Ausgabe Dezember 2021 | 1. Dezember 2021 | SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen | Alle Beiträge anzeigen von
Jens Höhnel
| 473 Besucher

Risikomanagement – vom SOLL zum MUSS, aber wie?



Risiken gab es schon immer. Nicht immer werden entsprechende risikobehaftete Vorgänge jedoch als solche bewusst wahrgenommen. Unser tägliches Leben besteht zu einem nicht unbeträchtlichen Teil aus dem Handling von diversen Risiken, welche oft intuitiv im täglichen Leben umschifft werden.

Ähnlich verhält es sich im Unternehmenskontext – hier ist ein effektives Risikomanagement essentiell wichtig. Denn: ohne Risiken keine Chancen. Das heißt, die Etablierung neuer Geschäftsprozesse und Services ist ohne das Eingehen gewisser Risiken nicht möglich. Aber auch die Risiken auf bestehende Geschäftsprozesse und Infrastrukturen unterliegen einem stetigen Wandel.

Um ein paar Bereiche zu nennen:

  • Denken Sie nur an die aktuelle Covid-19-Pandemie. Pandemische Risiken schienen lange Zeit weit weg, seit 2020 sind diese Risiken “omnipräsent” und müssen entsprechend mit einer ganz anderen Priorität behandelt werden.
  • Cyber-Risiken steigen aufgrund der größeren IT-Durchdringung der Unternehmensprozesse als Folge der zunehmenden Digitalisierung
  • Lieferketten-Probleme nehmen Ende 2021 nie dagewesene Dimensionen an
  • Verlagerung von Geschäftsprozessen und Services in die Cloud

Anforderungen an Risikomanagement:

Die richtige Beurteilung und das effektive Management von Risiken ist also das A und O für erfolgreiche Unternehmensprozesse. Dazu kommen für viele Unternehmen Compliance-Anforderungen an das Risikomanagement, diese können u.a. aus folgenden Bereichen resultieren:

  • Sicherstellung von für die Versorgung der Bevölkerung kritischer Geschäftsprozesse (BSI-KritisV)
  • Informationssicherheits-Management (ISO 27001, BSI IT-Grundschutz)
  • Datenschutz (EU-DSGVO)
  • Qualitätsmanagement (ISO 9001)
  • Notfallmanagement (ISO 22301, BSI 200-4)
  • Internes Kontrollsystem (IKS)

Risikomanagement kann als kleinster gemeinsamer Nenner bzw. auch als Klammer um alle diese verschiedenen Anforderungen an das Management von Unternehmensprozessen dienen, wie die folgende Abbildung verdeutlicht.

Abb.1: Risikomanagement als “Klammer” um verschiedene Management-Systeme

Aber auch ohne externe Trigger wird die Etablierung eines effektiven Risikomanagement vom SOLL zum MUSS. Zwei Trends tragen dazu wesentlich bei: zum einen die fast kontinuierlich steigende Bedrohungslage durch Cyber-Attacken (allen voran Ransomware-Attacken) und zum anderen die im Zuge des steigenden Digitalisierungsgrades immer größer werdende Angriffsfläche der Unternehmens-Infrastrukturen. Diese Entwicklungen machen es erforderlich, dass das “Fahren auf Sicht” durch ein Risikomanagement ersetzt wird, welches die bestehenden Risiken transparent macht und damit die Basis für effektive, proaktive Maßnahmen zur Minimierung der Risiken bildet.

Risikomanagementprozesse in der Praxis

Doch wie muss ein solches effektives Risikomanagement in der Unternehmenspraxis aussehen, damit es die gewünschten Ergebnisse erzielt? Die Informationssicherheitsnorm ISO 27001 fordert zwar als Kernbestandteil eines ISMS die Umsetzung eines solchen Risikomanagement, macht jedoch keinerlei Hinweise zur konkreten Umsetzung. Hierzu hat sich in unserer Beratungspraxis die ISO-Norm 27005 als sehr hilfreiche Richtschnur erwiesen, welche die Umsetzung eines praktikablen Risikomanagement für die Informationssicherheit beschreibt.

Für die Etablierung einer unternehmensspezifischen Risiko-Methodik sind demnach folgende Teilprozesse zu definieren und umzusetzen:

  • Risikoidentifikation
  • Risikobeurteilung
  • Risikobehandlung

In der folgenden Abbildung ist der Risikomanagement-Zyklus nach der ISO 27005 bzw. der “Mutter” der Risikomanagement-Normen ISO 31000 grafisch dargestellt:

Abb.2: Risikomanagement-Prozess (nach ISO 27005 sowie ISO 31000)

Die Beschreibung von Details dieser Prozessschritte würde den Rahmen dieses Artikels sprengen, zumal die Ausgestaltung der einzelnen Elemente stets unternehmensspezifisch erfolgen muss. Eine grundlegende Basis für das erfolgreiche Risikomanagement ist jedoch in jedem Fall eine möglichst vollständige Asset-Verwaltung. Assets sind laut ISO 27001 alle Komponenten und Systeme eines Unternehmens, die von Wert sind. Das reicht von IT- und Facility-Infrastrukturen über Software-Applikationen bis zu den Mitarbeitern. Ohne deren angepasstes Verhalten gemäß den unternehmensspezifischen Richtlinien zur Informationssicherheit wäre es sehr schwer bis unmöglich, die erforderliche Informationssicherheit zu gewährleisten. Organisatorische und technische Maßnahmen müssen hierzu bei der Risikobehandlung Hand-in-Hand gehen.

Grundsätzlich gilt: nur was ich kenne, kann ich auch vor Risiken (aller Arten) schützen. Eine gute Informationsquelle ist eine Asset-Verwaltung oder eine Configuration Management Database (CMDB) auf einer für die Risikoidentifikation erforderlichen Granularitätsstufe. Das hilft dabei, richtigen Risiken zu erkennen und keine wesentlichen Risiken zu übersehen. Als praxiserprobte CMDB-Lösung empfehlen wir „i-doit“ von synetics.

Bei der Beurteilung der Risiken müssen zum Teil komplexe Beziehungen aus Geschäftsprozessen, zugehörigen Assets, Bedrohungen/Gefährdungen, Schwachstellen und Eintrittswahrscheinlichkeiten beachtet werden, wie sie in folgender Grafik dargestellt sind.

Abb. 3: Elemente und Beziehungen im Risk-Management

Management mit Excel?

Die Mengen zu betrachtender relevanter Bedrohungen, Schwachstellen, Risiken kann im Kontext der Informationssicherheit schnell große Umfänge annehmen. Das virtuose Handling mit immer komplexeren Excel-Tabellen kann hier schnell an die Grenzen des Machbaren stoßen, insbesondere auch, da solche Risikoanalysen in regelmäßigen Abständen bzw. bei Veränderungen der Infrastruktur oder der Bedrohungslandschaft wiederholt ausgeführt werden müssen. Gerade im Handling wiederkehrender Prozesse und der DB-gestützten Darstellung von Abhängigkeiten zwischen den “Playern” im Risikomanagement-Prozess liegen die Stärken von spezialisierten Tools.

SHD hat auf Basis der BPM-Plattform Aeneis und als strategischer Entwicklungspartner der Firma Intellior die Software-Lösung ISMS@aeneis entwickelt, die alle Prozesse zur Implementierung eines zertifizierungsfähigen ISMS nach der ISO 27001 unterstützt. Im Unterschied zu einer Reihe anderer ISMS-Tools geht unsere Software bei der Betrachtung der Informationssicherheit von den Kernprozessen eines Unternehmens aus und setzt damit genau die von der ISO 27001 empfohlene Top-Down-Vorgehensweise um.

Abb. 4: ISMS@aeneis / Top-Down-Ansatz

Der Kern des Tools ist die Implementierung eines Informationssicherheits-Risikomanagements gemäß den Anforderungen der ISO 27001 sowie die Integration von Branchenstandards, wie beispielsweise dem B3S Gesundheit.
Das Tool verfolgt darüber hinaus auf Basis der Aeneis-Plattform den integrativen Ansatz, auch die Anforderungen an das Risikomanagement aus den oben erwähnten anderen Compliance-Bereichen abzubilden. Zuvorderst genannt seien Lösungen für BCMS, DSGVO, QM und IKS – Managementsysteme, wie aus der folgenden Einstiegsseite des Tools ersichtlich wird.

Abb. 5: Aeneis-Plattform mit Lösungsmodulen

Umsetzungsplanung geht vor Toolentscheidung

Leider ersetzt das “schönste” Tool nicht den konkreten Plan zur Umsetzung der komplexen Anforderungen an ein effektiv umsetzbares, anforderungsgerechtes ISMS mit dem Risikomanagement als Kern. Hierbei unterstützen Sie unsere ISMS-Consultants sowohl mit fachlicher Expertise als auch mit Praxiserfahrung aus einer Vielzahl von Projekten. Der Schwerpunkt der Beratungen liegt dabei auf der Unterstützung bei der Einführung von Informationssicherheits- sowie Notfallmanagement-Systemen bis zur Zertifizierungsreife. Im Sinne des integrativen Management-Ansatzes geht der Blickwinkel ebenfalls darüber hinaus auch in Richtung der oben genannten “verwandten” Management-Systeme. Ein noch relativ junges Themenfeld in diesem Zusammenhang ist weiterhin die Beratung bezüglich den im Zuge von MS365 und Co. immer wichtiger werdenden Cloud-Compliance-Themen.

Sprechen uns gern an!

 

Jens Höhnel
Autor:
Jens Höhnel | Senior Security Management Consultant
Website:

Ausführliche Informationen auf unserer Website

SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Weihnachtliche Grüße von SHD

Ein herausforderndes Jahr neigt sich dem Ende zu. Unsere Erwartungen an die Rückkehr zur Normalität haben sich leider nicht erfüllt, aber dennoch haben wir uns mit voller Kraft den uns gestellten Anforderungen gewidmet. ...

557 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Nach 30 Jahren Zuwachs in der Geschäftsführung bei SHD

Das Dresdner Unternehmen SHD System-Haus-Dresden GmbH bekommt durch Marco Graef – ein bekanntes Gesicht der IT-Branche – Zuwachs in der Führungsebene. ...

514 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

Neuerung des Windows Server 2022

Windows Server 2022 ist seit dem 18.08.21 verfügbar. Die Neuerungen fokussieren sich im neuen Release auf die Bereiche Sicherheit und Verwaltung. Auf den ersten Blick sind die Änderungen nur schwer erkennbar, aber Microsoft stellt mit dem Windows Server 2022 weitere Weichen in Richtung ...

530 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Ready for Take-off – Mit SHD-Services durchstarten | 01.03.2022

Im kommenden Frühjahr möchten wir gern mit Ihnen zu nutzbringenden Serviceleistungen ins Gespräch kommen. Dazu laden wir Sie am 1. März 2021 herzlich zu einer hybriden Veranstaltung ein. Es warten spannende Vorträge zu den Themen IT-Security, Service & Integration, Modern Work ...

403 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Jubiläum – 20 Jahre Zusammenarbeit IBM & SHD

Es gibt etwas zu feiern: Seit 20 Jahren ist SHD Partner von IBM. Wir bedanken uns bei IBM für die tolle Zusammenarbeit! Angefangen hat alles 2001 mit Projekten im Infrastrukturbereich von Datenspeichersystemen. Inzwischen entwickelt SHD in Dresden und Hamburg IBM ...

441 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

Eine integrierte Infrastruktur als Treiber von Innovation

Trotz stetig wachsender Aufgaben und der Erfüllung gesetzlicher Anforderungen wachsen die IT Abteilungen bzw. Referate oft nicht im gleichen Umfang mit. Mit Cisco Meraki ist seit einigen Jahren ein wachsendes Portfolio am Markt, dass alle Komponenten über ein Cloud Managed Dashboard ...

424 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Gemeinsam bringen wir Weihnachten zum Leuchten

Die Weihnachtszeit ist eine Zeit der Familie, des gemütlichen Beisammenseins und der Geborgenheit im Kreise lieber Menschen. Nicht jeder hat die Möglichkeit, in diesem Rahmen die Festtage zu verbringen. Aus diesem Grund ist es SHD auch in diesem Jahr wieder ein großes Bedürfnis, ein ...

417 Besucher