ISMS – einfach erklärt Teil 2: Das Risikomanagement als wesentlicher Bestandteil des ISMS

In unserem Blog-Artikel „ISMS – einfach erklärt Teil 1: Die Bedeutung eines ISMS für Ihr Unternehmen,“ haben wir bereits beschrieben, worauf Sie bei der Einführung eines ISMS achten müssen. In diesem Blog-Artikel und dem dazugehörigen Video stellen wir Ihnen das Risikomanagement als wesentlichen Baustein für die erfolgreiche Einführung eines ISMS vor. Aufgabe des Risikomanagements ist es, die Unternehmensrisiken zu ermitteln und deren mögliche Auswirkungen für Ihr Unternehmen offen zu legen und entsprechend zu behandeln.

assets/images/d/ISMS-einfach-erklaert-Teil-2-66cbfe83.png

Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Daten an YouTube übermittelt werden und Sie die Datenschutzerklärung akzeptieren.

Risikomanagement im Rahmen des Informationssicherheitsmanagementsystems (ISMS)

Das Risikomanagement wagt einen Blick in die Zukunft Ihres Unternehmens und ist ein gutes Werkzeug, um mögliche Informationssicherheitsrisiken aufzudecken und mit Maßnahmen zu hinterlegen. Dabei sollte beachtet werden, dass sich nie alle Eventualitäten abbilden lassen, das beste Beispiel dafür ist die Corona-Pandemie. Risikomanagement besteht aus der Risikoidentifikation, der -analyse, der -beurteilung, der -behandlung sowie der kontinuierlichen -überwachung.

Ziel und Geltungsbereich des Risikomanagements

Jedes Unternehmen strebt mittels seiner Geschäftsziele den Markterfolg an, dabei gilt es Chancen und Risiken abzuwägen. Aus gesetzlichen bzw. regulatorischen Anforderungen ist es erforderlich, ein effektives Risikomanagementsystem zu etablieren und zu erhalten, als ein Kernelement der Unternehmenssteuerung. Hierzu ist ein einheitliches Vorgehen notwendig, was im Rahmen des Risikomanagements festgelegt wird.

Der gesamte Risikomanagementprozess ist im Rahmen einer Richtlinie bzw. entsprechend im ISMS zu dokumentieren  und orientiert sich am Geltungsbereich des ISMS. Wichtig ist auch die Festlegung der Rollen und Verantwortlichen. Für die Steuerung des Risikomanagements sollte ein Risikomanager festgelegt werden. Das kann auch der Informationssicherheitsbeauftragte (ISB) übernehmen. Der Risikomanager steuert das Risikomanagement und behält die Risiken im Blick. Wir empfehlen eine umfangreiche jährliche Überprüfung der Risiken. Der Risikoeigner ist für die Beurteilung und Behandlung der ihm zugewiesenen Risiken zuständig. Mitarbeiter außerhalb der IT sollten Bedrohungen ebenfalls erkennen und melden, sofern dies in ihrem Rahmen möglich ist. Ein Risikomanagement ist im Idealfall ein gelebter Prozess im Unternehmen, welcher jeden Mitarbeiter miteinbezieht.

Das Risikomanagement ist ein wichtiges Instrument, um eventuelle Informationssicherheitsrisiken für Ihr Unternehmen rechtzeitig zu erkennen und angemessen reagieren zu können, um so die geforderte Verfügbarkeit, Integrität und Vertraulichkeit der Unternehmensinformationen zu gewährleisten.

Das Risikomanagement hat folgende Ziele:

  • Ermittlung Ihrer informationsrelevanten Gefährdungen,
  • Feststellung und Bewertung Ihrer Schwachstellen,
  • Eruierung Ihrer informationsrelevanten Unternehmenswerte (Assets) und deren Eigentümer,
  • Bewertung der Risiken nach nachvollziehbaren Kriterien,
  • Aufsetzen von Maßnahmen zur Reduzierung Ihrer Risiken,
  • Entscheidungsfindung zur Priorität Ihrer Risikobehandlung und Ihrer Maßnahmenumsetzung auf Basis der Maßnahmenvorschläge sowie
  • Dokumentation und Kommunikation Ihrer relevanten Risiken.

Auswahl der Risikomanagement-Methode

Die Auswahl der Risikomanagementmethode legt fest, wie mit den Risiken umgegangen wird. Ein möglicher Ansatz ist z.B. der BSI-Standard 200-3. Bei der Auswahl der Methode sollten im Vorfeld eventuelle spezielle gesetzliche, vertragliche oder sonstige relevante Anforderungen für Ihr Unternehmen betrachtet werden. Beispielsweise haben Banken bzw. der Finanzsektor spezielle Anforderungen an das Risikomanagement (Stichwort: BaFin, MaRisk). Die Wahl der Methode hängt von der Anforderungshöhe ab. Eine weitere effiziente Methode wird in der aktuellen ISO/IEC 27005:2018 beschrieben. Im Rahmen dieser wird mit Hilfe der Strukturanalyse das Inventar der Werte ermittelt und stellt die für die Geschäftsprozesse relevanten Assets und deren Abhängigkeiten untereinander dar. Diese Methode ist zum Bespiel sinnvoll, wenn bereits eine Configuration Management Database (CMDB) im Unternehmen eingesetzt wird. Gerne beraten wir Sie bei der Auswahl der für Ihr Unternehmen geeigneten Risikomanagementmethode.

Risikoidentifizierung

Der Zweck der Risikoidentifizierung ist die systematische Erfassung aller für Ihr Unternehmen relevanten Risiken. Wir übernehmen gerne gemeinsam mit Ihnen, im Rahmen des Aufbaus Ihres ISMS oder auch für eine mögliche ISO:27001/TISAX Zertifizierung, die Identifizierung Ihrer Risiken und führen den kompletten Risikomanagementprozess bis hin zur Sensibilisierung aller Mitarbeiter bei Ihnen durch.

Im Rahmen der Risikoidentifizierung werden im ersten Schritt alle Assets aufgenommen und zu gleichwertigen Gruppen (Assetklassen) zusammengefasst. Ein Asset bezeichnet einen Wert eines Unternehmens, wie z.B. einen Laptop. Als mögliche Assetklassen kämen hier z.B. „Laptops und Smartphones Mitarbeiter“ sowie „Laptops und Smartphones Geschäftsführer“ in Betracht. Hier im Beispiel sollten für das Asset Laptop zwei Assetklassen gebildet werden, da beide Assetklassen mit unterschiedlichen Bedrohungen einhergehen und daher unterschiedliche Informationssicherheitsrisiken betroffen sind. Das heißt, eine Assetklasse hat die identischen Schwachstellen und somit die identischen Bedrohungen.

Im Rahmen der Assetklassen sollten die folgenden Informationssicherheitsrisiken betrachtet werden.
Dabei geht es um den Verlust der…:

  • Vertraulichkeit: Eigenschaft, dass Informationen unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden.
  • Verfügbarkeit: Eigenschaft eines Wertes, einer Einheit auf Verlangen zugänglich und nutzbar zu sein.
  • Integrität: Eigenschaft der Absicherung von Richtigkeit und Vollständigkeit von Werten. Im Besonderen zählt dazu die Eigenschaft, dass Informationen nicht unberechtigt verändert werden.

Alle Assets bzw. Assetklassen sollten vollständig erfasst sein.

Tools für die softwaregestützte Durchführung des Risikomanagements

Für die Inventarisierung der Werte kann man grundsätzlich auf Excel-Listen zurückgreifen. Je größer das Unternehmen ist, desto schwieriger kann es allerdings werden, alle Assets nur mit Hilfe einer Excelliste zu erfassen. Zudem ist die kontinuierliche Überprüfung und Aktualisierung dringend notwendig.

Empfehlenswert ist daher eine softwarebasierte Lösung, die die Erfassung automatisiert übernimmt und auch die Möglichkeit der Visualisierung der Beziehungen der Assets untereinander bietet. Der Markt bietet dafür verschiedene Möglichkeiten. Gerne beraten wir Sie bei der Auswahl des für Sie geeigneten Softwaretools.

Risikoanalyse und -bewertung im Risikomanagement

Nachdem die Assets vollständig erfasst sind und der Risikoeigner festgelegt ist, geht es darum, die einzelnen Assets bzw. die Assetklassen hinsichtlich ihrer Gefährdungen zu untersuchen, zu bewerten und mit Maßnahmen zu hinterlegen und zu behandeln.

Bei der Aufzeigung der Risiken der einzelnen Assets/Assetklassen, kann man beispielsweise auf vorhandene Risiko- oder Gefährdungskataloge zurückgreifen, wie z.B. die elementaren Bedrohungen aus dem IT-Grundschutz des BSI.

Die Risikobewertung ermöglicht eine Gewichtung und Bewertung der identifizierten Risiken je nach Eintrittswahrscheinlichkeit und Höhe des Schadens. Die anschließende Einstufung des Risikos in die entsprechende Risikoklasse gering, mittel, hoch oder sehr hoch, bildet den Abschluss der Risikobeurteilung.

Risikobehandlung

Risiken sollten entsprechend ihrer Bewertung adäquat behandelt werden. Ein aus unserer Erfahrung bewährter Ansatz ist die Erfassung in einem Risikobehandlungsplan. Dieser dient zur Gegenüberstellung entsprechender Maßnahmen. Grundsätzlich gibt es vier unterschiedliche Arten der Risikobehandlung:

  • Risikovermeidung,
  • Risikoreduktion,
  • Risikotransfer und
  • Risikoakzeptanz

Für die oben genannte Assetklasse „Laptops und Smartphones Mitarbeiter“ lassen sich beispielsweise Schadprogramme als Gefährdung identifizieren, welche das Informationssicherheitsrisiko Integrität betreffen. Eine mögliche Maßnahme zur Reduzierung stellt eine zentral gemanagte Antiviruslösung dar. Dadurch lässt sich die Risikoklasse in niedrig reduzieren.

Im Risikobehandlungsplan sollte neben dem bewerteten Risiko und der Maßnahme, der Risikoeigner sowie ein Datum für die Umsetzung und eventuell auch noch ein Status stehen.

Fazit

Ein effizientes Risikomanagement erfordert eine vernünftige Behandlung der Risiken sowie eine regelmäßige Überprüfung. Hierfür sollte der hier dargestellte Risikomanagementprozess eingeführt und etabliert werden. Neben dem Risikobewusstsein des Managements sowie aller Mitarbeiter, ist ein wesentlicher Bestandteil des Erfolgs für die Risikoanalyse und -bewertung, die Durchführung interner und externer Audits zur Aufnahme und Berücksichtigung aller Eventualitäten.

 

Gerne unterstützen und beraten wir Sie bei der Einführung & Etablierung eines Risikomanagements. Zudem bieten wir Schulungen für die Sensibilisierung Ihrer Mitarbeiter an. Unsere zertifizierten IT-Spezialisten sind gerne für Sie da. Füllen Sie einfach unser Kontaktformular aus oder schreiben Sie eine E-Mail an info@aigner-business-solutions.com. Wir sind auch telefonisch für Sie erreichbar unter 08505 – 91927-0.