Pfadnavigation

Wie führe ich eigentlich eine Cybersicherheits-Risikoanalyse einfach und pragmatisch durch?

Eine Informationssicherheits-Risikoanalyse ist eigentlich recht einfach: Für jede Verarbeitungstätigkeit im Unternehmen erfassen Sie die größten Risiken. Verwenden Sie die gleiche Tabelle wie für den Datenschutz. Bewerten Sie die Risiken nach Schadenshöhe (das kann die Geschäftsführung gut) und nach Eintrittswahrscheinlichkeit (da ist die IT gefragt). Arbeiten Sie für den Anfang mit drei Stufen (niedrig – mittel – hoch). Für die am höchsten bewerteten Risiken sollten Sie überlegen, ob Sie das Risiko tragen wollen beziehungsweise was Sie zur Senkung des Risikos bereit sind zu investieren.

Zwei Personen werten Diagramme und Daten aus

© Ideengut

Eine Informationssicherheits-Risikoanalyse erfasst und bewertet die Risiken für die Informationssicherheit. Da jede Verarbeitungstätigkeit von Informationen potenziell Informationssicherheits-Risiken hat, bietet Ihnen ein Verzeichnis von Verarbeitungstätigkeiten (das beispielsweise für den Datenschutz erstellt wurde) einen guten Überblick über die möglichen Risiken. Identifizieren Sie dann die verarbeiteten Informationen (etwa Kundendaten, Produktionsdaten et cetera) und die für die Verarbeitung verwendeten IT-Systeme (Office, ERP-System, Website und dergleichen).

Für die Bewertung des möglichen Schadens teilen Sie die verarbeiteten Informationen nach Kritikalität des Schutzbedarfes ein (beispielsweise ein Geschäftsgeheimnis hätte sehr hohe Vertraulichkeit, Bankverbindungsdaten von Kunden eine hohe Integrität) – für den Anfang reichen drei Stufen (normal – hoch – sehr hoch). Für die Bewertung der Eintrittswahrscheinlichkeit arbeiten Sie mit einem IT-Experten zusammen, der einschätzt, wie leicht es für einen Angreifer wäre, über die verwendeten IT-Systeme die Informationen erfolgreich anzugreifen. Auch hier ist eine dreistufige Einteilung am Anfang ausreichend (unwahrscheinlich – möglich– wahrscheinlich).

Nun kombinieren Sie die Bewertungen in einer Risiko-Matrix und können so die größten Risiken auf einen Blick erfassen. Legen Sie nun ihr Risiko-Akzeptanz-Niveau fest: Alle Risiken, die "kleiner" sind als dieses Niveau, sind für das Unternehmen tragbar, alle die "größer" sind, benötigen eine Behandlung – meist durch eine risikosenkende Maßnahme.

Im weiteren Verlauf können Sie dann die Bewertungskriterien verfeinern, etwa durch Hinzuziehen von tatsächlichen statistischen Werten zu Hackerangriffen und monetären Schäden oder die Berücksichtigung von qualitativen Aspekten wie der Motivation oder der Anzahl potenzieller Angreifer.

Die zwei Top-Tipps

  • Risiko-Bewertung der Verarbeitungstätigkeiten für Datenschutz, IT-Sicherheit & Co. in der gleichen Tabelle
  • Lassen Sie die Wahrscheinlichkeit durch einen IT-ler bewerten – Sie konzentrieren sich auf das Schadensausmaß!

Kontakt

Porträtfoto Katrin Sobania
Dr. Katrin Sobania Referatsleiterin Informations- und Kommunikationstechnologie | E-Government | Postdienste | IT-Sicherheit

Podcast Folge 3: Risikoanalyse

Über die Riskoanalyse in der IT-Sicherheit haben DIHK-Expertin Katrin Sobania mit Prof. Dr. Sachar Paulus von der Fakultät für Informatik der Hochschule Mannheim gesprochen: