Informationssicherheits-Managementsystem (ISMS)

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung erledigt, ist der aufwändigste Part eines Informationssicherheits-Managementsystems (ISMS) umgesetzt.

Im Zuge der Implementierung eines ISMS muss sich jede Organisation mit dem Thema Risikomanagement auseinandersetzen. Schutzbedarf, Risiko, Gefährdung, Risikokriterien, Risikoakzeptanz. Diese unterschiedlichen Begriffe gilt es zu verstehen, einzuordnen und in den Zusammenhang zu bringen. Doch was genau steckt dahinter? Ist eine Gefährdung einem Risiko gleichzusetzen? Was können mögliche Risikokriterien sein? Und ab wann greift die Risikoakzeptanz? Die Verwirrung ist groß, was genau ist zu tun und vor allem wie?

Anzeige

Es existieren kaum noch Geschäftsprozesse, die nicht IT-gestützt sind. Störungen oder gar Ausfälle der IT-Systeme können zu Produktionsausfällen, Abrechnungsausfällen und somit Umsatzeinbußen bis hin zu existenziellen Bedrohungen für die Organisationen führen. Mögliche Risiken sind bspw. mangelnde Verfügbarkeit, Datenmanipulationen, gezielte und ungezielte Hackerangriffe, Datenverlust, Datenmissbrauch oder Industriespionage. Diese und andere für die Organisation relevante Risiken gilt es zu bewerten und zu behandeln. Das Risikomanagement bildet das Kernelement eines ISMS. Stellen Sie sich also einmal vor, was passiert, wenn Sie die Aufgabe erhalten, einen Prozess zur Informationssicherheitsrisikobeurteilung zu definieren. Kennen Sie den Normtext und wissen, wie die Begriffe einzuordnen sind? In der Realität wären wohl die meisten von uns erst mal ziemlich ratlos und würden nach entsprechenden Hilfestellungen suchen. 

Office-Lösung oder Beratungsansatz?

Genau wie bei anderen Disziplinen auch gibt es bei der Einführung eines IT-Risikomanagements unterschiedliche Herangehensweisen. Die wohl immer noch am weitesten verbreitete Methode ist die Erstellung von Word- und Excel-Dokumenten. Die größte Gefahr dabei ist, dass die Risiken zwar mit einem sehr hohen manuellen Aufwand auf irgendeine Art und Weise dokumentiert werden, durch die geringen Auswertungs- und Kontrollmöglichkeiten jedoch wichtige Schritte des Risikomanagements nur bedingt durchführbar sind. Weiterhin kann bei einer solchen Vorgehensweise die angestrebte Transparenz nicht erreicht werden. Auf diese Weise werden zwar unzählige Dokumente in der Organisation erstellt, das Risikomanagement als solches kann aber in der Organisation kaum gelebt werden. Eine weitere oft in Anspruch genommene Vorgehensweise ist es, ein Beratungsunternehmen zu beauftragen. Wie in der Einleitung beschrieben wird der Organisation damit vermeintlich die Unsicherheit abgenommen. Denn es kommt ein erfahrener Berater ins Haus, der die Thematik sehr gut kennt. Oft hat dieser Berater jedoch auch den Wunsch, möglichst viele Beratungstage zu leisten. Daher werden komplizierte Methoden zur Risikoanalyse und –bewertung angewendet, die den Verantwortlichen am Ende mit noch mehr Fragen zurücklassen als bisher. Und wie geht man nach Abschluss des Projektes vor? Wer übernimmt die Anpassungen, sollten sich bei der Organisation Änderungen ergeben? Viel schlimmer ist es jedoch, wenn ein Berater im laufenden Projekt geht. Denn dann verlässt gleichzeitig das Wissen die Organisation. Ein neuer Berater bringt seine eigene Methode mit. Für die Organisation bedeutet dies also, teilweise von vorne anzufangen.

Eine Softwarelösung als Coach

Das IT-Risikomanagement kann mit Hilfe einer Softwarelösung um ein vielfaches erleichtert werden. Anwender sparen wertvolle Zeit und erhalten mit wenig Aufwand einen genauen Überblick über die kritischen Assets (Unternehmenswerte) und damit die tatsächlichen Risiken für ihre Organisation. Das Hin- und Herschicken von komplexen Excel-Tabellen hat somit ein Ende. Prozesse zur Risikobehandlung lassen sich nach den nationalen und internationalen Standards wie der ISO 27001/27005 durchführen. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung, Risikovermeidung oder Risikoverlagerung werden effizient verwaltet. Eine weitere Erleichterung: Die Unternehmenswerte, wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Eine Softwarelösung bietet jedoch noch mehr Vorteile: Die Software führt den Anwender einfach durch den Prozess der Risikoanalyse und -behandlung, ohne Risikomanagementexperte sein zu müssen. Organisationen mit einer bereits existierenden Risikomethode können die Methode im System auf ihre individuellen Bedürfnisse anpassen. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Assets, wie die IT-Infrastruktur und das Personal, lassen sich automatisch in die Softwarelösung importieren. Damit ist eine separate Assetpflege nicht notwendig. Maßnahmen zur Risikobehandlung können über das Aufgabenmanagement gesteuert werden.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der Organisation schnell und einfach erledigt. Eine praxisorientierte Vorgehensweise leitet den Anwender durch die einzelnen Schritte und liefert entsprechende Unterstützungsmöglichkeiten. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte zu sein. Ist die Implementierung eines Risikomanagements erledigt, ist der aufwändigste Part eines ISMS umgesetzt. Eine Softwarelösung, wie INDITOR von CONTECHNET, liefert ein professionelles Risikomanagement. Die vordefinierten Risikokriterien erleichtern die Einstufung der Auswirkung erheblich. Weiterhin entstehen Synergieeffekte zu Bereichen wie IT-Notfallplanung und Datenschutz, da der Datenbestand (Assets) gemeinsam genutzt werden kann.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.