Informationsrisiken im Griff

Rebecca Buob ist Security & Risk Consultant bei IBCOL für die Bereiche Risiko-, Krisen- und Kontinuitätsmanagement. Harmen Frobeen ist Senior Manager bei IBCOL Technologies & Consulting AG und verantwortlich für den Bereich Information Security und BCM Kurioserweise lässt sich im Business häufig eine naive Vorstellung von Informationsrisiken beobachten (,,Unsere IT kümmert sich um Security"). Andererseits beklagt die IT oft, sie wisse nicht genug über die Sicherheitsanforderungen seitens des Business. Dabei ist der Schutz sensitiver Informationen gegen nicht-authorisierten Zugriff oder Veränderung, der Schutz des Betriebs gegen Ausfälle oder die Wahrung von Rechtskonformität keine rein technische Aufgabe. Information Risk Management (RM) erfordert mehr als den Einsatz der Informatik: organisatorische und prozedurale Herangehensweisen sind genauso gefragt. IT-Risiken sind operationeller Natur, wirkt sich doch ein möglicher Schaden direkt im Unternehmensbetrieb aus. Der Leidtragende und "Besitzer" eines Risikos ist letztendlich der Leiter des betroffenen Bereichs. Grundsätzlich obliegt es ihm, Risiken zu identifizieren und deren geschäftliche Auswirkungen abzuschätzen. Immer mehr Unternehmen und Organisationen erkennen dies und schreiben im Rahmen ihrer Corporate Governance proaktives Risiko-Management vor. Gefahr erkannt - Gefahr gebannt Der Risiko-Managementprozess beginnt mit der Identifizierung von Gefahren und der Abschätzung möglicher Schäden. Grundlage einer Risiko-Identifikation bilden die Geschäftsprozesse eines Unternehmens, denen die im Prozess verwendeten Informationssysteme (Information Assets) zugeordnet werden müssen.Die eigentliche Risiko-Analyse umfasst die Bestimmung der möglichen Schadensauswirkung und der Schadenseintrittswahrscheinlichkeit. Gegeneinander aufgetragen ergibt sich eine zweidimensionale Risiko-Matrix, die ,,Risk Heat Map" (siehe nebenstehende Abbildung). Weiter gehts auf der nächsten Seite. Bei der Bestimmung der ersten Kenngrösse lautet die Frage: ,,Was bedeutet es für unser Geschäft, wenn etwas schiefgeht?" Je nach angepeiltem Zweck ist es erforderlich, diese Business Impact Analyse (BIA) in der gebotenen Granularität durchzuführen. In der Praxis hilft eine Grob-Einteilung in mehrere Schadens-Klassen, z.B. ,,Klein, Mittel, Gross" oder ,,Vernachlässigbar, Klein, Mittel, Gross, Existenzbedrohend". Ob man eine 3er-, 4er-, 5er- oder sonstige Einteilung wählt, hängt neben individuellen Vorlieben auch vom Vorhandensein unternehmensweiter Vorgaben ab. In der Praxis zeigt sich, dass weniger als 3 Klassen in Ungenauigkeit, mehr als 5 hingegen in Scheingenauigkeit resultieren. Bei der Bestimmung des Schadens sollten verschiedene Schadens-Kategorien berücksichtigt werden, z.B. finanzieller Schaden (Umsatz-, Cash Flow oder Gewinn-Verlust), operationelle Zusatzaufwände, Reputationsschäden, usw. Damit die BIA reproduzierbare Ergebnisse liefert, muss sich die Klassen-Einteilung an messbaren Grössen orientieren. Hier ist Individualisierung gefragt: Ein Umsatzeinbruch von 10 Mio. CHF mag für einen grossen Konzern in die Kategorie ,,Vernachlässigbar" fallen, für viele kleine Unternehmen wird es jedoch das Aus bedeuten. Die für eine Organisation relevanten Kategorien und deren Quantifizierungen sollten in einer BIA Referenz-Matrix dokumentiert werden. Die zweite Risiko-Kenngrösse, die Schadenseintrittswahrscheinlichkeit, hängt ab von wirkenden Bedrohungen, Schwachstellen und der Effektivität existierender Sicherheitsmassnahmen. Die Kernfrage lautet: ,,Auf welche Arten kann etwas schiefgehen?" Hier stehen die vorgängig identifizierten Information Assets im Fokus. Für eine umfassende Bedrohungs- und Schwachstellenanalyse sind Kataloge hilfreich. Ein Vergleich mit Good Practices à la ISO 27002 und Massnahmen-Katalogen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) liefert einen verlässlichen Anhaltspunkt für die Bestimmung der Schadenseintrittswahrscheinlichkeit. Für deren Quantifizierung eignet sich ebenfalls eine Klasseneinteilung mit messbaren Kriterien. Die Praxis hält für die Risikoanalyse genügend Stolpersteine bereit, denen es auszuweichen gilt, wie z.B. unzureichende Abgrenzung des Analyse-Scopes, uneinheitliche Risiko-Terminologie oder fehlende Risk-Ownership. Erfolgskritische Faktoren sind eine unabhängige Sichtweise, feines Gespür für Ziele und Werte der Organisation, profundes technisches Verständnis sowie gute Methoden- und Sozialkompetenzen. Lesen Sie mehr auf der nächsten Seite. Vollkasko vs. Teilkasko Normstrategien geben den grundsätzlichen Umgang mit den ermittelten Risiken vor: vermeiden, vermindern, abwälzen oder selber tragen. hundertprozentige Sicherheit ist weder möglich noch wirtschaftlich erstrebenswert. Damit das zu tragende Restrisiko kalkulierbar wird, ist es erforderlich, sich mit einem Business Continuity Plan (BCP) auf Notfälle vorzubereiten, zumindest für unternehmenskritische Prozesse.Ziel ist es, Risiken auf ein akzeptables Mass zu senken. Sicherheit gibt es nicht zum Nulltarif. Jede Risiko-minimierende Massnahme bedeutet Aufwand. Das Abwägen der bezifferbaren Kosten für Sicherheitsmassnahmen gegen konjunktiv-behaftete Kosten eines möglichen Schadens muss jede Organisation selbst durchführen. Die Entscheidung für Vollkasko oder Teilkasko basiert auf dem Risiko-Appetit und der Risiko-Erfahrung der Organisation. Standards und Tools Wer sein Informationssicherheits-Management am Standard ISO 27001 ausrichtet, findet mit der ISO 27005 (vormals ISO/IEC TR 13335) den nahtlos passenden RM-Baustein. Der BSI 100-3 eignet sich für Organisationen, die sich am BSI IT-Grundschutz orientieren. Zusätzlich Anleihen lassen sich im US-amerikanischen NIST SP 800-30 finden. Bei der Wahl eines geeigneten Standards sollte dessen Verbreitung beachtet werden; dasselbe trifft für Tools zu. Grundsätzlich stellt sich bei einem Tool die Frage nach dem Anwendungszweck. Soll lediglich die Risikoanalyse unterstützt werden, oder sollen alle Phasen des Risikomanagements abgedeckt werden, einschliesslich Aggregation, Konsolidierung, Planung, Monitoring und Reporting? Tools eignen sich, sobald sich Abläufe automatisieren lassen. Gerade in grösseren Organisationen ist dies für eine effiziente Risiko-Bewirtschaftung unerlässlich. Trotz ihres stattlichen Alters von vier Jahren bieten die "Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools" der European Network and Information Security Agency (ENISA) gute Dienste bei der Tool-Auswahl. Neben generellen Überlegungen findet sich dort ein Vergleich der jeweiligen Stärken unterschiedlicher Tools in den verschiedenen Phasen des RM Prozesses. Die wirkungsvollsten Tools - insbesondere für die Risikoanalyse - bleiben jedoch Sachverstand und Erfahrung. Es gilt: ,,A fool with a tool is still a fool." Weiter gehts auf der nächsten Seite. Der Informations- und IT-Sicherheit eilt nicht selten der Ruf voraus, sie treibe Kosten und verlangsame den Betrieb. Dabei ist sinnvoll gelebtes IT-Risiko-Management aus unternehmerischer Sicht ein unverzichtbares Instrument: Mit Augenmass praktiziert senkt es unternehmerische Kosten durch Vermeidung oder Minimierung von Schäden und erhöht damit die Bottom Line der unternehmerischen Bilanz. Statt im Giesskannen-Prinzip lassen sich knappe Ressourcen bedarfsgerecht zur Risiko-Minderung einsetzen. Betrachten Sie Risiko-Management als Chance, mit dem sich die Gesamtkosten (Total Cost of Risk Ownership) senken lassen. So maximieren Sie den Nutzen Ihres Information Risk Management: Vereinheitlichen Sie Risiko-Terminologie mit anderen RM-Funktionen Ihres Unternehmens.Nutzen Sie Synergien mit anderen informationsbezogenen Management-Disziplinen, insbesondere Business Continuity Management (BCM), Records Management, Datenschutz.Institutionalisieren Sie Organisation und Strukturen für kontinuierliches RM.Führen Sie Risiko-Analysen regelmässig und umfassend durch.Shaffen Sie Transparenz indem Sie die richtigen Akteure aus IT und Business einbeziehen. Mehr zum Thema erfahren sie auf der Fachtagung IT Risk Management. Rebecca Buob, Harmen Frobeen