Risiken identifizieren, schätzen und priorisieren

Um eine möglichst hohe Effizienz bei den eingesetzten Sicherheitslösungen erzielen zu können, ist eine regelmäßige Risikobewertung der Vermögenswerte eines Unternehmens unerlässlich.

Risikobewertungen werden dazu verwendet, um die potentiellen Risiken bei einer möglichen Sicherheitsbedrohung für Unternehmen und deren Vermögenswerte, im Vorfeld zu identifizieren, zu schätzen und zu priorisieren.

Durch den Betrieb und der sich ändernden Nutzung von Informationssystemen ergeben sich immer wieder neue Schwachstellen in der IT-Infrastruktur, die man in Bezug auf einen potentiellen Verlust von Geld, im Auge behalten sollte.

Unternehmen sollten zuerst darüber nachdenken, auf welchen Wegen der Umsatz generiert wird, wie sich die Mitarbeiter und die Vermögenswerte auf die Rentabilität des Unternehmens auswirken und welche Risiken zu großen monetären Verlusten für das Unternehmen führen könnten. Danach sollte man darüber nachdenken, wie die IT-Infrastruktur verbessert werden könnte, um die Risiken eines finanziellen Verlustes zu reduzieren.

Die grundlegende Risikobewertung bezieht sich eigentlich nur auf drei Hauptfaktoren: die Wichtigkeit der gefährdeten Vermögenswerte, wie kritisch die Bedrohung ist und wie anfällig das System für diese Bedrohung ist.

Anhand dieser Faktoren können Sie das Risiko einschätzen, wie hoch die Wahrscheinlichkeit eines Geldverlusts sein könnte. Obwohl bei der Risikobewertung logische Konstrukte und keine Zahlen verwendet werden, ist es sinnvoll, sie als Formel darzustellen:

Risiko = Asset x Bedrohung x Sicherheitslücke

Denken Sie jedoch daran, dass bereits bei einer Null, das Ergebnis auch zu Null führt. Wenn beispielsweise der Bedrohungsfaktor hoch und die Sicherheitslücke hoch ist, aber die Wichtigkeit des Vermögens gleich Null ist (mit anderen Worten, es ist Ihnen kein Geld wert), wird Ihr Risiko Geld zu verlieren auch Null sein. Daher dürfte der Einsatz einer Null nicht wirklich realistisch sein.

Wenn beispielsweise Ihre Systeme ausfallen würden, wie viel Geld würde Ihr Unternehmen aufgrund von Ausfallzeiten verlieren? Die Schwere eines gegebenen Risikos hängt somit auch von den Besonderheiten der Organisation ab.

In diesem Beitrag werden zwei Ansätze zur Priorisierung von Risiken untersucht, die Qualitative und die Quantitative.

Hier sind einige der wichtigsten Risiken in der Informationssicherheit, die Sie beachten sollten:

• Angreifer können elektronische Daten verändern, stehlen oder missbrauchen oder einen Computer oder ein System rechtswidrig benutzen. Beispielsweise, wenn jemand erfolgreich, betrügerische Daten verwendet, um ein Produkt von Ihrem Online-Shop zu kaufen, wird Ihr Unternehmen Geld verlieren. Daher müssen Sie einen Prozess oder eine Lösung implementieren, die den Betrug verhindern oder zumindest das Betrugsrisiko verringern kann.
• Rechtsfragen – Viele Arten von Vorfällen können zu kostspieligen rechtlichen Problemen führen. Wenn sich beispielsweise jemand in Ihr System einhakt und Daten aus Ihrer Datenbank stiehlt, kann Ihre Organisation, selbst wenn die gestohlenen Informationen nicht besonders wertvoll sind, rechtliche Konsequenzen einleiten, da sie keine ausreichende Datenbanksicherheit bieten. Dies gilt insbesondere, wenn Sie HIPAA, PCI-DSS oder anderen Compliance-Vorschriften unterliegen. Die EU-DSGVO lässt grüßen.
• Datenmissbrauch – Wenn Ihre Geschäftsgeheimnisse gestohlen werden, könnten Sie gegen Ihre Konkurrenten verlieren.
• Systemausfälle – Wenn Systeme ihre Hauptfunktionen nicht erfüllen, sind Ihre Mitarbeiter möglicherweise nicht in der Lage zu arbeiten, und Ihre Kunden können möglicherweise keine Waren von Ihrer Website kaufen.

Sie sollten also zuerst die IT-Security-Risiken identifizieren und dann priorisieren, damit Sie entsprechende Ressourcen zur Verbesserung der IT-Sicherheit sinnvoll zuweisen können. Dabei können Sie entweder einen qualitativen oder einen quantitativen Ansatz wählen:

• Qualitative Methoden bewerten Risiken auf der Basis nicht-numerischer Kategorien oder Ebenen (z. B. niedrig, mittel und hoch). Qualitative Ansätze sind im Allgemeinen einfacher zu handeln als quantitative Techniken, insbesondere wenn dies Ihre erste Risikobewertung ist. Dies ist oft der bessere Ansatz für kleine und mittlere Unternehmen.
• Quantitative Techniken beinhalten die Zuordnung von numerischen Werten zur Risikowahrscheinlichkeit und zum monetären Verlust basierend auf einer Matrix. Quantitative Ansätze erfordern im Allgemeinen mehr Zeit und Geld als qualitative Methoden, aber die Ergebnisse sind für detaillierte Kosten-Nutzen-Analysen effektiver. Daher ist dieser Ansatz für größere Organisationen geeigneter.

Qualitative Risiko-Priorisierung

Eine qualitative Priorisierung des Risikos beginnt mit der Bestimmung von zwei Dingen für jedes Risiko:

• Wie viel Geld verliert Ihr Unternehmen, wenn das Risiko eintritt?
• Die Wahrscheinlichkeit, dass dieses Risiko eintritt

Dazu könnte man eine Tabelle wie die folgende einsetzen, um jedem dieser Faktoren einen Schweregrad zuzuordnen.

Verwenden Sie dann die Werte für diese beiden Faktoren, um die Risiken zu priorisieren. Wenn zum Beispiel Systemausfallzeiten zu sehr hohen finanziellen Verlusten führen und die Wahrscheinlichkeit von Ausfallzeiten hoch ist, hat dieses Risiko eine hohe Priorität. Wenn jedoch die Ausfallzeit zu einem geringen Geldverlust führt und die Ausfallwahrscheinlichkeit hoch ist, hat dieses Risiko eine moderate Priorität.

Hier ist ein Beispiel für eine sehr einfache Risikopriorisierungstabelle:

Quantitative Risiko-Priorisierung

Bei quantitativen Bewertungen wird das Risiko anhand von Zahlen bewertet, wobei die Bedeutung und Proportionalität der Werte von der Organisation aufrechterhalten wird. Diese Art der Bewertung unterstützt am besten die Kosten-Nutzen-Analyse. Die Vorteile quantitativer Bewertungen können in einigen Fällen durch die Kosten für den Zeit- und Arbeitsaufwand von Experten und durch die mögliche Einführung und Verwendung von Tools, die für solche Bewertungen erforderlich sind, aufgewogen werden.

Beginnen Sie erneut mit der Einschätzung der Wahrscheinlichkeit, dass das Risiko eintritt und wie viel Geld Ihr Unternehmen dabei verlieren würde. Dann weisen Sie jedem dieser Faktoren einen numerischen Wert zu, indem Sie eine Tabelle wie folgt verwenden:

Multiplizieren Sie die RL- und ML-Werte miteinander und verwenden Sie eine Tabelle wie die folgende, um die Priorität für jedes Risiko zu berechnen:

Verwenden Sie die Risiko-Priorisierungsergebnisse

Sobald Sie Ihre Risiken identifiziert und priorisiert haben, sollten Sie einen Risikomanagementplan aufstellen – und ihn von der obersten Leitung Ihres Unternehmens genehmigen lassen, damit Sie ein Budget für die Implementierungen erhalten. Der detaillierte Risikomanagementplan bietet eine konkrete Einschätzung für die Notwendigkeit einer Finanzierung. Es ist nicht genug zu sagen "unsere Systeme könnten gehackt werden"; Sie müssen zeigen, welchen Einfluss dieses Risiko auf das gesamte Geschäftsergebnis hätte. Sie können damit den ROI für Maßnahmen zur Risikominimierung aufzeigen. Unabhängig davon, ob man nun einen qualitativen oder einen quantitativen Ansatz für die IT-Risikobewertung und -priorisierung wählt, beides bildet die Grundlage für eine effiziente Umsetzung der IT-Sicherheitsstrategien im Unternehmen und schützt vor Überraschungen.

Wie Ihnen Netwrix bei der Risikobewertung helfen kann erfahren Sie hier .