In unserer Miniserie „Management von Informationsrisiken“ geben wir Ihnen einen komprimierten Überblick über eines der Herzstücke des Informationssicherheitsmanagements: das Risikomanagement. Warum dieses Thema? Nur wenn Organisationen ihre Risiken kennen und richtig bewerten, können sie angemessene Maßnahmen zum Schutz ergreifen. Wir wollen dabei helfen.
Die ersten beiden Teile haben Ihnen bereits einen Überblick über Methoden und Verfahren der Phasen zur Risikoidentifikation, sowie zur Risikoanalyse und -priorisierung gegeben. Dieser Teil betrachtet die Festlegung von Maßnahmen zur Risikobehandlung und das Prinzip der Übernahme von Restrisiken.
Grundsätzlich lässt sich die Risikobehandlung in 4 Handlungsfelder unterteilen, innerhalb derer ein Unternehmen agieren kann:
- Risikovermeidung
Das Unternehmen stellt die Aktivitäten, die durch das Risiko bedroht werden, ein. - Risikomitigation
Das Unternehmen trifft Maßnahmen, um Risikoschaden oder -wahrscheinlichkeit zu reduzieren. - Risikotransfer
Das Unternehmen versichert die Schäden, die durch das Risiko auftreten können. - Risikoakzeptanz
Das Unternehmen akzeptiert die Konsequenzen, die durch das Risiko auftreten können.
Im Bereich der Risikomitigation kommen verschiedene Komponenten zum Tragen:
- Kontrollziele
Sie beschreiben Ziele, die zur Mitigation eines Risikos erreicht werden sollen. - Kontrollen
Sie beschreiben (ggf. mehrere) Aktivitäten, die umgesetzt werden müssen, um Kontrollziele zu erreichen. - Maßnahmen
Sie setzen Kontrollen um und werden dabei auf spezielle Situationen angepasst.
Praxisbeispiel zur Risikomitigation
Nachfolgendes Beispiel veranschaulicht den Ansatz Kontrollziel à Kontrollen à Maßnahmen:
Das Kontrollziel ist die Verhinderung des unautorisierten Zugriffs auf Systemen und Anwendungen. Dazu sinnvolle Kontrollen sind die Einschränkung der Verfügbarkeit von privilegierten Systemprogrammen und das sichere Vorgehen bei der Anmeldung. Beispielmaßnahmen zur Umsetzung auf Linux bzw. Windows Systemen wären bei Linux die Umsetzung via PAM* und bei im Windowsbereich die Umsetzung via GPO**
*Pluggable Authentication Modules (PAM) bieten eine Infrastruktur, die es Programmen ermöglicht, Benutzer über konfigurierbare Module zu authentifizieren.
**Group Policy Objects (GPO), Gruppenrichtlinienobjekte von Microsoft, sind eine Sammlung von Gruppenrichtlinieneinstellungen, die definieren, wie Desktops für eine definierte Benutzergruppe konfiguriert sind.
Was aber, wenn keine anderen Maßnahmen zur Risikobehandlung existieren?
Es kann Fälle geben, in denen die Aktivität, auf die das Risiko wirkt, für die unternehmerischen Zwecke zu wertvoll ist, als dass eine Risikovermeidung in Frage kommt. Wenn zudem nun auch Maßnahmen zum Transfer bzw. zur Mitigation von Risiken zu teuer sind oder in keinem Verhältnis zu den Vorteilen der Aktivität stehen, ist die Risikoakzeptanz die Option zur Risikobehandlung. Innerhalb der Unternehmensstrukturen sind häufig verschiedene Entscheidungsbefugnisse zur Übernahme von Risikoakzeptanz in Abhängigkeit zur Hierarchieebene vorhanden. Diese müssen eingehalten werden. Zudem sollte dieser Schritt unbedingt dokumentiert erfolgen. Sowohl die Gründe als auch die Entscheidung zur Risikoakzeptanz werden daher festgehalten.
“Risikomanagement ist in allen Unternehmen ein lebendiger Prozess und die Risikosituation eines Unternehmens nie konstant. Neue Geschäftsprozesse oder die Änderung von existierenden Geschäftsprozessen machen neue Assets für Ihr Unternehmen relevant. Neue Gefahren oder Schwachstellen können auftreten oder die existierenden sich verändern. Die Wirksamkeit von ergriffenen Maßnahmen kann über die Zeit zu- oder abnehmen. Eine fortlaufende Überwachung und Kontrolle von Risiken sind daher notwendig. Wir begleiten Sie dabei.“
Ester Widera
Senior Consultant
Security Consulting