PSW Group: Unternehmen sollten Risiko-Management verbessen
IT-Risikoanalyse sichert kritische Vermögenswerte
"Die Sicherheitsstrategie eines Unternehmens kann dann als erfolgreich angesehen werden, wenn es gelingt, Risiken zu senken. Damit dies gelingt, muss verstanden werden, worum es in der Cybersicherheit geht. Nicht nur darum, die Risiken für kritische Vermögenswerte zu verstehen, sondern auch darum, sie zu verwalten, zu kontrollieren und eben zu mindern", ist IT-Sicherheitsexpertin Patrycja Tulinska überzeugt. Dies habe zur Folge, dass sich IT-Sicherheitsverantwortliche mit dem Thema Risiko-Management auseinandersetzen müssen, so die Geschäftsführerin von PSW Group Consulting weiter. Eine Risikoanalyse decke Schwachstellen auf, sowohl im technischen als auch im menschlichen Umfeld. Mithilfe methodischer Verfahren liefere sie zudem quantitative sowie qualitative Wahrscheinlichkeiten für Gefahren und Ausfälle.
Denn sind die Risiken erst einmal identifiziert und eingeordnet, lassen sich daraus entsprechende Maßnahmen entwickeln. Weiter können Unternehmen die Wahrscheinlichkeit des Eintretens dieser Risiken effizient minimieren und damit die Auswirkungen auf das gesamte Unternehmen reduziert werden. Risiko-Management-Prozesse bilden einen wichtigen Teil der IT-Risikoanalyse, liefern äußerst relevante Ergebnisse und müssen fester Bestandteil jeder Sicherheitsstrategie sein, so die Expertin weiter.
Für eine einfache IT-Risikoanalyse genügt demnach bereits ein Fragenkatalog. Er enthält Fragen zum Abschätzen von Schäden sowie zum Bewerten von Bedrohungen und Schwachstellen. Aus all dem ergibt sich dann die Eintrittswahrscheinlichkeit. "Es gibt jedoch auch vollständige Kataloge, die gewährleisten, dass Unternehmen all ihre Risiken kennen. Zu den bekanntesten gehören die ISA+-Informationssicherheits-Analyse, die insbesondere KMU hilft, das Gefährdungspotenzial kennenzulernen und entsprechende Maßnahmen daraus abzuleiten, die ISIS 12 sowie die ISO/IEC 27001. Letztere ist ein weltweit anerkannter Standard für die Informationssicherheit. Vom Kleinunternehmen über den Großkonzern bis hin zu Betreibern kritischer Infrastrukturen hat sich dieser Standard etabliert", so Tulinska.
Wer die IT-Risikoanalyse als festen Bestandteil der eigenen Sicherheitsstrategie verstehe, werde rasch die Vorteile erkennen. Eine durchdachte Analyse gibt Unternehmen die Möglichkeit, ihren Ist-Stand nicht nur zu kennen, sondern bestehende Risiken zu erkennen und zu minimieren. Weiter versetzt die IT-Risikoanalyse das Management in die Lage, dringliche, realistische sowie wirtschaftlich sinnvolle Maßnahmen zu ergreifen, um die Auswirkungen der identifizierten Risiken weitmöglich zu reduzieren. "Mein Rat ist, die IT-Risikoanalyse mit einem Maßnahmenkatalog zu verbinden. Das macht IT-Sicherheit messbar und Unternehmen erhalten Wettbewerbsvorteile gegenüber denjenigen, die sich nicht so ausgiebig mit dem Schutz von Daten befassen. Zudem sollten sich solche Unternehmen auf den Ernstfall vorbereitet, denn der Maßnahmenkatalog, der sich aus der Risikoanalyse ergeben hat, enthält auch Richtlinien, an die sich Mitarbeiter im Falle eines Datendiebstahls oder ähnlicher eintretender Risiken zu verhalten haben. Die Datenwiederherstellung oder das Austauschen von Hardware sind Beispiele dafür. Das kann auch mögliche Sanktionen zur DSGVO deutlich reduzieren", so die Expertin.
Um eine eigene IT-Risikoanalyse in den Händen zu halten, müssen Unternehmen allerdings erst einmal investieren. Je nachdem, wie umfangreich die Analyse ausfällt, ob externe Experten oder interne Mitarbeiter damit beschäftigt werden, wie groß die Organisation ist und ob sie womöglich aus dem Bereich der kritischen Infrastrukturen oder aus der Privatwirtschaft kommt, können diese Kosten unterschiedlich hoch ausfallen. Trotz ihrer Kosten bringe die Risikoanalyse jedoch auch Gewinn. Unternehmen lernen Maßnahmen kennen, mit denen sich die Risiken reduzieren und beherrschen lassen. Gerade die Fähigkeit, Risiken mit einer hohen Eintrittswahrscheinlichkeit schon im Vorfeld reduzieren zu können, helfe Kosten zu sparen. Denn würde das Risiko eintreten, wären die Folgen kaum kalkulierbar: Ein Imageverlust lässt sich vielleicht nicht beziffern. Sanktionen aus Verstößen gegen die Vorgaben der DSGVO dafür umso besser.
Weitere Informationen stehen unter www.psw-consulting.de/blog/2019/10/29/sicherheitsstrategie-verbessern-it-risikoanalyse-sichert-kritische-vermoegenswerte/ zur Verfügung.
Lesen Sie mehr zum Thema
