Eine Informationssicherheits-Risikoanalyse ist eigentlich recht einfach: Für jede Verarbeitungstätigkeit im Unternehmen erfassen Sie die größten Risiken. Verwenden Sie die gleiche Tabelle wie für den Datenschutz. Bewerten Sie die Risiken nach Schadenshöhe (das kann die Geschäftsführung gut) und nach Eintrittswahrscheinlichkeit (da ist die IT gefragt). Arbeiten Sie für den Anfang mit drei Stufen (niedrig – mittel – hoch). Für die am höchsten bewerteten Risiken sollten Sie überlegen, ob Sie das Risiko tragen wollen beziehungsweise was Sie zur Senkung des Risikos bereit sind zu investieren.
Wie führe ich eigentlich eine Cybersicherheits-Risikoanalyse einfach und pragmatisch durch?
© Ideengut
Für die Bewertung des möglichen Schadens teilen Sie die verarbeiteten Informationen nach Kritikalität des Schutzbedarfes ein (beispielsweise ein Geschäftsgeheimnis hätte sehr hohe Vertraulichkeit, Bankverbindungsdaten von Kunden eine hohe Integrität) – für den Anfang reichen drei Stufen (normal – hoch – sehr hoch). Für die Bewertung der Eintrittswahrscheinlichkeit arbeiten Sie mit einem IT-Experten zusammen, der einschätzt, wie leicht es für einen Angreifer wäre, über die verwendeten IT-Systeme die Informationen erfolgreich anzugreifen. Auch hier ist eine dreistufige Einteilung am Anfang ausreichend (unwahrscheinlich – möglich– wahrscheinlich).
Nun kombinieren Sie die Bewertungen in einer Risiko-Matrix und können so die größten Risiken auf einen Blick erfassen. Legen Sie nun ihr Risiko-Akzeptanz-Niveau fest: Alle Risiken, die "kleiner" sind als dieses Niveau, sind für das Unternehmen tragbar, alle die "größer" sind, benötigen eine Behandlung – meist durch eine risikosenkende Maßnahme.
Im weiteren Verlauf können Sie dann die Bewertungskriterien verfeinern, etwa durch Hinzuziehen von tatsächlichen statistischen Werten zu Hackerangriffen und monetären Schäden oder die Berücksichtigung von qualitativen Aspekten wie der Motivation oder der Anzahl potenzieller Angreifer.
Die zwei Top-Tipps
|
