Nov 17, 2021

Sicherheitsrisikoanalyse: Eine Schritt-für-Schritt-Anleitung

Organisationen entscheiden sich immer häufiger für einen risikobasierten Ansatz zur Informationssicherheit und Compliance, bei dem sie die Notwendigkeit einer eingehenden Bewertung und Analyse jeder neuen Gefährdung umgehen können. Dadurch wird ein systematisches Prozessmanagement zur Risikoanalyse eingeführt, das darauf abzielt, neue Risiken vorherzusehen und vorbeugende Maßnahmen zu ergreifen.
risikoanalyse

Der technische Fortschritt und die aktuelle Cyberumwelt zwingen Organisationen dazu, die Maßnahmen zu ergreifen, um die Sicherheitsvorschriften kontinuierlich zu erfüllen. Außerdem müssen sie Schritte weit über das Nötigste hinaus unternehmen, um ihr ISMS zu stärken und es vollumfänglich, skalierbar und belastbar zu erhalten. Die Compliance-Risikoanalyse ist dabei die vorrangig umzusetzende Anforderung vieler Informationssicherheitsstandards und -vorschriften.

Was ist Risikomanagement?

Informationssicherheit und Risikomanagement gehen Hand in Hand. Ihre Prozesse richten sich gegen organisatorische IS-Risiken, die in der Informationssicherheits- und Risikomanagementrichtlinie dokumentiert werden sollten, um ein Programm zum Risikomanagement für die Informationssicherheit ordnungsgemäß zu implementieren.

Das Informationssicherheits-Risikomanagement kann mit einem effektiven Risikoanalyseprozess durch Verwendung moderner Risikoanalysemethoden erfolgreich umgesetzt werden. Mehrere internationale Normen, wobei ISO 27001, ISO 27005, ISO 31000 und BSI IT-Grundschutz die bevorzugten sind, spezifizieren die Risikoansätze, anhand von denen ein effektives Risikoanalyseprojekt zu erstellen und zu verfolgen ist.

„In einer globalen Umfrage unter 165 leitenden Angestellten in allen Funktionen und Lokationen wurden Ausfälle bei der Cybersicherheitskontrolle im ersten Quartal 2021 als das größte aufkommende Risiko aufgeführt“, so Gartner.

Was ist eine Risikoanalyse?

Die Sicherheitsrisikoanalyse bezeichnet im IT-Grundschutz den gesamten Prozess zur Ermittlung (Identifizierung und Bewertung) und Behandlung von Risiken, während sich die „Risikoanalyse“ in den ISO-Normen ISO 31000 und ISO 27005 nur auf einen einzelnen Schritt im Risikoanalysesystem bezieht.

Wie macht man Risikoanalyse gemäß IT-Grundschutz?

Gemäß IT-Grundschutz werden gängige IT-Komponenten als Module bezeichnet, die auf einer relativ technischen Ebene anpassbare Listen relevanter Gefährdungen und erforderlicher Maßnahmen enthalten.

Der IT-Grundschutz-Standard 200-3 bietet eine einfachere Methodik als die herkömmlichen Risikoanalysemethoden für die die qualitative Risikoanalyse. Wir wollen die grundlegenden Schritte der Risikoanalyse nach BSI-Standard 200-2 beschreiben, die mit der Risikoanalyse-Software Infopulse SCM durchgeführt werden.

Modellieren: Vorarbeiten

Die Aufgabe des Modellierungsprozesses ist, die bereits erfüllten Basis- und Standard-Sicherheitsanforderungen sowie Lücken zu identifizieren. Sie erstellen eine Liste der Zielobjekte, für die eine Beispielrisikoanalyse durchgeführt werden soll.

In dieser Phase bewerten Sie den Schutzbedarf Ihrer Werte und ordnen diesen die Stufen „Normal“, „Hoch“ und „Sehr hoch“ zu.

Legen Sie fest, ob es zu jedem Zielobjekt entsprechende IT-Grundschutz-Bausteine gibt und wie diese anzuwenden sind.

Der Modellierungsprozess kann mit dem Infopulse Standards Compliance Manager wie folgt automatisiert werden:.

  • Automatische Zuweisung von den in den IT-Grundschutz-Bausteinen empfohlenen Anforderungen und Maßnahmen;
  • Überwachung des Umsetzungsstatus definierter Maßnahmen, Anforderungen, Werte;
  • Massenbearbeitung von Daten, z.B. Änderung des Umsetzungsstatus von Anforderungen und Maßnahmen für mehrere Werte;
  • Zuweisung von Personen, die für die Aufgaben und die Kontrolle verantwortlich sind;
  • • Datenvisualisierung aus verschiedenen Perspektiven mit mehreren Optionen in einer Tabellenansicht (z.B. Gruppierung nach IT-Systemen mit nicht implementierten Datensicherungsanforderungen).

Gefährdungsanalyse

Jeder IT-Grundschutz-Baustein enthält eine Liste typischer Gefährdungen, die in Gefährdungskatalogen eingeordnet sind: 47 elementare Gefährdungen sind im IT-Grundschutz-Kompendium aufgeführt.

Im Risikoanalysetool Infopulse SCM gibt es eine detaillierte Beschreibung jeder Gefährdung, die in einem Modul enthalten ist:

  • Anpassbarer Katalog von Gefährdungen, die spezifisch für einzelne Organisationen gelten, verfügbar in der Profilbibliothek;
  • Set mit vordefinierten Katalogvorlagen, z.B. Gefährdungskatalog aus dem IT-Grundschutz–Kompendium;
  • Automatisierte Risikoanalyse für Werte mit sehr hohem und hohem Schutzbedarf;
  • Identifizierung von Gefährdungen und Schwachstellen und Zuordnung zu den entsprechenden Werten oder Prozessen;
  • Verfügbarer Risikokatalog basierend auf BSI G0-Liste mit 47 elementaren Gefährdungen;
  • Möglichkeit, benutzerdefinierte Gefährdungen zu erstellen;
  • Zuweisung zusätzlicher Maßnahmen zu den Gefährdungen und deren Überwachung sowie der damit verbundenen Anforderungen.

Risikoklassifizierung

Die Risikoklassifizierung gibt einen Überblick über das Ausmaß der Risiken, die sich aus den Gefährdungen für das jeweilige Zielobjekt ergeben.

Die Risikobewertung bezieht sich auf die Gefährdungen und Schadensszenarien: Schadenspotenzial, Wahrscheinlichkeit und Risikokategorie.

Das BSI legt eine Risikomatrix fest, um die an die individuellen Bedürfnisse angepasste Risikocharakterisierung abzubilden. Die Risikomatrix umfasst die Risikokategorien (gering, mittel, hoch, sehr hoch) und die Eintrittshäufigkeit.

IIm Infopulse SCM können Sie mit der Risikoanalyse-Matrix (in der Dimension 4×4 oder 5×5) arbeiten, um die Gefährdungswahrscheinlichkeit und deren Auswirkungen auf jeden Wert ganzheitlich zu betrachten und schnell diejenigen Gefährdungen zu bestimmen, die dringend behandelt werden müssen.

Risikobehandlung

Nachdem Sie Ihre Risiken definiert und bewertet haben, wählen Sie in dieser Phase Optionen zur Risikobehandlung aus:

  • Sie können das Risiko akzeptieren;
  • Sie können das Risiko durch Risikominimierung in physischen, technischen oder administrativen Systemen oder Maßnahmen verringern;
  • Sie können das Risiko vermeiden – entfernen Sie dafür alle kompromittierten Werte;
  • Sie können das Risiko übertragen – weisen Sie es einer anderen Partei zu;
  • Sie können das Risiko mit Dritten teilen, indem Sie externen Stakeholdern die Informationsressourcenkomponenten oder bestimmte Verarbeitungsaktivitäten zuweisen.

Infopulse SCM ermöglicht Ihnen:

  • Maßnahmen zur Risikominimierung zu definieren und diese den Anforderungen und Maßnahmen zuzuordnen;
  • Risiken automatisch zu akzeptieren;
  • die Massenbearbeitung ausgewählter Gefährdungen;
  • Fristen für die Risikobehandlung festzulegen;
  • zusätzliche Maßnahmen den Gefährdungen zuzuweisen und sie gemeinsam mit den damit verbundenen Anforderungen zu überwachen.

Risikoüberwachung

Gefährdungen, die als derzeit akzeptabel ermittelt wurden, aber in der Zukunft zunehmen können, erfordern weitere Maßnahmen und werden normalerweise überwacht. Unternehmen entwickeln in der Regel zusätzliche Sicherheitsmaßnahmen für den Fall, dass die Risiken unzumutbar werden.

Die detaillierte Aufzeichnung der Risikoüberwachungshistorie für das Risikoanalyse-Projektmanagement ist auf den Dashboards von Infopulse SCM verfügbar.

In der Lösung können Sie Standardberichte (A1-A6) nach IT-Grundschutz erstellen und einen Rahmenkontext zur Abdeckung von branchenspezifischen Sicherheitsstandards (B3S) und IT-Grundschutz-Profilen vorfinden. Damit haben Sie die perfekte Risikoanalysevorlage!

Trial anfordern

Try for free

Profitieren Sie durch die 3 monatige kostenlose Nutzung von Infopulse SCM, um herauszufinden, wie unsere Lösung Ihr Compliance-Management optimieren kann. Bitte füllen Sie dieses Formular aus, wählen Sie die Standards und Funktionen, an denen Sie interessiert sind. Unsere Berater werden Ihnen gerne ein personalisiertes Webinar basierend auf Ihrer Auswahl vorbereiten und Ihnen Schritt für Schritt alle Vorteile von SCM erklären.