psdesign1 - Fotolia

Security Risk Management: Risiken kennen und verstehen

Unternehmen müssen wissen, welchen Risiken sie ausgesetzt sind. Deshalb ist es wichtig, einen Plan für das Security Risk Management aufzusetzen.

Der Schutz von Unternehmensdaten ist ein Problem, dem sich nicht allein mit technischen Gegenmaßnahmen begegnen lässt. Firewalls und Anti-Viren-Gateways helfen zwar gegen die Malware an sich, dennoch können Angreifer in die Systeme vordringen. Daher müssen Unternehmen von Anfang an aktiv werden, potentielle Angriffswege identifizieren und die wichtigen Bereiche schützen. Dazu gehören Informationen, Technik und kritische Geschäftsprozesse. Risiko-Management für IT-Risiken erlaubt es Unternehmen, genau herauszufinden, welche Informationen warum geschützt werden sollen.

Es ist wichtig, dass man sich das Ziel der Informationssysteme und die darin enthaltenen Daten ständig vor Augen hält. Es geht darum, Geschäftsprozesse zu unterstützen, die wiederum dem Unternehmen in seiner täglichen Arbeit helfen.

Was ist ein Risiko?

Das Software Engineering Institute der Carnegie Mellon University definiert Risiko gemäß der OCTAVE Risk-Assesment-Methode so: „Die Möglichkeit, Schaden oder Verlust zu erleiden. Bedrohungen sind eine Komponente von Risiken und lassen sich so beschreiben: Eine potentielle Bedrohung – entweder von einem Menschen oder einer Maschine – führt eine Aktion aus, etwa das Identifizieren oder Ausnutzen einer Schwachstelle, die einen unerwünschten oder unerwarteten Ausgang haben.“

Dazu gehört etwa der Verlust oder die Modifikation von Daten oder der Verlust von Zugang zu Informationen. Die Folge sind negative Auswirkungen auf die Unternehmen. Zu den Auswirkungen gehören: Verlust von Umsatz oder Kunden, Verlust von Marktvorteilen, die Kosten für die Reaktion auf Zwischenfälle sowie die Kosten für Strafen, die eventuell anfallen.

Komponenten einer Strategie

Es gibt mehrere Komponenten, aus denen Risiken für die Informationssicherheit zusammensetzen:

  • Bedrohung: Ein Mensch oder eine Maschine, die eine Schwachstelle ausnutzt;
  • Schwachstelle: die von einer Bedrohung ausgenutzt wird;
  • Ausgang: Die Ergebnisse die bei der Ausnutzung einer Schwachstelle entstehen;
  • Auswirkung: Konsequenzen eines unerwünschten Ausgangs. Ausgang und Auswirkung sollten nicht verwechselt werden.

Die finale und wahrscheinlich wichtigste Komponente bei der Risikoeinschätzung sind die betroffenen Aktivposten – Informationen, Prozesse, Techniken – die von dem jeweiligen Risiko betroffen sind. Geht man davon aus, dass der gefährdete Aktivposten nicht einfach entfernt werden kann, muss das Risiko über die Schwachstellen kontrolliert werden.

Es gibt einige Dinge, die man nutzen kann, um eine Schwachstelle zu kontrollieren:

  • Entfernen der Schwachstelle. Was nicht vorhanden ist, kann nicht ausgenutzt werden.

Falls das nicht möglich ist, gibt es folgende Alternativen:

  • Reduzierung der Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt werden kann;
  • Reduzierung der möglichen Auswirkungen die nach erfolgreicher Angriff auf eine Schwachstelle auftreten können;
  • Nichts tun, Risiko akzeptieren.

Ein Problemfall sind Zero-Day-Schwachstellen. Unternehmen können sich per Definition nicht vorab gegen diese Schwachstellen schützen. Die unbekannten Auswirkungen dieser Sicherheitslücken können ein ebenso unbekanntes Risiko darstellen, Unternehmen sollten die entsprechenden Gegenmaßnahmen treffen, um Auswirkungen so weit wie möglich zu minimieren.

Risiko-Management

Das Management von Risiken für die Informationssicherheit ist der Prozess, mit dem Risiken identifiziert, verstanden, eingeschätzt und abgewehrt werden können. Dabei identifizieren Unternehmen die darunterliegenden Schwachstellen und die Auswirkungen auf Informationen, Systeme und die Organisation an sich.

Zusätzlich zur Identifizierung der Risiken und passender Abwehrmaßnahmen hilft das Risiko-Management bei folgenden Punkten:

  • Identifizierung kritischer Aktivposten. Ein Programm zum Risiko-Management lässt sich auf für das Unternehmen kritische Mitarbeiter, Geschäftsprozesse und Techniken ausweiten.
  • Verständnis schaffen, warum die ausgewählten kritischen Aktivposten so wichtig sind für den Betrieb des Unternehmens.

Das Risiko-Management muss als Teil der allgemeinen Abwehrstrategie gegen digitale Bedrohungen gesehen werden, um erfolgreich zu sein. Entsprechend sollten Unternehmen ein umfassendes Programm aufsetzen, um Sicherheitsrisiken zu identifizieren und zu verwalten. Ein möglicherweise bereits bestehendes Programm zum Enterprise Risk Management kann in diesen Prozess mit einfließen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Einen Cybersicherheitsplan für Unternehmen aufstellen.

Schritt für Schritt: Aufbau einer sicheren IT-Architektur.

Governance, Risiko-Management & Compliance mit ganzheitlichem Ansatz.

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close