Risiken umgeben uns den gesamten Tag. Mal sind sie präsent, mal tauchen sie plötzlich auf und die viele von ihnen behandeln wir völlig unbewusst. Oder wann bist du das letzte mal über die Straße gelaufen, ohne nach links und rechts zu schauen?
Warum sollten wir uns nun aktiv mit ihnen auseinandersetzten?
Risiken und Informationssicherheit, haben eine ganze Menge miteinander zu tun.
Ein Risiko, das ich kenne, kann ich minimieren und dadurch deren Auswirkungen reduzieren oder ganz eliminieren. Das wiederum sichert meine Investitionen, die ich in das Unternehmen getätigt habe.
Was aber ist ein Risiko?
Ein Risiko ist ein Maß für Unsicherheit. Es beschreibt die Möglichkeit, als Konsequenz eines bestimmen Verhaltens oder durch ein zukünftiges ungewisses Ereignis, einen Gewinn zu erzielen oder einen Schaden zu erleiden. Sollte ich beispielsweise ohne nach links und rechts zu schauen eine Straße überqueren und von einem Auto angefahren werden, ist das die Konsequenz aus meinem Verhalten.
Im Kontext von Informationssystemen können wir das Risiko wie folgt definieren: Wahrscheinlichkeit, mit welcher ein Ereignis mit IT-Bezug zu negativen materiellen und / oder immateriellen Auswirkungen auf die Geschäftstüchtigkeit des Unternehmens und seiner Partner führt.
Im Rahmen des Risikomanagements können wir Risiken in drei Gruppen unterteilen:
Wenn wir diese nun betrachten wollen, können wir das aus zwei verschiedenen Perspektiven tun: Zum einen aus der Sicht des IT-Risikos, dies ist die technische Sicht und geht vom IT-System aus. Auf der anderen Seite können wir Risiken inhaltlich, ausgehend von Prozessen, Daten und Rollen betrachten, dies wäre die Sicht des Informationssicherheitsrisikos.
Gefahren, Bedrohungen und Schwachstellen
Um das Risiko beurteilen zu können, benötigen wir als aller Erstes eine Gefahr oder Gefährdung. Diese setzt sich aus einer Bedrohung und einer Schwachstelle zusammen.
Eine Bedrohung ist eine reale Gefahr und eine potenzielle Ursache eines unerwünschten Vorfalls, der zu einem Schaden an einem System oder einer Organisation führen kann.
Eine Bedrohung kann nie alleine zu einer Gefahr werden, es bedarf immer die Einwirkung einer Schwachstelle. Eine Schwachstelle ist die Schwäche einer Anlage oder Kontrolle, die von einer oder mehreren Bedrohungen ausgenutzt werden kann und somit zu einer Gefährdung führt.
Wenn nun eine Bedrohung auf eine Schwachstelle trifft und die Eintrittswahrscheinlichkeit berücksichtigt wird, habe ich mein Risiko.
Risiko = {Bedrohung + Schwachstelle} * Eintrittswahrscheinlichkeit
Risikobewertung und Risikoanalyse
Um unsere Risiken zu bewerten müssen wir als erstes unsere Werte definieren. Werte können wir in zwei Kategorien darstellen:
- Primäre Werte - alle Informationen, die für die Organisation einen Wert darstellen.
- Sekundäre Werte - die Dinge, die mit der Verarbeitung der primären Werte / Informationen zu tun haben.
Als nächstes legen wir nun unsere Risikokriterien und eine Risikomanagementmethode fest. Die Risikokriterien umfassen die Eintrittswahrscheinlichkeit und das Schadensausmaß. Die Risikomanagementmethode beschreibt die Methodik der Risikoanalyse, -bewertung, -behandlung und -akzeptanz.
Haben wir all dies geschafft ist es nun recht einfach und wir können unsere Risiken bewerten und anschließend in eine Risikomatrix eintragen:
Wenn Du Deine Risiken für Dein Unternehmen besser einschätzen möchtest, nimm gerne Kontakt mit mir auf.
