Sehr geehrte Kundinnen, sehr geehrte Kunden,
wie können die ersten Schritte sein, um sich der eigenen Risiken sowie der bestehenden Sicherheitsinfrastruktur bewusst zu werden?
Für die Prüfung der Sicherheitsinfrastruktur bitte ich Sie das pdf :
"IT-Schutzmaßnahmen-analog-Mindestsicherungen" aus dem letzten Rundschreiben an Ihre IT-Abteilung zwecks Prüfung zu übergeben und das Ergebnis einfließen zu lassen in Ihre Risikoanalyse.
Wichtig und Voraussetzung ist dabei Ihr "Risikoappetit".
Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung eines Unternehmens, wie sie Risiken bewertet und mit ihnen umgeht.
In diesem dadurch definierten Rahmen und in Kenntnis der aktuellen Sicherheitsstruktur ergeben sich die nächsten Schritte für die
Risikoanalyse und darauf abschließend aufbauend wird ein Punkt die Klärung des optimalen Versicherungsschutzes sein.
Als Risikoanalyse wird der komplette Prozess bezeichnet, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie zu behandeln. Risikoanalyse bezeichnet nach den einschlägigen ISO-Normen ISO 31000 und ISO 27005 nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht:
• Identifikation von Risiken (Risk Identification)
• Analyse von Risiken (Risk Analysis)
• Evaluation oder Bewertung von Risiken (Risk Evaluation)
Risikobehandlungsplan
Die vollständige Erfüllung der im IT-Grundschutz geforderten Basis- und Standard-Anforderungen (siehe letztes Rundschreiben) und gegebenenfalls die Anforderungen für den erhöhten Schutzbedarf ist
ein hoher Anspruch an jedes Unternehmen.
In der Praxis lassen sich nicht alle Anforderungen erfüllen, sei es,
- dass Umstände vorliegen, die eine Erfüllung nicht sinnvoll erscheinen lassen (Neubeschaffung von Informationstechnik, Umzugspläne oder Ähnliches) oder
- dass eine Anforderung aus organisatorischen oder technischen Rahmenbedingungen nicht möglich ist (IT-System oder Anwendung werden nicht eingesetzt oder Ähnliches).
Bestehende Defizite bei der Umsetzung von Sicherheitsmaßnahmen, die aus den Sicherheitsanforderungen resultieren und die damit verbundenen Risiken müssen in Form eines Managementberichtes dokumentiert werden, einschließlich einer Umsetzungsplanung für die weitere Behandlung der bestehenden Risiken.
Der Risikobehandlungsplan sollte eine Beschreibung der geplanten Ressourcen und zeitliche Vorgaben enthalten. Er wird durch Unterschrift der Institutionsleitung genehmigt. Die einzelnen Anforderungen aus dem Risikobehandlungsplan müssen mindestens einmal pro Jahr überprüft werden. Eine dauerhafte und unbefristete Übernahme von Risiken durch die Institutionsleitung muss vermieden werden, da sich im Bereich der Informationssicherheit die Risiken in kurzer Zeit verändern können. Eine unbefristete Übernahme von Risiken birgt die Gefahr, dass diese Risiken nur zu einem Stichtag geprüft und bewertet werden und eine erneute Betrachtung ausgeschlossen bleibt.
Risikomanagement
Als Risikomanagement werden alle Aktivitäten mit Bezug auf die strategische und operative Behandlung von Risiken bezeichnet, also alle Tätigkeiten, um Risiken für eine Institution zu identifizieren, zu steuern und zu kontrollieren.
Das strategische Risikomanagement beschreibt die wesentlichen Rahmenbedingungen, wie die Behandlung von Risiken innerhalb einer Institution, die Kultur zum Umgang mit Risiken und die Methodik ausgestaltet sind.
Die Rahmenbedingungen des operativen Risikomanagements umfassen den Regelprozess aus
• Identifikation von Risiken,
• Einschätzung und Bewertung von Risiken,
• Behandlung von Risiken,
• Überwachung von Risiken und
• Risikokommunikation.