Gesetzgeber fordert Ganzheitlichkeit in der Risikoanalyse

Aktuelles

Die deutsche bzw. europäische Gesetzgebung adressiert ganzheitliche Ansätze beim Umgang mit dem Risikomanagement. Warum ist das so? Eine Analyse.

NIS-2 fordert „für Netz- und Informationssysteme müssen gefahrenübergreifende Ansätze zum Schutz existieren“. Das IT-Sicherheitsgesetz möchte „[…] technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken zu beherrschen[…]“. CRA verlangt von den Herstellern „Schwachstellenanalyse und Risikobewertung während der Entwicklungsphase“. Und auch branchenspezifische Normen wie die Sektorleitlinie für die Zulassungsbewertung von Signal-, Telekommunikations- und Elektronischen Anlagen zwingt Herstellern zu „IT-Security Risiken müssen auf einem akzeptablen Niveau gehalten werden“ sowie Betreiber zu „Risikoanalyse definiert Anforderungen für den sicheren Betrieb“.

Diese Zitate adressieren im Kern ein ausgereiftes, umfassendes und funktionales Risikomanagement über einen kompletten Lebenszyklus. Doch was bedeutet das?

Ziele im Risikomanagement

Das Kernziel im Risikomanagement ist vereinfacht gesagt „vorher an all das zu denken, was schief gehen kann und auf Basis dessen, sinnvolle Vorsorge zu treffen“. Man könnte also sagen, gesunder Menschenverstand trifft auf ausreichende Datenlage. Und genau das ist der Punkt. Letztlich geht es darum, alle Eventualitäten und deren Folgen zu kennen. Gerade weil Abhängigkeiten über die letzten Jahre nahezu in allen Bereichen komplexer geworden sind, reicht es hierfür oftmals nicht mehr, nur in einem Bereich Risiken zu managen. Ein gutes Risikomanagement löst deshalb das Silo-Denken auf und wird umfassend.

Ganzheitlich

Je nachdem, was im Risikomanagement abgesichert werden soll, sieht ein ganzheitlicher Ansatz ggfs. unterschiedlich aus. Der Kern der Sache ist aber immer der gleiche. Möchte ich für mein Unternehmen ein ganzheitliches Risikomanagement, dann stelle ich mir als erstes die Frage, was mein Unternehmen ausmacht. In der Regel sind das die wertschöpfenden Geschäftsprozesse, die etabliert wurden und zu einem Ergebnis – Waren oder Dienstleistungen – führen. Um das aufrecht zu halten, ist der nächste Schritt, alle Komponenten zu identifizieren, die für diese Prozesse relevant sind. Bei der Analyse jeder Komponente stelle ich mir die Frage, was dazu führen könnte, dass diese Komponente in ihrer Funktion gestört wird oder ganz ausfällt. Denken wir in Schutzzielen der Informations-Sicherheit, dann stellen wir uns hier die Frage nach Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz.

Je nachdem, wie mein Geschäftsprozess aussieht, muss die Komponente nicht etwas technisches, anfassbares sein. Es gibt Prozesse im Unternehmen, die funktionieren schlichtweg nicht, wenn eine verantwortliche Person (=Rolle) nicht anwesend ist. Bei der Frage nach Abhängigkeiten adressieren wir deshalb alles, was dazu notwendig ist, damit die Geschäftsprozesse aufrechterhalten werden. Hier spielt auch die physikalische Infrastruktur eine Rolle. Nicht nur, weil ich sie bspw. als Betriebs- oder Produktionsstädte benötige. Denn wenn ich mir die Frage stelle, was die Komponente stören kann, stellt sich auch die Frage, wodurch ein Angreifer den Betrieb stören könnte.

Gerade was Störung und Gefahrensituationen angeht, ist physikalischer Zutritt ein Problem, nicht nur – aber eben gerade – in kritischen Infrastrukturen. Je nachdem, was mein Unternehmen tut und wie es aufgestellt ist, kann es sein, dass Menschen Zutritt zu meinem Unternehmen bekommen müssen. Bspw. möchte ich für ein Krankenhaus den Eingang für Patienten so einfach wie möglich gestalten, um ihnen schnellstmögliche Hilfe anbieten zu können. Das bedeutet aber auch, dass ein Angreifer, der nichts Gutes im Sinn hat, diesen leichten Zutritt für seine Zwecke nutzen kann. Ähnlich sieht es im Stadtwerks-Betrieb aus. Eine Müllverbrennungsanlage bekommt Müll nicht nur von den Müllwagen angeliefert, sondern auch von Privatpersonen. Diesen Service möchte ich anbieten und muss doch gleichzeitig mein Unternehmen vor Risiken schützen.

Struktur

Ganzheitlichkeit in der Risikoanalyse bedeutet immer strukturiertes Vorgehen. Hierbei kann eine Visualisierung helfen, wie wir sie aus dem Angriffsbaum her kennen. Es funktioniert jede Art der strukturierten Vorgehensweise, in der ich in der Lage bin, meine Abhängigkeiten darzustellen.

Das bedeutet auch, dass die Änderungen, die wir gerade in der Gesetzgebung erfahren, vorschreiben, was schon immer sinnvoll gewesen ist. Nun ist es eben gesetzlich verpflichtend.

Es gibt unterschiedliche Motivationen, ein ganzheitliches Risikomanagement aufzubauen, das funktioniert. Die beste Motivation ist jedoch die intrinsische. Wenn ich möchte, dass es funktioniert, werde ich automatisch Ansätze wählen, die mir erlauben meine Komplexität beherrschbar zu halten und mein Risikomanagement pflegbar. Und diese Motivation noch einmal gesetzlich zu motivieren, kann so falsch nicht sein. Oder?

Vorheriger Beitrag
DORA – Digital Operational Resilience Act
Nächster Beitrag
CRA

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien