Risiko ist Eintrittswahrscheinlichkeit x Schaden Teil 2

Aktuelles

Ist die Stabsorganisation für das Risikomanagement aufgebaut und wir als Risikomanager mit den Stabskollegen Informations-Sicherheits-Beauftragter (ISB) sowie Datenschutzbeauftragter (DSB) auch im Verantwortlichkeitsbereich verbunden, lässt sich die Datengrundlage schaffen. Das Risikomanagement ist durch die Integration in alle Geschäftsprozesse als Matrix-Organisation in alle Risikogebiete involviert:

• Geschäftsentwicklung
• Recht und Verträge
• Projekte und Transition
• Informationssicherheit
• IT Service Management
• Business Continuity
• Personal
• Produkte
• …

Die Kernprozesse des Unternehmens haben wir bereits an den Kronjuwelen abgeleitet. Auch die zeitkritischen Prozesse sind bestimmt. Als Ergebnis haben wir Kenntnis über die Prozesse und Abhängigkeiten zu Rollen, Menschen, Technik und externen Unternehmen. Auch Verträge haben wir, wo möglich, gesichtet und daraus Vertragspflichten für uns identifiziert. Mit der Datenbasis sind wir schon mal gut aufgestellt und adressieren einen wichtigen Aspekt des Risikomanagements: Die eingesetzte Informationstechnik (IT) wird oftmals nicht ausreichend als Teil der Wertschöpfungskette gesehen. Durch die Darstellung der Prozesse und der Abbildung dieser in unserem Risikomanagement, gewinnen wir auf alle Abhängigkeitsbereiche einen guten Überblick und beantworten uns die Frage selbst, was es braucht, damit die wertschöpfenden Geschäftsprozess erfolgreich sind.
Diesem “was brauchen wir, damit es funktioniert”, steht entgegen, was den Geschäftsprozess stören oder gar verhindern kann. Informationen wie diese identifizieren wir als Teil des Risikomanagements, in dem wir

• Risikoidentifikation
• Risikoanalyse
• Risikobewertung

als Grundlage für die Risikobehandlung durchführen. Ein wichtiger Aspekt des Risikomanagements ist im ersten Schritt an “alles zu denken” was grundsätzlich möglich ist und in der Zukunft ein Problem werden könnte. In gewisser Weise wünschen wir uns die Glaskugel, die uns bei der Recherche unterstützt. Kommunikation ins Unternehmen und das Schaffen von Awareness für das Thema und die Informationssicherheit als Ganzes unterstützt uns dabei, die Informationen zu erhalten, die wir zur Ableitung von Risiken und Herausforderungen haben können.

Risikoidentifikation

In der Risikoidentifikation sammeln wir abgeleitet aus den Geschäftsprozessen potenzielle Gefahren (mögliche Ursachen), die sich zur konkreten Bedrohung (Gefahr im Kontext zu Zeit und Ort) entwickeln können. Diese haben Auswirkungen auf unser Unternehmen und dessen Prozesse, wenn eine Schwachstelle existiert, durch die die Bedrohung in unserem Kontext real wird und so grundsätzlich zu einem Risiko und konkret zu einem Schaden (meist finanziellen Schaden) führen kann. Dieses Wissen ist die Grundlage dessen, was passieren kann.

Konkret bedeutet es, dass ein Löwe als Tier grundsätzlich eine Gefahr für Leib und Leben darstellen kann. Ist der Löwe in Afrika und wir in Deutschland, ist das noch nicht wirklich ein Problem. Läuft er gerade durch unsere Fußgängerzone, wird die Gefahr zur konkreten Bedrohung für uns, hat jedoch noch keine Auswirkung. Erst wenn wir vorhaben ebenfalls durch diese Fußgängerzone zu laufen bzw. die Tür zu unserem Haus offensteht, durch die der Löwe in unser Gebäude gelangen kann, wird aus der Schwachstelle ein konkretes Risiko und damit auch ein konkreter Schaden für uns, wenn er zubeisst.
Bei der Fragestellung, welchen Gefahren wir potenziell gegenüber stehen könnten, unterstützt uns unter anderem der Katalog zu elementaren Gefährdungen des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Risikoanalyse

In der Risikoanalyse schätzen wir Schadenshöhe und Eintrittswahrscheinlichkeit für die identifizierten Risiken ab. Bei der Bewertung achten wir darauf, dass wir möglichst objektiv sind und uns auf belastbare Zahlen stützen. Egal welche Entscheidung wir zum Risiko treffen, wir sind gut beraten, wenn sich die Entscheidungen, die wir hier treffen, zuverlässig reproduzieren lassen. Spätestens hier wird klar, dass es Prozesse zur Informationsgewinnung braucht, um die Risikoanalyse auf Basis einer sinnvollen Datenerhebung zu erledigen.

Bei der Analyse des Risikos stehen uns grundsätzlich zwei Methoden zur Verfügung, die qualitative und die quantitative Methode.

Bei der qualitativen Bewertung nutzen wir eine Skala und ordnen die Eintrittswahrscheinlichkeit bzw. den Schaden dieser definierten Skala zu. Faustregeln, wie eine Skala zu nutzen ist, die keine Mitte hat, damit unsere Risikobewertung am Ende nicht immer bei Mittel oder 2 von 3 steht, helfen uns hier. Dennoch ist die qualitative Risikobewertung herausfordernd.

Die quantitative Risikobewertung bestimmt Eintrittswahrscheinlichkeit und Schadenshöhe hingegen konkret, in dem ein Regelwerk angewendet wird, in dem Häufigkeit von Ereignissen (Ein Mal im Monat? Ein Mal im Quartal? Einmal im Jahr?) und (finanziellen) Schaden evaluiert werden. Diese Methode ist belastbarer, die Zahlen für die Anwendung dieser Methoden sind jedoch nicht immer verfügbar.

Wir prüfen zuerst, ob eine quantitative Methode zur Risikobewertung möglich ist. Ggfs. ist es möglich, eine Datenbasis aufzusetzen, in dem wir uns unser Schwachstellenmanagement am Beispiel der Technik anschauen. Daten und Informationen aus diesem Bereich können uns immerhin die technischen Risiken quantifizierbar machen. Gibt es diese Möglichkeiten, bilden wir einen Prozess, in dem Datenlage und daraus abgeleitete Bedrohungsszenarien und Risiken regelmäßig ausgewertet werden.

Am Ende der Risikoanalyse haben wir Eintrittswahrscheinlichkeiten und Schadensauswirkungen für unseren Risikokatalog betrachtet, wo möglich mit belastbaren Zahlen versehen und Kategorien zur Abgrenzung gebildet. Diese Kategorien helfen uns, vorrangig die Risiken zu betrachten, die für uns besonders relevant sind, in dem die Eintrittswahrscheinlichkeit bzw. der Schaden besonders hoch sind, die Gefahren für unsere Prozesse damit erheblich.

Risikobewertung

Mit den erarbeiteten Informationen aus der Risikoanalyse haben wir nun die Grundlage für die Risikobewertung geschaffen. Die abgeschätzten Risiken lassen sich so priorisieren. In der Bewertung überlegen wir uns ebenfalls, wie wir mit den Risiken umgehen.

Nach ISO 27005 kennen wir für die Risikobehandlung vier Kategorien:

• Modifikation
• Beibehaltung
• Vermeidung
• Teilung

Auch das BSI 200-3 kennt diese Kategorien und nennt sie:

• Reduktion
• Akzeptanz
• Vermeidung
• Transfer

Auch in der Risikobewertung helfen uns Zahlenmaterial sowie Schwellwerte. Gerade was die Risikoakzeptanz anbelangt oder die belastbare Erkenntnis einer potenziellen Eintrittswahrscheinlichkeit, sind hier alle verfügbaren Informationen gern genommen, um eine für die Organisation möglichst sinnvolle Entscheidung zu treffen. Auch der finanzielle Rahmen limitiert unseren Entscheidungsspielraum. Wir sind stets auf der Suche nach den bestmöglichen Maßnahmen, die unser Risiko minimieren und dabei möglichst wenig Kosten verursachen.

Die Risikobewertung folgt den Vorgaben der Geschäftsführung bzw. die Schwellwerte werden iterativ gemeinsam mit der Geschäftsführung erarbeitet, sodass sichergestellt ist, dass das Risikomanagement als Dienstleister der Geschäftsführung in deren Sinne funktioniert.
Egal zu welchem Ergebnis wir in der Risikobewertung gekommen sind, es liegt am Ende der Bewertung an uns, diese Informationen in die Abteilungen und das Management-System zurückzugeben. Getreu dem Motto “communication is the key” schaffen wir nun für die Verantwortungsbereiche, aus denen wir die Informationen gesammelt haben, durch das Risikomanagement belastbare Vorgaben bzgl. des Umgangs mit dem Risiko. Wir geben den Abteilungen das Ergebnis des Risikomanagements als Mehrwert zurück.

dauerhafte Risikosteuerung

Die Phasen von Risikoidentifikation über -analyse bis hin zur -bewertung durchlaufen wir zyklisch bzw. dauerhaft im Zuge unseres Risikoprozesses. Wir überwachen unsere Risiken anhand von erarbeiteten Kennzahlen und Informationen aus der Informationssicherheit und der Business Continuity.

All die Risiken, die wir im Zuge eines 360 Grad Risikomanagements für das Unternehmen erarbeiten, geben uns präventive Möglichkeiten an die Hand, wie wir unser Risiko aktiv im Unternehmen und in der Außenwirkung gestalten und begrenzen können. Immer vorausgesetzt, wir können die Parameter des Risikos bzgl. Eintritt und/oder Schaden durch Maßnahmen positiv verändern. Das wird uns nicht immer und nicht in allen Bereichen gelingen. Doch je ganzheitlicher und stabiler unser Risikomanagement wird, desto resilienter wird unsere Organisation gegen innere und äußere Einflüsse.

Vorheriger Beitrag
Risiko ist Eintrittswahrscheinlichkeit x Schaden – Teil 1 Stabsorganisation
Nächster Beitrag
BSIG Kritis-Gesetz und §8a

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.