Risikomanagement integrieren. Sind Sie schon über den Berg?

Vorsicht ist besser als Nachsicht! Oder würden Sie Ihre Server von einem Rechenzentrumsbetreiber hosten lassen, der sein Rechenzentrum an einer flachen Küste oder auf einer karibischen Insel hat? Der Blick aufs Meer wäre mitunter sehr schön, doch Sie sind sicher daran interessiert, dass der Zugriff auf Ihre Daten auch dann noch gewährleistet ist, wenn der Meeresspiegel um 2 Meter gestiegen ist.

Unerwünschte Ereignisse, bei deren Eintritt dem Unternehmen ein Schaden entsteht, lassen sich relativ genau im Voraus bestimmen. Hochwasser könnte beispielsweise so ein Ereignis sein. Beim Risikomanagement geht es unter anderem darum, sich im Vorhinein über solche Szenarien Gedanken zu machen und im besten Fall proaktiv Maßnahmen zu treffen, die eine Auswirkung auf den IT-Betrieb zumindest reduzieren oder sogar gänzlich verhindern.

Zur Wahrheit gehört aber auch, dass nicht alle Ereignisse vorab reduziert oder verhindert werden können. Das führt dazu, dass nach Eintritt eines Ereignisses, nur noch reagiert werden kann. Niemand wird je ausschließen können, dass ein Mitarbeiter oder eine Mitarbeiterin aus Versehen auf einen Link in einer E-Mail klickt und somit Schadsoftware ins Netzwerk des Unternehmens gelangt oder Mutter Natur ihre Macht demonstriert ...

Verlassen wir das flache Land an der Küste und steigen auf den Berg! Um erfolgreich Risikomanagement betreiben zu können, ist es für die Unternehmen wesentlich, sich einigen Herausforderungen bewusst zu werden und sich einen angemessenen Überblick zu verschaffen.

Eine der wichtigsten Herausforderungen, die sich die Unternehmen aus unserer Sicht beim Risikomanagement stellen müssen, ist die Tatsache, dass im Unternehmen meist nicht alle geschäftskritischen Prozesse bekannt und die Abhängigkeiten zur IT hergestellt worden sind. In der Konsequenz weiß das Unternehmen also nicht, wenn eine IT-Komponente ausfällt und wie sich das auf einen geschäftskritischen Prozess auswirkt.

Ein weiterer wichtiger Punkt, der mit dem vorherigen in Verbindung steht, ist die Integration der eingesetzten IT in die Wertschöpfungsprozesse. In vielen Fällen ist die IT nicht bzw. nicht vollständig in die Wertschöpfungsprozesse integriert, was wiederum zu Risiken führt, die betrachtet werden müssen. Ebenfalls ist es für Unternehmen wichtig, auf Zwischenfälle zu achten und diese entsprechend zu behandeln. Oft werden die Gefahren und Schadensauswirkungen von Zwischenfällen unterschätzt, da ihnen meist nicht genug Beachtung, in Form einer zumindest kurzen Analyse, geschenkt wird.

Als Nächstes wäre noch der Punkt der Kostenbetrachtung zu nennen. Viele Unternehmen machen beim Risikomanagement den Fehler, die Risiken ausschließlich aus der Kostensicht zu bewerten. Möglichkeiten wie Reputationsverluste des Unternehmens, Mitarbeiterzufriedenheit oder negative Berichterstattung werden oft außen vorgelassen, obwohl sie für eine genaue Betrachtung ebenso wichtig sind. Als letzter Punkt ist noch das oft fehlende Wissen im Unternehmen zu nennen. Diese Wissenslücke kann z. B. durch eine unzureichende Qualifizierung der Mitarbeitenden oder die fehlende Erfahrung des Unternehmens mit dem Thema Risikomanagement entstehen. Entscheidend ist, dass Unternehmen das Thema angehen und am besten eine Rolle im Unternehmen schaffen, die dieses Thema verantwortet.

Die Frage, die sich Unternehmen jetzt stellen müssen, ist wie sie eine geeignete Strategie zur Identifikation, Analyse, Beurteilung und Bewertung von Risiken einführen können. Unser Tipp: Schritt für Schritt konzentriert voranschreiten, um nicht daneben zu steigen und abzustürzen. Folgende Aspekte sollten Sie dabei in den Fokus rücken:

• Das Festlegen einer geeigneten Risikostrategie.
• Das Schaffen sinnvoller Bewertungsmaßstäben, welche als Entscheidungsgrundlage dienen.
• Die Identifikation von allen Prozessen und Verfahren zur Informationsverarbeitung.
• Die Bewertung der erhobenen Prozesse und Verfahren, nach den vorab definierten Kriterien.
• Die Identifikation möglicher Risiken für die Prozesse oder Verfahren. Hier können als Unterstützung auch die elementaren Gefährdungen aus dem BSI IT-Grundschutz Kompendium genommen werden.
• Die Bewertung der einzelnen Risiken, mit den relevanten Entscheidungsträgern.
• Die Evaluation geeigneter Maßnahmen zur Reduzierung, Vermeidung oder Übertragung der Risiken.
• Die Einführung eines Prozesses zum Überprüfen der Umsetzungsstatus der festgelegten Maßnahmen.

Planen Sie die „Tour“ Riskmanagement und brechen Sie nicht überhastet auf. Nehmen Sie sich für die o. g. Punkte ausreichend Zeit und gehen Sie die einzelnen Tätigkeiten gründlich durch. Für das Umsetzen der einzelnen Schritte kann es zielführend sein, die einzelnen Vorhaben in Phasen zu unterteilen, z. B. in eine Planungs-, Umsetzungs-, Ergebnis- und Reflexionsphase.

In dieser Phase ist es wichtig, alle Beteiligten (Stakeholder) an einen Tisch zu holen. Legen Sie gemeinsam den Geltungsbereich fest, für den Sie mögliche Risiken identifizieren wollen. Finden Sie alle internen und externen Ansprechpartner zu Ihrem Vorhaben. Überlegen Sie, wen Sie für die Umsetzungs- und Ergebnisphase benötigen. Die/der Informationssicherheitsbeauftragte, mögliche Risikoeigner:innen oder Verfahrensverantwortliche bringen die nötige Fachkenntnis über die zu beurteilenden Zielobjekte mit. Definieren Sie alle Bewertungsparameter, die im Rahmen der Beurteilung und Bewertung relevant sind. Sie benötigen definierte Schutzklassen, für die Einschätzung des Schutzbedarfs, bzw. der Kritikalität Ihrer Zielobjekte. Machen Sie sich Gedanken über geeignete Abstufungen zu den Schadenshöhen und der Eintrittswahrscheinlichkeit, um daraus Ihre Risikoklassen zu bilden. Denken Sie auch an mögliche Kriterien, wann Sie ein Risiko ohne zusätzliche Maßnahmen annehmen. Ihre Risiko-Akzeptanzkriterien.

Im nächsten Schritt sollten Sie sich eine Übersicht über Ihre geschäftskritischen Werte verschaffen und diese, nach internen Vorgaben, priorisieren. Für die ausgewählten Zielobjekte können Sie jetzt Risiken identifizieren und anhand Ihrer Kriterien bewerten. Stellen Sie sich dabei die Fragen: Wie hoch ist die Wahrscheinlichkeit, dass ein Schaden durch das zuvor eruierte Risiko entsteht und wie hoch wäre der potenzielle Schaden? Je nach Ergebnis ist das Ihre Entscheidungsgrundlage für eine Möglichkeit der Risikobehandlung. Prinzipiell können Sie jedes Risiko reduzieren, übertragen, vermeiden, oder tragen. Es ist Ihre Entscheidung. Dokumentieren Sie diese intern, um für spätere Bewertungen eine nachvollziehbare Grundlage zu haben.

Der letzte Schritt umfasst die Aufbereitung Ihrer Ergebnisse. Ihre Risiken müssen im Unternehmen sichtbar gemacht werden, um diese behandeln und die Restrisiken akzeptieren zu können. Binden Sie in dieser Phase auch das Top-Management, bzw. die Geschäftsführung mit ein. Diese trägt die Gesamtverantwortung und kann bei der Priorisierung unterstützen. Behalten Sie einmal analysierte, bewertete und behandelte Risiken fortwährend im Auge, in dem Sie geeignete Prozesse zur kontinuierlichen Überwachung und ggf. Neubewertung Ihrer Risiken schaffen. Dies kann z. B. durch IT-Service Management Tools mit entsprechender Funktionalität erfolgen, was zu empfehlen wäre, da hier eine Verbindung von Störungen im Unternehmen zu den Risiken hergestellt werden kann. Es können somit verschiedenste Auswertungen gemacht werden, um genau zu wissen, an welcher Stellschrauben in Ihrem Unternehmen gedreht werden muss, um beispielsweise die Sicherheit zu erhöhen oder Ausfälle zu reduzieren.

Wo war es gefährlich? Was kann beim nächsten Mal besser gemacht werden?

Auch wenn sich die Risiken jeden Tag ändern können, scheuen Sie nicht die Herausforderung. Stellen Sie sich ihnen. Durch die Einführung eines Risikomanagements schaffen Sie ein Bewusstsein für Ihre wichtigen Werte im Unternehmen. Mit der Zeit profitieren Sie von den etablierten Steuerungs-, Kontroll- und Überwachungsprozessen. Jeder kennt seine Aufgaben und Verantwortlichkeiten und Sie etablieren langfristig ein gesteigertes Risikobewusstsein und eine gelebte Sicherheitskultur.

Und zu guter Letzt, durch Ihre Dokumentation und Nachweisführung haben Sie für alle Vorhaben Planungssicherheit bzgl. benötigter Ressourcen und des Budgets. Somit schaffen Sie die Grundlage für die Einhaltung der Compliance.