die Auswirkung eines potentiellen Schadens
eingeschätzt werden können. In
solchen Fällen beschränkt man
sich auf eine oder zwei Teilanalysen der
umfassenden Risikoanalyse. Zu den Teilanalysen
gehören: Die Gefährdungs-, Schwachstellen-
und die Impact-Analyse. Wenn IT-technische
Belange untersucht werden müssen, kommt
die IT-Strukturanalyse zum Zug: Hier werden
die zum unternehmensspezifischen IT-Verbund
gehörenden Infrastrukturen aufgenommen
und die Abhängigkeiten untereinander
aufgezeigt.
Legende zur Abbildung:
Die Darstellung
zeigt die Zusammenhänge zwischen Gefährdung,
Schwachstelle und Auswirkung auf.
Selbst mit einem beschränkten
Budget für eine IT-Risikoanalyse werden
erste wertvolle Erkenntnisse herausgeschält.
Die Gefährdungsanalyse zeigt beispielsweise,
welche Gefährdungen für ein Unternehmen
relevant sind und welche nicht. Die dafür
notwendigen Standard-Gefährdungskataloge
müssen nicht in mühsamer Kleinarbeit
entwickelt werden. Diese Kataloge können
bestehenden Regelwerken wie den Grundschutzkatalogen
des deutschen Bundesamtes für Informationssicherheit
entnommen und allenfalls ergänzt werden.
Trifft eine relevante Gefährdung auf
eine in der Schwachstellenanalyse identifizierte
Schwachstelle, so spricht man von einem
identifizierten Risiko.
Legende zur Abbildung:
Bei diesem Schema
werden die Eintrittswahrscheinlichkeit eines
IT-Risikos und die Auswirkungen eines potentiellen
Schadens dargestellt.
Fazit
Durch die starke Abhängigkeit
von der Informationstechnologie und durch
immer stärkere Bestrebungen zu Kundennähe
beschäftigen sich Unternehmen vermehrt
mit aktivem IT-Risikomanagement. Der damit
verbundene zusätzliche Wettbewerbsvorteil
gegenüber anderen Unternehmen und die
Berücksichtigung von zunehmenden regulatorischen
Vorgaben sind weitere Gründe zu Gunsten
einer permanenten Bewirtschaftung der Unternehmensrisiken.
Aktives IT-Risikomanagement deckt auch Chancen
auf: Erhöhte Produktivität dank
effektiverer Nutzung von vorhandenen IT-Infrastrukturen
und -Prozessen, Kosteneinsparung dank Verhinderung
von Ausfällen bei IT-Infrastrukturen
und effiziente Unterstützung der Geschäftsaktivitäten
und –Prozesse.
top
|
