Risikomanagement* in der Informationssicherheit

[*Grundlagen zum Risikomanagement sind unter dem Artikel zu finden]

Richtiges Handeln durch richtige Entscheidungen

Im Zuge einer funktionierenden Informationssicherheit müssen richtige Entscheidungen zum richtigen Zeitpunkt getroffen werden. Als Entscheidungsgrundlage dienen dem Sicherheits-Management konsolidiert vorgelegte Informationen. Wird das Management jedoch unzureichend mit den richtigen Informationen versorgt, oder hat das Management nicht die notwendige Sorge dafür getragen, dass die richtigen Informationen gewonnen werden, hat dies zu Folge, dass möglicherweise ungünstige Entscheidungen getroffen werden. Ein Teil dieser richtigen Informationen ist die Gegenüberstellung und Abwägung von aussichtsreichen Erträgen zu den damit verbundenen Gefahrenpotentialen (Gleißner:2008, S. 2ff). Genau hier setzt Risikomanagement als erweitertes Instrument der Informationssicherheit an. Mit Hilfe geeigneter Verfahren und systematischer Vorgehensweise werden Maßnahmen erarbeitet und durchgesetzt, um Risiken proaktiv zu begegnen und diese in geeigneter Weise abzuschwächen.

Risiken richtig wahrnehmen und behandeln

Die Wahrnehmung und die richtige Klassifizierung der Risiken hängen jedoch maßgeblich von dem Informationsstand über die Risiken ab. Werden beispielsweise verhältnismäßig milde Risiken hoch priorisiert, können Chancen nicht wahrgenommen werden und es entstehen unnötige Aufwendungen in der Maßnahmenergreifung, um gegen diese Risiken vorzugehen. Vernachlässigt man auf der anderen Seite aufgrund mangelnder Kenntnis kritische Risiken, kann dies zu unvorhersehbaren Folgen führen, welche die Informationssicherheit gefährden.

Der Risikostrategie in der Informationssicherheit liegt der Schutzbedarf der Objekte in einem Informationsverbund zugrunde. Bei hohem oder sehr hohem Schutzbedarf sollten auf Prozess-, Anwendungs- und Infrastrukturebene elementare und spezifische Risiken identifiziert und bewertet werden (BSI-Standard 200-3:2019). Bevor jedoch mit der Identifizierung und Bewertung von Risiken begonnen werden kann, sollte nach Empfehlung des BSI bereits ein systemischer Informationssicherheitsprozess etabliert worden sein. Dies ist auch deswegen wichtig, weil hinsichtlich der Vielzahl an Objekten ein geeigneter Geltungsbereich (Informationsverbund) definiert und dieser einer IT-Grundschutzvorgehensweise unterstellt werden sollte, um gezielt und priorisiert potentielle Risiken anzugehen. 

Im Folgenden wird schrittweise gezeigt, wie ein solcher Risikomanagementprozess vorbereitet und durchgeführt werden kann.

Zunächst einmal ist es notwendig die IT-Infrastruktur inklusive der dazugehörigen fachlichen und technischen Prozesse zu durchleuchten. Das klingt nach einer Mammutaufgabe – ist es auch. Aus diesem Grund empfiehlt sich entweder mit bereits bekannten kritischen Systemen oder kritischen Prozessen zu beginnen. Letzteres ist eine Top-Down Variante, während ersteres eine Bottom-Up Methode darstellt. Beginnen wir mit der meistverwendeten Bottom-Up Methode. 

  • Als erstes werden ein oder zwei kritische Infrastrukturkomponenten identifiziert, z.B. eine Datenbank oder ein Server (Objekte). 
  • Anschließend werden die Daten bzw. Informationen bewertet, die durch diese Objekte verarbeitet werden, um so den initialen Schutzbedarf festzulegen. 
  • Der nächste Schritt ist die Ermittlung weiterer Infrastrukturkomponenten, die eine direkte oder indirekte Abhängigkeit zu diesen Objekten habe. Dies können auch Software-Anwendungen oder komplette IT-Services sein. Der Schutzbedarf kann ggf. auf die abhängigen Objekte übertragen werden bzw. auch von den übergeordneten Objekten vererbt werden.
  • Für die übergeordneten Objekte werden im letzten Schritt die relevanten Geschäftsprozesse ermittelt. Diese Geschäftsprozesse können auch mit anderen IT-Anwendungen oder -komponenten verknüpft sein. Ber der Top-Down-Methode wird in umgekehrter Reihenfolge vorgegangen.

Beiden Methoden liegt jedoch zugrunde, dass die ermittelten Objekte einem Informationsverbund zugewiesen werden sollten. Dieser Informationsverbund kann im Anschluss als überschaubarer Scope bzw. Geltungsbereich einer IT-Grundschutzvorgehensweise unterzogen werden. Diese Zuordnung ist abhängig von der Kritikalität der darin befindlichen Prozesse und Systeme. Es existieren die drei IT-Grundschutzvorgehensweisen “Basis-Absicherung”, “Standard-Absicherung” und “Kern-Absicherung”, wobei die “Basis-Absicherung” grundlegende und die “Kern-Absicherung” erhöhte Sicherheitsanforderungen für Schlüsselprozesse und Systeme bereit hält. Die Vorgehensweise “Standard-Absicherung” hält ausreichende Sicherheitsanforderungen für “normal-kritische” Prozesse und Systeme bereit. Ist die Vorgehensweise “Basis-Absicherung” gewählt, reicht es laut BSI aus, wenn die Sicherheitsanforderungen umgesetzt sind. Eine weitere Risikoanalyse ist dann nicht mehr notwendig. Bei der “Standard-Absicherung” sollten die Prozesse und Anwendungen auf mögliche Gefährdungen und Risiken analysiert und entsprechende Maßnahmen zur Risikobehandlung initiiert werden. Ist die “Kern-Absicherung” gewählt, so sind Objekte mit erhöhtem Schutzbedarf vorrangig zu behandeln.

Die Behandlung von Objekten bedeutet in erster Linie, die Relevanz der elementaren Gefährdungen für die Objekte hinsichtlich Eintrittswahrscheinlichkeit, Auswirkung und ggfs. Bedeutung zu bewerten. Anschließend können unternehmensspezifische Gefährdungen identifiziert und analog bewertet werden. Darüber hinaus sind die spezifischen Gefährdungen des IT-Grundschutzes für die zugrunde liegenden IT-Infrastrukturkomponenten zu bewerten. Sowohl für spezifische als auch für relevante elementare Gefährdungen werden Maßnahmen zur Risikobehandlung, d.h. Risikovermeidung oder -abschwächung, initiiert und im Risikomanagementprozess nach dem PDCA-Zyklus (Plan-Do-Check-Act) umgesetzt. Die oben genannte Risikoprioritätszahl hilft dabei Risiken bzw. die entsprechenden Maßnahmen zu priorisieren. 

Bei weiteren Informationen zu einer Tool-gestützten Vorgehensweise und Durchführung eines Risikomanagementprozesses unterstütze ich gerne und freue mich auf eine Kontaktaufnahme.

Autor: M. Tarek Gerdewal | 08.07.2019 | Dr. Gerdewal Consulting | Bonn

[Grundlagen Risikomanagement

In der Literatur finden sich unterschiedliche Definitionen des Begriffs Risiko. Jedoch beschreiben alle Definitionen im Grunde die Nichterreichbarkeit von festgelegten Zielen aufgrund unvorhersehbaren und unsicheren äußeren Einflüssen. Es handelt sich dabei dann um eine negative (Gefahrenpotential) oder positive (Chancenpotential) Abweichung von erwarteten Ergebnissen.

Gleißner, W. (2008) verwendet den Begriff Unsicherheit als Oberbegriff für Risiko und Ungewissheit, wobei im Unterschied zum Risiko die Eintrittswahrscheinlichkeit bei Ungewissheit nicht bekannt ist. Unterschieden werden sowohl Einzelrisiken als auch Gruppenrisiken. Letzteres wird als Aggregation der Risiken verstanden (Rosenkranz/Missler-Behr: 2005, S. 27).

Die Zielsetzung der Risikoaggregation ist es, die relative Bedeutung der Einzelrisiken sowie die Gesamtrisikoposition des Unternehmens (engl. „risk exposure“) zu bestimmen. Dabei werden die Auswirkungen der Einzelrisiken, die bisher isoliert betrachtet worden sind, in bestehende Planungs- und Controlling-Instrumente des Unternehmens integriert, um auf diese Weise unternehmensweit eine optimale Planungs- und Prognosesicherheit zu erhalten (Gleißner: 2001, S. 125).

Eine allgemeine Aussage über die Bewertung von Risiken kann über folgende Gleichung beschrieben werden:

Risiko = Eintrittswahrscheinlichkeit x Auswirkungen 

Die Auswirkungen beschreiben die ungünstigen Folgen beim Eintritt von Risiken während die Eintrittswahrscheinlichkeit das Ausmaß des Risikos bestimmt. Das Risiko verliert an Gewichtung, wenn einer der beiden Faktoren gegen Null tendiert oder es nimmt an Bedeutung zu, wenn ein Faktor ansteigt.

Im letzteren Fall ist es hilfreich, die Risiken hinsichtlich ihrer Bedeutung zunächst einmal zu quantifizieren, um sie anschließend mit einander vergleichbar zu machen. Dies ermöglicht dann konkrete Maßnahmen an solchen Prozessen und Abläufen vorzunehmen, wo es aus Sicht der Nutzbringung den größten Vorteil erweist (Elbert:2006, S.35f).

Die Bedeutung eines Risikos kann beispielsweise anhand einer Monte-Carlo-Simulation ermittelt werden, die je nach Betrachtungswinkel und Aggregation unterschiedlich ausfallen kann. Ist die Bedeutung (z.B. Imageschaden für ein Unternehmen), die Eintrittswahrscheinlichkeit und die Auswirkungen eines möglichen Risikos gegeben, so kann damit die Risikoprioritätszahl (RPZ) ermittelt werden.

RPZ = E x B x A (Bruhn:2004, S. 150)

E = Eintrittswahrscheinlichkeit

B = Bedeutung des Risikos

A = Auswirkungen des Risikos

Die Risikoprioritätszahl ist bekannt aus dem Qualitätsmanagement zur Priorisierung und Einstufung von Fehlern. Da sie jedoch den Faktor der Bedeutung mit einschließt, kann sie auch zur Priorisierung von Risiken herangezogen werden. Mit Hilfe der Risikoprioritätszahl ist es somit möglich, Einzelrisiken mit einander zu vergleichen, sie zu priorisieren und entsprechende Entscheidungsmaßnahmen zu treffen.

Der Prozess des Risikomanagement wird nach Rosenkranz/Missler-Behr (2005) als Rückkopplungsprozess mit den insgesamt vier Teilprozessen Risikostrategie, Risikoidentifikation, Risikobeurteilung und -bewertung und der Risikosteuerung verstanden. Die Rückkopplung der Teilprozesse erfolgt dabei vom Risikocontrolling aus, wobei aktuell gewonnene Informationen und Erkenntnisse aus dem Risikocontrolling in den vier Teilprozessen stetig zu berücksichtigen sind.]

Autor: M. Tarek Gerdewal | 08.07.2019 | Dr. Gerdewal Consulting | Bonn

Literaturverzeichnis

BSI-Standard 200-3 (2019): Risikoanalyse auf Basis von IT-Grundschutz, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_3.pdf?__blob=publicationFile&v=6, aufgerufen am 03.07.2019

BSI IT Grundschutz (2018): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/einstieg/01001.html, aufgerufen am 26.06.2018

BSI, (2018): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzAbout/ITGrundschutzSchulung/WebkursITGrundschutz/Schutzbedarfsfeststellung/Schutzbedarfskategorien/Definitionen/definitionen_node.html, aufgerufen am 26.06.2018

Bruhn, M. (2004): Qualitätsmanagement für Dienstleistungen, 5. Auflage, Springerverlag Berlin, Heidelberg 2004

Ebert, C. (2006): Risikomanagement Kompakt, 1. Auflage, Spektrum Akademischer Verlag 2006

Gleißner, W. (2008): Grundlagen des Risikomanagements im Unternehmen, S. 2 ff, Verlag Franz Vahlen GmbH 2008

Gleißner, W. (2001): Identifikation, Messung und Aggregation von Risiken, in: Gleißner, W., Meier, G. (2001) Wertorientiertes Risikomanagement für Industrie und Handel, Betriebswirtschaftlicher Verlag Dr. Th Gabler Gabler GmbH 2001

Rosenkranz/Missler-Behr (2005): Unternehmensrisiken erkennen und managen, , Springer-Verlag 2005

Risikomanagement mit GAIMS

Risikomanagement mit GAIMS Information Security | https://gaimssoftware.de

Juli 12, 2019