Die Sicherheitsstrategie eines Unternehmens kann dann erfolgreich angesehen werden, wenn es gelingt, Risiken zu senken. Damit dies gelingt, muss verstanden werden, worum es in der Cybersicherheit geht: Nicht nur darum, die Risiken f\u00fcr kritische Verm\u00f6genswerte zu verstehen, sondern auch darum, sie zu verwalten, zu kontrollieren und eben zu mindern. Das hat zur Folge, dass sich IT-Sicherheitsverantwortliche mit dem Thema Risikomanagement auseinandersetzen m\u00fcssen.<\/p>\n
Die IT-Risikoanalyse als Teil der Sicherheitsstrategie folgt idealerweise einem systemischen Ansatz. So befasst sich die Risikoanalyse („Risk Assessment“) im IT-Umfeld mit strukturierten und methodischen Ma\u00dfnahmen, die dazu dienen, Gefahren sowie Bedrohungen der informationsverarbeitenden Systeme erkennen, benennen und bewerten zu k\u00f6nnen.<\/p>\n
Eine solche Risikoanalyse deckt Schwachstellen auf, sowohl im technischen als auch im menschlichen Umfeld (Stichwort Sensibilisierung<\/a>). Mithilfe methodischer Verfahren liefert die IT-Risikoanalyse quantitative sowie qualitative Wahrscheinlichkeiten f\u00fcr Gefahren und Ausf\u00e4lle. Unternehmen fokussieren ihre Risikoanalysen oft in Richtung Kosten und Konsequenzen, die Ausf\u00e4lle der IT, Datenverluste oder andere Ereignisse mit sich bringen.<\/p>\n Sind die Risiken identifiziert und eingeordnet, lassen sich daraus entsprechende Ma\u00dfnahmen entwickeln. Weiter kann die Wahrscheinlichkeit des Eintretens dieser Risiken effizient minimiert und damit die Auswirkungen auf das gesamte Unternehmen reduziert werden. Unternehmen tun gut daran, individuelle Risikomanagementprozesse aufzusetzen. Sie bilden einen wichtigen Teil der IT-Risikoanalyse, liefern \u00e4u\u00dferst relevante Ergebnisse und m\u00fcssen fester Bestandteil jeder Sicherheitsstrategie sein.<\/p>\n Um ein strukturiertes Vorgehen zu gew\u00e4hrleisten, verl\u00e4uft die IT-Risikoanalyse in verschiedenen Phasen:<\/p>\n Eine IT-Risikoanalyse kann qualitativ oder quantitativ sein. Bei der quantitativen Herangehensweise wird eine numerische Skala zum Klassifizieren herangezogen. Das tats\u00e4chliche Risiko ergibt sich aus der Multiplikation dieser numerischen Werte mit der Eintrittswahrscheinlichkeit. Bei der qualitativen Risikobewertung hingegen ist das Ziel ein anderes: Man versucht, den Gesamteindruck \u00fcber ein bestimmtes Risiko zu verfestigen. Numerische Werte sind deshalb nicht Mittel der Wahl, sondern man teilt subjektiv ein, beispielsweise in „minimal“, „mittel“ und „hoch“.<\/p>\n F\u00fcr eine einfache IT-Risikoanalyse gen\u00fcgt f\u00fcr gew\u00f6hnlich ein Fragenkatalog. Hier finden sich Fragen zum Absch\u00e4tzen von Sch\u00e4den sowie zum Bewerten von Bedrohungen und Schwachstellen. Aus all dem ergibt sich dann die Eintrittswahrscheinlichkeit.<\/p>\n Es gibt jedoch auch vollst\u00e4ndige Kataloge, die gew\u00e4hrleisten, dass Unternehmen all ihre Risiken kennen. Analysen und Zertifizierungen geben Unternehmen solche Kataloge an die Hand. Zu den bekanntesten geh\u00f6ren die folgenden drei Varianten:<\/p>\n Auf Basis der IT-Grundschutz-Kataloge des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) lassen sich vereinfachte Analysen der Risiken f\u00fcr die Informationssicherheit durchf\u00fchren. Eine individuelle Risikoanalyse ist zwar nicht vorgesehen, jedoch k\u00f6nnen sich Unternehmen und Organisationen an den Ma\u00dfnahmen der BSI-Standards orientieren. Sie k\u00f6nnen auf der Website des BSI folgende Hilfestellungen nutzen:<\/p>\nVerschiedene Phasen der IT-Risikoanalyse<\/h3>\n
\n
Inhalte der IT-Risikoanalyse<\/h3>\n
\n
\n