IT Risikomanagement für EPU & KMU

Jedes Unternehmen muss seine Risiken kennen und managen – das gehört zum täglichen Geschäft eines jeden Unternehmers oder Geschäftsführer und daher auch das IT Risikomanagement.

Die IT ist inzwischen Basis Geschäftsprozesse, und Ausfälle können daher sehr bedrohlich für ein Unternehmen werden. Ein IT-Risikomanagement deckt solche wirtschaftlichen Gefahren auf, weist aber auch auf Einsparmöglichkeiten in der Infrastruktur und Organisation hin, wenn etwa die bisherige Notfallplanung optimiert werden kann.

Ziel von Risikomanagement ist das Identifizieren, Bewerten und Überwachen von Risiken. Dazu gehört es, den Wert von Assets für das Unternehmen zu analysieren, mögliche Bedrohungen für diese Assets zu identifizieren und die jeweilige Gefährdung der Assets einzuschätzen.

 Erhebung & Klassifizierung von Unternehmenswerte

Um ein IT-Risikomanagement in einem Unternehmen einführen zu können, bedarf es einer Erhebung und Auflistung der Unternehmenswerte im IT-Bereich.

Dazu zählen u.a.:

• IT-Systeme (Server, PCs, Netzwerkkomponenten, mobile Geräte, …)
• Software und Lizenzen
• Infrastruktur (USV-Anlagen, Klimasysteme, Kommunikationsanlagen, …)
• Informationen (Firmen- und Kundendaten, Verträge, Datenbanken, Benutzerhandbücher, …)
• Personelle Ressourcen (Know-How, Ausbildung, Erfahrung, …)

Wenn man die Werte indentifziert und aufgelistet hat, müssen diese noch nach dem Schutzbedarf klassifiziert werden:

• Wie lange kann der Ausfall des IT-System, die betreffende Daten, die Mitarbeiter/in verkraftet werden? Wie schnell müssen, die Werte wieder verfügbar sein, um ernsthafte Schäden zu vermeiden?
• Wie hoch ist der Schaden, wenn die betreffenden Daten in die Hände eines Konkurrenzunternehmens fällt oder ein bestimmter Mitarbeiter oder eine bestimmte Mitarbeiterin zur Konkurrenz abwandert? Welche Probleme sind zu erwarten, wenn bestimmte Informationen öffentlich zugänglich werden?
• Welcher Schaden entsteht, wenn z.B. die Buchhaltung oder Kundendatenbank aus Versehen, durch Manipulation durch einen oder eine Mitarbeiterin oder aufgrund eines Virenangriffs falsche Einträge enthält?

Erhebung der Bedrohung und Schwachstellen

Um Schutzmaßnahmen für IT-Werte planen zu können, müssen mögliche Bedrohnungen erfasst und realistisch eingeschätzt werden.

Typische Bedrohungen sind:

• technische Probleme: Hardware- oder Netzwerkausfälle, Fehlfunktionen der Software, Störungen der Stromversorgung oder Klimatisierung, …
• organisatorische Mängel: Ungenügende Dokumentation, fehlende Schulungen, ungeklärte Zuständigkeiten, fehlende Richtlinien, …
• fahrlässiges Benutzerverhalten: Bedienungs- und Wartungsmängel, Nichtbeachtung von Sicherheitsmaßnahmen, fehlendes Sicherheitsbewusstsein, …
• vorsätzliche Handlungen: Computermissbrauch, Datendiebstahl, Verbreitung von Schadsoftware, Social Engineering, Phising, …
• höhere Gewalt: Brand- und Wasserschäden, Blitzschlag, Sturmschäden, …

Für jeden Unternehmenswert muss eingeschätzt werden, welche dieser Bedrohung eintreten kann und wie hoch die Wahrscheinlichkeit des Eintretens ist. Aus dieser Einschätzung lassen sich die Schwachstellen ableiten, die durch geeignete Sicherheitsmaßnahmen behoben werden können.

Zur Erhebung der Bedrohung und Schwachstellen gibt es ein Risikoanalysetool auf der it-safe-Homepage.

Planung und Umsetzung von Sicherheitsmaßnahmen

Aufgrund der Klassifikation der Unternehmenswerte und der erhobenen Risiken müssen nun angemessene und zielgerichtete Sicherheitsmaßnahmen geplant und umgesetzt werden.

Informationssicherheit muss im gesamten betrachtet werden. Einem Risiko muss mit einem Mix aus verschiedenen Maßnahmenbereichen begegnet werden. Wenn man einem Risiko mit nur einer einzigen z.B. technischen Herangehensweise entgegentritt, ist es leicht möglich, dass eine Schwachstelle von einer anderen Seite her ausgenutzt werden und das Risiko besteht immer noch.

Maßnahmen sollten aus folgenden Bereichen stammen:

• Bauliche und infrastrukturelle Sicherheit: Zutrittskontrollen, Brand- und Wasserschutz, Stromversorgung, Einbruchschutz, …
• personell-organisatorische Sicherheit: Sicherheitsrichtlinien, Geheimhaltungsvereinbarung, Schulungen und Sensibilisierungen der Mitarbeiterinnen und Mitarbeiter, Notfalldokumentation, Versicherungsschutz, …
• technische Maßnahmen: Zugangs- und Zugriffsberechtigungen, Datensicherung, Virenschutz, Maßnahmen der Netzwerkssicherheit, Verschlüsselung, …

Aber es reicht nicht Maßnahmen nur einzuführen, diese müssen auch regelmäßig auf ihre Wirksamkeit, Zweckmäßigkeit und Aktualität überprüft werden und bei Bedarf angepasst werden. Wenn neue Bedrohungen auftreten oder bei größeren Änderungen der IT-Infrastruktur (z.B. beim Ankauf neuer Systeme oder Anwendungen) ist es unter Umständen notwendig, die Risikoanalyse erneut durchzuführen.