Lektion 7

10 min

Risikomanagement

Kein ISMS ohne Risikomanagement. In dieser Lektion beschreiben wir, wie ein pragmatisches Vorgehen aussehen kann.

Risiken identifizieren

Die Anforderungen an ein Risikomanagement gemäß ISO 27001 sind im Managementrahmen der Norm beschrieben. Grundsätzlich wird gefordert, einen Prozess zu schaffen, in dessen Rahmen die Informationssicherheitsrisiken identifiziert und bewertet werden, um damit „die analysierten Risiken für die Risikobehandlung zu priorisieren”.

Das Ganze muss natürlich auch bei Wiederholung zu „konsistenten, gültigen und vergleichbaren Ergebnissen” führen. Dafür ist es im ersten Schritt wichtig, das eigene Vorgehen zum Risikomanagement in einer Richtlinie festzulegen. Die Richtlinie sollte dabei mindestens die folgenden Punkte beinhalten.

Inhalt der Richtlinie zum Risikomanagement

  1. Ermittlung der Risiken
  2. Bewertung der Risiken
  3. Risikobehandlung
  4. Berichtswesen/Reporting

Über die Methode zur Risikoanalyse schweigt sich die ISO 27001 ansonsten größtenteils aus, was einem in der Umsetzung viele Freiheiten bietet – aber eben auch wenig Unterstützung. Hilfe kann hier die ergänzende ISO 27005 oder das Bundesamt für Sicherheit in der Informationstechnologie (BSI) mit seiner Methode im BSI-IT-Grundschutz bieten. Für KMU bietet sich eine Kombination dieser beiden Methoden an. So kann von der Flexibilität der ISO-Normen und den Vorlagen sowie den unterstützenden Informationen des BSI profitiert werden. Ein möglichst schlanker Risikomanagementprozess, der aber eben zu „konsistenten, gültigen und vergleichbaren Ergebnissen” führt könnte grob wie folgt aussehen.

 

Die Ermittlung der Risiken kann z.B. im Zuge des Workshops stattfinden. Dabei sollte auf die Erfahrung und das Wissen der jeweiligen Experten aus der IT und anderen relevanten Bereichen zurückgegriffen werden. Besonders wertvoll kann hier der Input von Entwicklern, IT-Administratoren aber auch von Product- und Process-Ownern sein. 

Zur Ermittlung der Risiken werden dann verschiedene Gefährdungen betrachtet, die einen Einfluss auf die eigenen Kerngeschäftsprozesse sowie die dazugehörigen bzw. notwendigen IT-Systeme, Anwendungen oder auch Räume und Gebäude haben können. Ein Risiko tritt ein, wenn eine Verletzung der Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität) droht. Risiken können zum einen von den eigenen Experten stammen oder einem vordefinierten Gefährdungskatalog entnommen werden. 

Hierbei können die elementaren Gefährdungen des BSI IT-Grundschutz ein hilfreiches Instrument sein. Sie beschreiben strukturiert mögliche Gefährdungen für die Kategorien:

  • Höhere Gewalt wie Personalausfall, Unwetter, Ausfall von Lieferanten, technische Katastrophen
  • Organisatorische Mängel wie mangelhafte Kontrollen, unzureichende Dokumentation, Fehlen von Regelungen
  • Menschliche Fehlhandlungen wie Fehlbedienungen, Fehlverhalten
  • Technisches Versagen wie Ausfall von IT-Systemen, Stromausfall
  • Vorsätzliche Handlungen wie Missbrauch, Vandalismus, Diebstahl

 

Im Workshop zur Risikoanalyse sollte die „80:20-Regel“ gelten. Da ohnehin nicht jeder mögliche Sachverhalt betrachtet werden kann, sollten immer die wahrscheinlichsten Risiken und die plausibelsten Lösungen im Vordergrund stehen.

Im nächsten Kapitel erfährst du, wie du die bislang identifizierten Risiken für eine priorisierte Behandlung sinnvoll bewertest.