Datenhaltung im Risikomanagement

Aktuelles

Risikomanagement funktioniert nur, wenn alle relevanten Daten zum aktuellen Zeitpunkt vorliegen und es einen Mechanismus gibt, um diese Daten vergleichbar auszuwerten. Die Datenstruktur und -ablage sind dabei bisweilen vielfältig.

Risikomanagement verhält sich ähnlich einer Versicherung. Ob eine Versicherung etwas taugt, weiß man erst, wenn man sie in Anspruch nehmen will. Ob das etablierte Risikomanagement taugt, weiß man erst, wenn man es zertifizieren lässt und es im Zuge dessen Dritten erklären muss oder es praktisch anwendet. Die Herausforderung, die dabei entsteht, ist hoch. Man versucht alle Eventualitäten zu berücksichtigen, die dafür sorgen könnten, dass ein wichtiger Prozess, Betriebsablauf oder Betriebszustand (…) nicht mehr zur Verfügung steht.

Stellen wir uns diese Eventualitäten in einer Baumstruktur vor, die Ursache dafür sein können, dass ein Szenario eintritt. Schnell wird klar, dass es sehr viele Möglichkeiten gibt, die unseren “Logikbaum” entsprechend breit und vielfältig werden lassen. Es ist schnell passiert, hier etwas zu übersehen. Nichtwissen fällt häufig erst auf, wenn es zu spät ist. Deshalb ist die strukturierte und sorgfältige Vorarbeit an dieser Stelle so wichtig.

Die Erfahrung zeigt, dass es sinnvoll ist, im Aufbau und Betrieb am Phasenübergang jeweils Dritte zu involvieren. Frische Köpfe (alternativ: Mitdenker?, die frei, unvorbelastet und ohne Vorkenntnis zu den vergangenen Monaten auf das Risiko blicken und es bewerten, wie es gerade ist. Das kann ein Auditor genau so sein wie der wissende Kollege von einem anderen Standort. Fachkundiges muss er sein, wissend, worauf es beim Risikomanagement ankommt. Erläutert man dem Ansprechpartner das etablierte Risikomanagement, hat man hinterher einen guten Indikator dafür, wie aussagekräftig und in welchem Reifegrad sich das Risikomanagement befindet.

Welche Daten?

Für das Risikomanagement werden Daten gebraucht. Je ganzheitlicher ein Risikomanagement ist, desto mehr bzw. unterschiedliche Daten werden benötigt. Das Risikomanagement in der IT ist bisweilen anders aufgebaut als das 360 Grad Risikomanagement für ein Unternehmen; andere Fragen werden gestellt, andere oder mehr Daten berücksichtigt. Egal welcher Umfang für das Risikomanagement definiert ist, Datenverarbeitung bleibt ein wichtiger Aspekt.

Wichtig für die Daten, die in‘s Risikomanagement einfließen ist, dass man sie tagesaktuell erheben kann. Wer um die Risiken seiner IT-Infrastruktur Bescheid wissen will, interessiert sich nicht dafür, wie viele Schwachstellen es vorletzte Woche gab. Idealerweise werden Daten immer gleich zur Verfügung gestellt, die Bereitstellung selbst bestmöglich automatisiert. Nicht nur um Aufwand zu verringern, sondern auch dafür zu sorgen, dass Vergleichbarkeit und Fortschreibbarkeit von Daten gewährleistet ist.

Welche Ablageorte? Interoperabilität?

Sind die Daten, die ins Risikomanagement einfließen, identifiziert, geht es um die Datenhaltung und die Verknüpfung der Daten. Theoretisch könnte sogar egal sein, wo Daten liegen, solange sie nur zusammenpassen. In der Praxis ist es jedoch häufig relevant, weil Technik, Struktur oder Erstellungszyklus durchaus Einfluss auf die Aktualität der Daten haben können.

Das Grundziel ist, dass alle Daten zum Zeitpunkt X in strukturierter Form vorliegen. Eine Risikoeinschätzung wird getätigt, ob manuell oder (teil)automatisiert. Am Ende ist die Einschätzung der Risikolage Treiber für Aufgaben, Maßnahmen und andere Aktivitäten, die dazu dienen, das Risiko-Niveau zu halten oder zu verbessern. In all diesen Schritten ist wichtig, aktuelle und vollständige Daten zu haben, um Tätigkeiten sinnvoll abzuleiten und zu planen.

Auch wenn die Daten durchaus verteilt erhoben werden können, hat sich in der Praxis bewährt, Daten an einem Ort zusammen zu ziehen, zu pflegen und fortzuschreiben. Egal ob das Risikomanagement per Excel, innerhalb eines digitalen Zwillings oder einem anderen Ansatz gepflegt wird, es entstehen immer wieder neue Erkenntnisse. Diese Erkenntnisse strukturiert zu speichern und für die Zukunft parat zu haben, spart Zeit und sorgt dafür, dass man bereits funktionierende Ansätze nicht neu denken muss.

Bei Einführung eines Risikomanagements geht es nicht um ein Programm oder darum, Informationen zu einem bestimmten Zeitpunkt zusammen zu führen. Ziel ist es einen Prozess zu etablieren. Dieser Prozess soll durch Software und Daten bestmöglich unterstützt werden und stellt deshalb Anforderungen an beides, das heißt, sowohl die Daten als auch die Software müssen diesen Anforderungen genügen.

Die wichtigsten Informationen

Die Herleitung im Risikomanagement folgt in der Regel einem einfachen Schema. Risiko = Schaden x Eintrittswahrscheinlichkeit. Alle Risiken aufgeführt, ergeben ein Bild der Lage mit dem Ziel, die Eintrittswahrscheinlichkeit bestmöglich durch geeignete Maßnahmen zu senken und somit auch das Risiko zu minimieren. Ist das Risiko identifiziert, die aktuelle Lage skizziert, werden andere Informationen wichtig.

Wer, was, bis wann. Das sind einfache Dimensionen, die wir aus unserer täglichen Arbeit kennen. Im Risikomanagement immer sie immer wieder von zentraler Bedeutung. Wissen ohne Umsetzung verändert das Risiko nicht. Erst wenn sichergestellt ist, dass die Mitigation von Risiken tatsächlich in ausreichendem Maß stattgefunden hat, stellt sich die erwartet positive Auswirkung auf das Risikomanagement ein. Diese Information muss zurückfließen, sodass die Risikolage auch aus dem Tagesgeschäft heraus aktuell gehalten wird.

Fazit

Genau aus diesem Grund stellt sich die Frage nach der Datenhaltung im Prozess immer wieder. Häufig nutzen wir mehrere Systeme, um unterschiedliche Informationen zu pflegen und zu verwalten. Dass ist nicht verwerflich, sondern trägt der Tatsache Rechnung, dass es nicht die eine Software gibt, mit der alles getan werden kann. Das verleitet uns jedoch immer wieder dazu, in diesen Datensilos bleiben zu wollen, wenn wir themenübergreifend arbeiten. Die Interoperabilität von Software und Systemen ist überall ein Thema und soll genau das verhindern, dass man immer an ein Datensilo gebunden ist, weil man nicht in der Lage ist, dieses je wieder zu verlassen. Allerdings gilt auch, es muss nicht jede Information mit allen Systemen geteilt werden.

Eine sinnvoll Leitfrage beim Aufbau einer Datenhaltung ist: welche Daten brauche ich, um das Risiko einschätzen zu können? Gefolgt von der Frage: Wo entstehen diese Daten?

Am Beispiel des Risikomanagements ist es immer die aktuelle Lage und der Blick in Vergangenheit und Zukunft, der uns bei Entscheidungen leiten kann. Es geht darum, den Prozess und die damit verbundenen Daten fortzuschreiben. Alles an einem Ort zu haben, sorgt dafür, dass das Fortschreiben fehlerarm und robust passiert.
Schnittstellen in andere Bereiche bleiben jedoch sinnvoll, denn es stellt sicher, dass der Prozess mit den Daten verknüpft wird, die aktuell relevant sind. Beispielsweise wer gerade welche Schwachstelle geschlossen hat.

Vorheriger Beitrag
BCM für alle
Nächster Beitrag
Angriffsbäume

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien