Führen Sie Risiko-Analysen durch

Beim Betrieb von einer funktionierenden und für eine funktionierende Informationssicherheit müssen die richtigen Entscheidungen zur richtigen Zeit getroffen werden. Die dem Sicherheitsmanagement präsentierten Informationen bilden die Grundlage für diese Entscheidungsfindung. Wenn das Management jedoch keine genauen Informationen erhält oder nicht die notwendigen Vorkehrungen trifft, um genaue Informationen zu erhalten, können nachteilige Entscheidungen getroffen werden. Hier kommen Risiko-Analysen ins Spiel.  

Ein Teil dieser genauen Informationen besteht darin, die versprochenen Renditen und die damit verbundenen potenziellen Risiken zu vergleichen und zu bewerten. Hier kommt das Risikomanagement als erweitertes Instrument der Informationssicherheit ins Spiel. Mit geeigneten Verfahren und einer systematischen Vorgehensweise werden Maßnahmen entwickelt und umgesetzt, um Risiken proaktiv zu begegnen und angemessen zu minimieren. 

Aber was sind Risiko-Analysen überhaupt? 

Als Risiko-Analyse bezeichnet man den Prozess, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) und zu behandeln. Die Risiko-Analyse nach BSI-Standard 200-3 umfasst dabei die folgenden Schritte: 

1. Erstellung einer Gefährdungsübersicht 
2. Risikoeinstufung 
3. Risikobehandlung 
4. Konsolidierung des Sicherheitskonzepts 

Der Risikomanagementprozess 

Bei hohem oder sehr hohem Schutzbedarf müssen grundlegende und spezifische Risiken auf Prozess-, Anwendungs- und Infrastrukturebene identifiziert und bewertet werden. Bevor jedoch mit der Identifizierung und Bewertung von Risiken begonnen wird, empfiehlt das BSI die Etablierung eines Systeminformationssicherheitsprozesses. 

Dazu betrachten Sie zunächst die IT-Infrastruktur, einschließlich der beteiligten funktionalen und technischen Prozesse. Das klingt nach einer gewaltigen Aufgabe – und das ist sie auch. Aus diesem Grund empfiehlt es sich, mit bekannten kritischen Systemen oder mit kritischen Prozessen zu beginnen. Hier haben sich Methoden wie die Top-down-Variante, oder die Bottom-Up-Variante bewährt. Bei der Entscheidung, welcher dieser Ansätze für Ihr Unternehmen der Richtige ist, greifen unsere Berater:innen Ihnen gerne unter die Arme. 

Beide Verfahren beruhen darauf, dass die definierten Objekte einem Informationsnetz zugeordnet werden müssen. Diese Zuordnung hängt von der Bedeutung der Prozesse und Systeme ab, aus denen sie besteht. 

Der Ablauf des Risikomanagements 

Die Zuordnung der definierten Objekte bedeutet in erster Linie, die Relevanz der elementaren Gefährdungen für die Objekte hinsichtlich Eintrittswahrscheinlichkeit, Auswirkung und ggf. Bedeutung zu bewerten. Dann können auf ähnliche Weise unternehmensspezifische Bedrohungen identifiziert und bewertet werden. Darüber hinaus sollten spezifische Bedrohungen für den zugrunde liegenden IT-Schutz und die IT-Infrastruktur bewertet werden. Risikobehandlungsmaßnahmen, d. h. Risikovermeidung oder -minderung werden in Bezug auf die spezifischen und relevanten Gefahren eingeleitet und innerhalb des Risikomanagementprozesses gemäß des PDCA-Zyklus‘ (Plan-Do-Check-Act) umgesetzt. Dabei kann eine Risikoprioritätszahl helfen, die Risiken zu identifizieren und entsprechende Maßnahmen zu priorisieren, wobei unsere Berater:innen Sie gerne unterstützen.  

Zusätzlicher Analysebedarf

Die Basis- und Standard-Anforderungen der IT-Grundschutz-Bausteine wurden so festgelegt, dass dazu passende Maßnahmen für normalen Schutzbedarf und für typische Informationsverbünde und Anwendungsszenarien einen angemessenen und ausreichenden Schutz bieten. Hierfür wurde vorab geprüft, welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind und wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann. Als Anwender des IT-Grundschutzes benötigen Sie daher in der Regel für den weitaus größten Teil eines Informationsverbundes keine aufwändigen Untersuchungen mehr zur Festlegung erforderlicher Sicherheitsmaßnahmen.

Ein zusätzlicher Analysebedarf besteht lediglich in folgenden drei Fällen:

• Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
• Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im IT-Grundschutz-Kompendium.
• Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den IT-Grundschutz untypisch.

Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine Risiko-Analyse. Der BSI-Standard 200-3: Risikomanagement bietet hierfür eine effiziente Methodik.

Wieso brauche ich Risiko-Analysen? 

Risiko-Analysen verfolgen das Ziel, die Schutzziele der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit einzuhalten, um gewährleisten zu können, damit personenbezogene Daten ausreichend geschützt sind. Konkret definiert man die Schutzziele wie folgt: 

Vertraulichkeit 
Im Grundschutz des Bundesamts für Sicherheit in der Informationstechnologie, kurz BSI, bedeutet das Schutzziel Vertraulichkeit Schutz vor Verrat von Informationen oder vertraulichen Daten. Darunter sind z.B. Umsatzzahlen und daraus erhobene Daten oder Produkt- und Forschungsergebnisse zu verstehen, die die Konkurrenz interessieren könnten.  

Integrität 
Das Schutzziel „Integrität“ bezeichnet laut IT-Grundschutz das durchgängige Funktionieren von IT-Systemen sowie die Vollständigkeit und Richtigkeit von Daten und Informationen. In Bezug auf die Informationssicherheit bedeutet Integrität das Verhindern von nicht genehmigten Veränderungen an wichtigen Informationen. Integrität von Daten kann man z.B. durch Verschlüsselung erreichen.  

Verfügbarkeit 
Das Schutzziel „Verfügbarkeit“ definiert, zu welchem Grad IT-Systeme, IT-Anwendungen, IT-Netzwerke und elektronische Informationen einem Benutzer zur Verfügung stehen, und ohne Einschränkung verwendet werden können. 

Die DATATREE AG 

Kontrolle behalten – dank wirksamer Informationssicherheit 

Wir untersuchen Ihr Unternehmen nach höchsten Sicherheitsstandards, zum Beispiel nach ISO 27001 Norm. Damit erhalten Sie einen umfassenden Überblick über den aktuellen Ist-Stand Ihrer Informationssicherheit. 

Bei unserem Informationssicherheits-Assessment eruieren wir das bereits existierende Informationssicherheits-Level Ihres Unternehmens. Dabei können Sie sich immer auf eine individuelle Beratung verlassen, die unter anderem auf den aktuellen Best-Practice-Verfahren, wie der ISO 27001 Norm, basiert.  
Wir dokumentieren systematisch den Soll-Ist-Stand Ihres Unternehmens. Anschließend analysieren und bewerten unsere Expert:innen mögliche Risiken, führen eine Priorisierung dieser durch und bieten umgehend Handlungsempfehlungen für Ihre Informationssicherheits-Praxis.   

Nach Durchführung des Assessments fertigen wir außerdem einen ausführlichen Managementbericht für Sie an.  

Diese Aufgaben übernehmen wir gerne für Sie:  

• Systematische und reproduzierbare Dokumentation des Soll-Ist-Standes Ihrer Informationssicherheits-Organisation
• Analyse, Bewertung und Priorisierung von Risiken
• Entwicklung von maßgeschneiderten Handlungsempfehlungen   
• Beratung auf Grund von Best-Practice Verfahren, wie der ISO 27001 Norm
• Informationssicherheits-Begehungen des Unternehmens  
• Ausführlicher Managementbericht nach Durchführung des Assessments  

Interessiert? Dann freuen wir uns auf Ihre Nachricht, ganz einfach über unser Kontaktformular! 

Unsere Quellen:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html

ExperSite https://datatree.ag/wp-content/uploads/2020/03/expersite_03_2019_web.pdf 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.pdf?__blob=publicationFile&v=2