Das IT-Risikomanagment – ein kurzer Überblick

Das Risikomanagement benötigt, wie jedes andere Management auch, eine Strategie. Diese beschreibt allgemein den Umgang mit Risiken, die sich aus der Geschäftsstrategie und den Geschäftszielen ergeben. Zu berücksichtigen sind die Einflüsse der Risiken auf die Geschäftstätigkeiten und die  Geschäftsprozesse, insbesondere auf den Betrieb von IT- und TK-Infrastrukturen. Das Risikomanagement hat daher die Aufgabe, die Bereiche

  • Risikoarten
  • Risikoakzeptanz
  • Risikoquellen
  • Risikobewältigung

besonders zu betrachten und zu analysieren. Hierbei ist die Risikofrüherkennung besonders wichtig.

Risikomanagement bedeut auch, dass ein angemessenes Risikoniveau erreicht wird. Hierzu muss systematisch und strukturiert vorgegangen werden. Es sind klare Planungs-/Kontroll-/Lenkungsaufgaben erforderlich, die in die Unternehemenstruktur und -kultur eingebunden werden müssen.

Um Risiken einstufen zu können, definiert man sogenannte Risikoakzeptanzklassen. Das macht man, damit die Risiken zur Bewältigung in definierte akzeptable Niveaus eingeteilt werden können. Die entsprechenden Akzeptanzklassen sind entsprechend der Unternehmensstrategie zu definieren. Diese Klassen sind dann zu benennen, wobei der Phantasie keine Grenzen gesetzt sind. Das kann sein: [Niedrig, Mittel, Hoch, sehr Hoch] oder [tolerierbar, ungewollt, kritisch, unternehmensbedrohend]. Es können auch mehr Klassifizierungen sein, weniger machen selten Sinn, da das Raster dann zu grob ist.

Sofern die Klassifizierung erreicht ist, kann man eine Risikomatrix erstellen. Hier wird die Eintrittswahrscheinlichkeit gegen die Risikoklassen/Schadenauswirkung aufgetragen. Somit erhält man einen guten grafischen Überblick über die Risikostruktur.

Risikobewertung einer Anwendung

Betrachtet wird exemplarisch einmal die Risikolage einer IT-Anwendung.  Zunächst ergeben sich folgende Einflußgrößen:

  • finanzielle Auswirkungen
  • Verstöße gegen Gesetze, Verträge
  • Datenschutzverstöße
  • Beeinrächtigung persönlicher Unversehrtheit
  • Beeinträchtigung der Aufgabenerfüllung
  • negative Innen-/Außenwirkung

Als nächstes betrachtet man die Auswirkungen auf die Schutzziele

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Nun kann man anhand der definierten Risikoklassen abwägen, ob für die Nutzung einer Anwendung ein erhöhtes Risiko besteht. Besteht ein erhöhtes Risiko nach Eintrittswahrscheinlichkeit und Schadenauswirkung, muss reagiert werden. Es kann z.B. sein, dass technische oder orgaistorische Maßnahmen reichen, um das Risiko zu mindern. Vielleicht möchte man aber auch das Risiko akzeptieren und nichts unternehmen. Vielleicht möchte man das Risiko aber auch übertragen, z.B. auf eine Versicherung.

Gefährdungen in der IT

Nachfolgend gebe ich einen kleinen Überblick über Gefährdungen in unterschiedlichen Kategorien, die sich aus dem BSI IT-Grundschutzkatalog ergeben:

Elementare Gefährdungen

  • Feuer
  • Wassser
  • Verschmutzung, Korrosion
  • Naturkatastrophen
  • Elektromagnetische Störstrahlung
  • Abhören
  • Fehlplanungen
  • Manipulation von Hard-/Software
  • Unbefugtes Eindringen in IT-Systeme
  •  …

Höhere Gewalt

  • Personalausfall
  • Blitz
  • Feuer
  • Kabelbrand
  • technische Katastrophe im Umfeld

Organisatorische Mängel

  • Fehlende/unzureichende Regelungen und unzureichende Kenntnisse über Regelungen
  • Unerlaubte Ausübung von Rechten
  • Fehlendes/unzureichendes Test-/Freigabeverfahren
  • Fehlende/unzureichende Dokumentation
  • Vertraulichkeitsverlust schutzbedürftiger Daten
  • Betreiben nicht angemeldeter Komponenten

Menschliche Fehlhandlungen

  • Fahrlässsiges Zerstören von Geräten oder Daten
  • Vertraulichkeitsverlust von Daten durch Benutzer
  • unzulässige Kabelverbindungen
  • Freigabe von Verzeichnissen
  • unerlaubte private Nutzung betrieblicher Komponenten
  • fehlerhafte Konfiguration der Firmen IT

Technisches Versagen

  • Ausfall der Stromversorgung
  • Ausfall vorhandener Sicherungseinrichtungen
  • Defekte Datenträger
  • Verlust gespeicherter Daten
  • Ausgleischsströme auf Schirmungen
  • Softwareschwachstellen
  • Verlust der Datenbankintegrität

um nur einen kleinen Teil zu nennen.

Nachdem nun Gefährdungen erkannt und definiert wurden schließt sich eine Schwachstellenanalyse an. Es sollen die kritischen Punkte aufgedeckt und analysiert werden, um herauszufinden, wie diese Schwachstellen ausgenutzt werden können. Im nächsten Schritt wird dann eruiert, wie die Schwachstellen beseitigt werden können.

Nach der Schwachstellenanalyse folgt nun die Risikoanalyse. Ziel ist es die Ergebnisse der Schwachstellenanalyse mit Eintrittswahrscheinlichkeiten und dem Schutzbedarf der Werte zu kombinieren, um das Risiko ermitteln und bewerten zu können.