Was ist Risikomanagement in ISO/IEC 27001? Das ist eine internationale Norm, die hilft, die Informationssicherheit in einer Organisation zu schützen. Sie sagt, wie man mit Risiken rund um Informationen umgehen soll – also zum Beispiel mit Daten, Passwörtern oder vertraulichen Unterlagen.
Risikomanagement auch als ISO separat
Risikomanagement bedeutet:
Herausfinden, was schiefgehen könnte.
Überlegen, wie schlimm das wäre.
Entscheiden, was man dagegen tun kann, damit es nicht passiert oder weniger schlimm wird.
Risiken finden
Überlege dir: Welche Informationen sind wichtig?
Dann: Was könnte diesen Informationen schaden? Beispiel: Ein Hacker könnte in das System eindringen.
Risiken bewerten
Wie wahrscheinlich ist es, dass das passiert?
Wie groß wäre der Schaden?
Beispiel: Wenn ein Hacker Passwörter stielt, könnte das sehr gefährlich sein – also hohes Risiko.
Maßnahmen planen
Überlege, wie du das Risiko verringern kannst. Beispiel: Einführen von starken Passwörtern, Zwei-Faktor-Anmeldung, regelmäßige Updates.
Maßnahmen umsetzen
Die geplanten Dinge werden wirklich gemacht. Nicht nur aufschreiben, sondern auch handeln!
5. Risiken regelmäßig überprüfen
Die Welt verändert sich, also muss man immer wieder schauen:
Gibt es neue Risiken?
Funktionieren die Maßnahmen?
Beispiel Risiko: Alle wichtigen Informationen sollen geschützt sein – vor Verlust, Diebstahl oder Manipulation.
Was passiert, wenn Unternehmen Risikomanagement ignorieren?
Gefühl der Sicherheit: Wer kein Bild der Risiken vor sich hat, arbeitet sehr aggressiv und trifft Entscheidungen, die dem Unternehmen die Beine brechen können. Start-ups und kleine Unternehmen habe meist gar nicht die Möglichkeit alle Risiken zu mitigieren (oder zu erfassen), aber das Wissen über die zentralen Risiken hilft dabei Entscheidungen zu treffen, die die Gefahr abfedern.
Keine Angst vor Malware?
Keine Steuerung: Risiken eignen sich super zur Steuerung. Nicht nur Sicherheitsrisiken helfen dabei, das Budget in der IT aufzuteilen, sondern auch Geschäftsrisiken z. B. der Teil-Bruch von Verträgen eignet sich gut, um Kosten zu sparen oder woanders zu investieren.
Zu viele / zu wenig Mitigationen: Risikomanagement hilft dabei die Gegenmaßnahme (Mitigation) zu planen. Welche Risiken sind unerträglich und wo kann ich noch entspannt schlafen?
Audit-Probleme: Auditoren von den Normen ISO 27001, SOC 2 oder TISAX schauen immer wieder auf das Risikomanagement und prüfen, ob diese funktionstüchtig sind. Wer das Risikomanagement meistert, hat einen entspannteren Audit-Tag.
Warum scheitert Risikomanagement so oft?
Zu akademisch: Alle paar Wochen kommt ein neues Risikomanagement Framework auf den Markt. Komplexe Formen und genaue Berechnungen gaukeln dem Unternehmen vor, dass Risiken genau messbar sind. Risiken zu bewerten ist eine Schätzarbeit und keine Wissenschaft.
Zu komplex: Tabellen über Tabelle, Formeln über Formeln, Querverweis über Querverweis – Risiko-Frameworks sind oft zu komplex. Keiner arbeitet wirklich gerne mit komplexen Tools. Viele Stakeholder sind von komplexe Software und Prozesse abgeschreckt. Fehler entstehen, die Vollständigkeit fehlt und die komplette Ablehnung tritt ein.
Frameworks wie Sand am Meer
Zu viele Stakeholder: Jeder Manager hat seinen eigenen, besseren Weg für Risiken. Die Risiko-Policy ist nicht das wert auf dem sie gedruckt / gespeichert sind, weil diese keiner liest. Jeder will was anderes.
Nur für die Normerfüllung: Risikomanagement taucht in etlichen Normen, Gesetzen und Regularien auf. Unternehmen sehen diese Aufgabe eher als eine Kür und nicht als ein nützliches Werkzeug. Statt echte Risiken einzutragen, trägt man 0815 Risiken ein und vergisst die Maßnahmen. Von dem Chancen-Risiko-Verhältnis hat keiner etwas gehört.
Theorie aber keine Praxis: Man kann Tage, Wochen oder Monate mit der Theorie verbringen und die Policy bis zur Perfektion dichten, sodass alle Aspekte bis ins kleinste Detail erfüllt sind. Die Policy ist wertlos, ohne eine Umsetzung, die das Budget für die Maßnahmen erhalten.
Dystopische Risiken: Risiko-Register werden gerne mal mit dystopischen Risiken gefüttert, die „möglich“ aber nicht wirkliche mitigierbar sind. Wenn ein Asteroid auf das Rechenzentrum fällt oder die Regierung das Internet verbietet, dann sind jegliche Maßnahmen realitätsfern. Trotzdem landen immer wieder solche Maßnahmen in Risiko-Registern, um die Auditoren mit hohen Zahlen zu beeindrucken.
Effektive Risiken festhalten + Maßnahme umsetzen
Keep it simple, stupid
Eine Beschreibung, realistische Schadenbewertung, Eintrittswahrscheinlichkeit und die passende Reaktion / Maßnahmen (inkl. Owner) sind die essenziellen Komponenten einer Risikoanalyse. Wer diese 5 / 6 Aspekte zu einem Risiko festhält, hat eine bessere Analyse gemacht, als jedes Unternehmen, welches Risiken nicht dokumentiert. Komplexere Risiko-Frameworks könntest Du einführen, aber die Barriere ist für die Mitarbeiter im Unternehmen höher. Als Risikomanager möchtest Du nicht jedem Mitarbeiter eine zweistündige Schulung geben, wie Dein „Meisterwerk“ funktioniert.
Wenige im Boot, 1 spricht das Machtwort
Wenn ein Risiko Programm eingeführt werden soll, dann sollte eine Person mit wenigen Stakeholdern die Policy schreiben. Der CISO / CEO führt die Policy mit einem Machtwort ein, welche nicht allen gefällt. Es gibt keine richtig oder falsch, sondern nur ein Machen oder Nicht-Machen.
Schreiben ohne Ablenkungen – es hilft!
Keine Kür – sondern als Tool verwenden
Statt dem Business einen weiteren Bürokratie-Wolf auf den Rücken zubinden, sollte das Unternehmen das Risikomanagement als praktisches Tools sehen, um das Unternehmen zu steuern und Budgets zu verteilen. Nicht nur Informationssicherheitsrisiken, sondern auch Geschäftsrisiken dürfen im Risikomanagement auftauchen.
Try and Fail
Eine Risikomanagement Policy kann man nicht perfekt schreiben, sondern muss diese im Machen anpassen. Wenn die ersten 10 Risiken eingetragen sind und Maßnahmen umgesetzt sind, weiß das Unternehmen, welche Vorgabe, in der Policy Sinn ergibt und welche diese verhindern.
Durchsetzen und Nutzen
Wenn die Struktur steht, sollte jedes Projekt und Board-Meeting Risiken festhalten, aktualisieren und die Maßnahmen umsetzen. Wie bei der IT-Sicherheit ist die Motivation der Fachabteilunge gering. Die CEO kann die Motivation erhöhen.
Natürlich kannst Du ein bestehendes 1:1 kopieren – wichtig: machen
Grundlagen Risiken festhalten
Die Welt bietet uns Milliarden von Risiken. Grundlegende Risiken sind aber in der Risikobetrachtung wichtig. Wir können uns die Nachrichten anschauen… Was sind Ereignisse die ähnlichen Unternehmen geschadet haben? Welche materiellen (immateriellen) Werte möchten wir in unserem Unternehmen schützen? Eine Maßnahme kann 1000+ Risiken erschlagen (bzw. Schaden und Eintritt reduzieren), sodass wir nicht 1 Milliarde Risiken notieren müssen.
Maßnahmen verfolgen und durchpeitschen
Eine Risikoanalyse ist zahnlos, wenn wir die Maßnahmen nicht verfolgen. Eine Risikoanalyse bedeutet zugleich Budgetverteilung und Chancenergreifung. Nicht jede Maßnahme ist eine reine Kostenposition, sondern oft eine gute Möglichkeit teurere Produkte und Dienstleistungen anzubieten. Ein Beispiel ist eine Firewall. Diese schützt unsere Server und die Kundendaten. Den Kunden können wir dieses Premium auch verkaufen.
Schreibe einen Kommentar