Super – Sie sind immer noch dabei: Sie haben sich mit der Wichtigkeit der Informationssicherheit beschäftigt und eine Organisation dafür aufgebaut. Jetzt beginnen wir mit einer der wichtigsten Komponenten, dem Risiko-Management-System.
Der erste Schritt bei der Einführung stellt eine Inventur Ihrer Informationen dar. Dazu gleich mehr. Die Aufgabe können Sie Ihrer neu geschaffenen Organisation übertragen und sich dann berichten lassen.
Begriffe aus dem Risikomanagement kurz erklärt
Während Sie diese Aufgabe in die Organisation gegeben haben, möchten wir Ihnen einige Begriffe aus dem Risikomanagement erklären, weil Sie damit im Laufe der weiteren Entwicklung konfrontiert werden und über die Sie Entscheidungen treffen werden. Es geht um das Risiko, wie man es messbar macht und darum, wie Sie strategisch damit umgehen:
- Risiko-Kapazität: Das ist die maximale Auswirkung eines sich manifestierenden Risikos auf Ihr Unternehmen, die das Unternehmen gerade noch ohne existenzielle Gefährdung tragen kann.
- Risiko-Appetit: Das sind Risiken, die ein Unternehmen im Rahmen seiner Strategie eingehen muss und will. Man kann auch einfach sagen, dass kein Unternehmen Erfolg haben kann, ohne Risiken einzugehen. Diese sollte man kennen.
- Risiko-Toleranz: Das ist der Ausdruck der Schwankungsbreite um den Risiko-Appetit, die ein Unternehmen gewillt ist, einzugehen
- Rest-Risiko: In einer realen Welt ist nichts ohne Risiko. Natürlich kann Ihnen ein Meteorit auf Ihr Rechenzentrum fallen! Das Risiko ist zwar klein, aber nicht Null!
Diese Indikatoren bzw. Kennzahlen sind wichtig für die Risikobetrachtung in den folgenden Schritten. Denn Sie werden entscheiden müssen, wie Sie mit identifizierten Risiken umgehen. Für die Einordnung helfen die oben genannten Größen.
Jetzt geht’s lost mit dem Inventar.
Für das Informations-Inventar beginnt man am besten mit den Geschäftsprozessen und legt fest, was, wo und wie verarbeitet, erzeugt und gespeichert wird.
Beim „Wo“ beziehen Sie auch organisatorische und räumliche Details ein. Das „Wie“ sollte auch die Kommunikationsstruktur einbeziehen und beim „Was“ können Sie durchaus zusammenfassen, wenn Sie sicher sein können, dass sich Risiken auf eine Gruppe von Informationen gleich auswirken (z.B. alles in einem KIS-System). Sie können für diese Überlegungen auch Ihr bestehendes Verfahrensverzeichnis zum Datenschutz als Wissensquelle heranziehen.
An diesem Punkt haben Sie nach ISO/EC 27005 den Kontext definiert und den Ausgangspunkt für die Risiko-Identifikation gesetzt, nach der MONARC-Methode die Modellierung des Kontext abgeschlossen, in COBIT hätten Sie das konzeptionelle Modell des Governance Frameworks definiert und nach dem B3S für Krankenhäuser hätten Sie schon mindestens 18 essenzielle MUSS-Items erfüllt. Sie und Ihre Mitarbeiter sind gut unterwegs!
Nach dem Erstellen des Inventars startet das Risikomanagement
Wenn Sie Ihr Inventar erstellt haben, beginnen Sie mit dem tieferen Einstieg ins Risikomanagement. Als erstes betrachten Sie den Wert der Information für Ihr Unternehmen. Nehmen Sie dabei strategische, ökonomische, juristische und medizinische Perspektiven zur Hilfe. Welche Folgen hat beispielsweise
- ein fehlender Zugang zum Informationsgut (z.B. Netzwerkstörung, Umweltkatastrophe, Verschlüsselung),
- eine beabsichtigte (Fälschung) oder unbeabsichtigte Veränderung (Überspielen durch ein fälschlicherweise im Produktivsystem durchgeführten Wiederherstellungsprozess),
- ein Diebstahl, egal ob physisch oder digital,
- eine Offenlegung an unbefugte Dritte (z.B. Verkauf von gebrauchter IT mit nicht richtig gelöschten Datenträgern)?
Als Folgen bezeichnen wir in dem Zusammenhang unmittelbare und mittelbare Konsequenzen, also Störungen in der Abrechnung, Strafen wegen eines Datenschutzverstoßes, Reputationsverlust durch eine negative Presse, Schädigung von PatientInnen und so weiter.
Aus diesen Informationen leiten Sie den Wert und die Kritikalität des Informationsgutes ab, und ja, die daraus entstehende Bewertung wird in der Regel eine Einschätzung sein.
Im nächsten Schritt betrachten Sie die Risiken unter zwei Aspekten
- Der Eintrittswahrscheinlichkeit, ausgedrückt beispielsweise durch die Frage „Wie oft passiert das (bei uns; in meiner Branche)“
- Dem Ausmaß der Auswirkung des Risiko-Eintritts
Aus den Größen lässt sich eine Gesamtbewertung ableiten, die als Kenngröße mit anderen für die Abbildung Ihrer Risikolandschaft herangezogen wird. Zu kompliziert? Also machen wir das mal an einem Beispiel.
Wenn die Schnittstelle zwischen Ihrem KIS und dem Verwaltungssystem ausfällt, können Sie keine Rechnungen stellen. Die Schnittstelle läuft nicht besonders stabil, unter einem Konto, dessen Kennwort nur die zwei Mitarbeiter der IT kennen und fällt einmal die Woche aus. Die sind schon etwas betagter und fallen auch öfter aus. Fallen beide Ereignisse zusammen, steht die Abrechnung und zwar so lange, bis einer wieder da ist. Das könnte dann in Ihrem Risiko-Management so aussehen:
Aus der in dem Fall von Ihnen bestimmten Auswirkung 3) für den Faktor „Verfügbarkeit“ (Spalte A=Availability), der Eintrittswahrscheinlichkeit 3 (kann gelegentlich auftreten) und der Qualifikation 5 (noch nichts gemacht) ergibt sich dann das Ist- (oder Rest-)Risiko von 45.
Eine Risiko-Matrix hilft bei der Entscheidung
Aus all dem ergibt sich Ihre Risiko-Matrix, anhand derer Sie dann im Weiteren unter Berücksichtigung von Risiko-Kapazität, -Appetit und -Toleranz entscheiden, wie Sie mit den Risiken umgehen:
- Vermeiden – Sie stellen die risikobehaftete Tätigkeit ein
- Vermindern – Sie ergreifen Maßnahmen, die das Risiko vermindern
- Akzeptieren – Sie machen nichts, es macht wirtschaftlich weder Sinn, das Risiko zu vermeiden, noch, es zu vermindern
- Transferieren – Sie übertragen das Risiko auf einen anderen, beispielsweise, in dem Sie eine Versicherung abschließen
Und wenn Sie das alles gemacht haben…
…fangen Sie wieder von vorne an.
Jetzt betrachten wir aber erst mal im nächsten Blogbeitrag was zu tun ist, wenn der Ernstfall eingetreten ist!
Cyber-Risiko-Check – ein neues Angebot der Oberender AG
Sie wollen schon jetzt wissen, wo Sie in der Informationssicherheit stehen? Super – dann lassen Sie uns zusammen den Cyber-Risiko-Check machen. Mehr Infos dazu gibt’s hier.