Risikomanagement
 

Die allgemeinen Richtlinien für das Risikomanagement, so wie sie hier verwendet werden, stammen von der Norm ISO/IEC 27005, welche zu Familie der ISO/IEC 27000 Normen gehört. Die Norm ISO/IEC 27001 regelt die Einrichtung eines Informationssicherheits-Managementsystems, welches unbedingt auch ein Risikomanagement beinhalten muss. Das Risikomanagement ist die in der ISO/IEC 27001 vorgestellten Vorgehensweise und dient als Grundlage für die Erstellung einer Sicherheitsleitlinie der Organisation.

Das angeführte Schema beschreibt den Risikomanagement-Prozess.

Definition des Kontextes

Um eine Risikoanalyse erstellen zu können, benötigt man zuallererst Basiskriterien (Risikoevaluierungskriterien, Auswirkungskriterien, Risikoakzeptanzkriterien, Verfügbarkeit der Werte, ...), die Maßnahmenziele sowie den Anwendungsbereich. Die Definition des Kontextes beschreibt unter anderem das Umfeld sowie das Ziel des Riskomangementprozesses.

Risikoevaluierungskriterien sind unter anderem:

Für ein Grundbuchamt spielt zum Beispiel die Vertraulichkeit eine geringere Rolle als die Integrität. In verschiedenen Berufen gibt es Risiken, die unbedingt vermieden werden müssen, in anderen gibt es Werte, die unbedingt geschützt werden müssen. In der Evaluierungsphase werden diese Kontext-Werte definiert. Sie müssen während der gesamten Risikoanalyse berücksichtigt werden.

Es müssen auch Basiskriterien definiert werden:

  • Kriterien für die Auswirkung:

    • wie kann man die Höhe eines Schadens sowie die damit verbundenen Kosten bewerten, wie den Imageschaden oder den Schaden, der durch eine Verurteilung entstehen kann, messen

    • qualitative oder quantitative Skala

  • Risikoakzeptanzkriterien:

    • das akzeptable Niveau von Risiken festlegen (eventuell unterschiedlich für Vertraulichkeit, Integrität und Verfügbarkeit)

  • Festlegung der Maßnahmenziele und des Anwendungsbereichs der Risikoanalyse

    • welche Werte müssen einbezogen werden

    • was ist der Anwendungsbereich der Riskoanalyse

    • wie behandelt man Risiken am Rande des Anwendungsbereichs

  • Festlegung der Werte der Organisation

    • Geschäftsanwendungen

    • Mission

    • Werte

    • Struktur

    • Soziokulturelle Werte

    • Verpflichtungen

Anschließend muss definiert werden, wie die Risikoanalyse organisiert wird:

  • Verwaltungsprozesse

  • Akteure und Rollen

  • Eskalationsmechanismen

  • Beziehungen zwischen den Akteuren und Beteiligten

  • Aufzeichnungen, die aufbewahrt werden müssen und der Dokumentation der Risikomanagementprozesse dienen

Identifikation der Risiken

Die Identifikation der Risiken dient dazu, die Gründe von Auswirkungen zu erkennen und somit auch zu verstehen, wo und warum die Schäden entstehen können. Diese Phase bereitet die Risikobewertung vor. Sie begreift folgende Schritte:

So ist es möglich, die Liste jener Werte zu erstellen, für die ein Risikomanagement erforderlich ist.

Identifikation von Risiken
Nummer des Werts Bez. Wert Typ des Werts Niv
Imp.
Bedrohung Bez.
Bedrohung
Niv.
Bedr.
Schwach-stelle Bezeichnung Schwachstelle Niv Schwachst.
ASB01 Gebäude der Admin. Lokale, Gebäude 2 ME11 Feuer 1 V001
Fehlender Notfallplan (Evakuierung, DRP, usw.)
2
V002
Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw.)
1
V003
Fehlen von Feuerbekämpfungs-maßnahmen (Feuerlöscher, Sprinkler, Gas, usw.)
2
ME12 Wasser-schaden 2 V002 Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw. 1
V007 Überschwemmungs-gebiet (Fluss, Tal, historisches Hochwasser, usw.) 2
           
           
           
           
           
           

Risikobewertung

Die Risikobewertung enthält folgende Phasen:

  1. Die Wahl der Methode

  2. Bewertung der Auswirkungen

  3. Bewertung der Auftrittswahrscheinlichkeit

  4. Bewertung des Risikoniveaus

Auf Basis der verwendeten Methode (welche reproduzierbar sein muss), muss für jedes Risiko ein Wert, beziehungsweise ein qualitativer Wert berechnet werden, indem die Auswirkungen sowie deren Auftrittswahrscheinlichkeit geschätzt wird. (Man multipliziert zum Beispiel eine geschätzte Auswirkung (qualitative Skala) mit einer Auftrittswahrscheinlichkeit (qualitative Skala), um eine Risikobewertung zu erhalten).

Risikobewertung
Nummer des Werts Bez. Wert Typ des Werts Niv. Auswirkung Bedrohung Bez.
Bedrohung
Niv.
Bedr.
Schwachstelle Bez. Schwachstelle Niv. Schwachst. Niv. Risiken Kommentar
ASB01 Gebäude der Admin. Lokale,
Gebäude
2 ME11 Feuer 1 V001
Fehlender Notfallplan (Evakuierung, DRP, usw.)
2 4  
V002
Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw.
1 2  
V003
Fehlen von Feuer-bekämpfungs-maßnahmen (Feuerlöscher, Sprinkler, Gas, usw.)
2 4  
ME12 Wasser-schaden 2 V002 Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw. 1 4  
V007 Über-
schwemmungsgebiet (Fluss, Tal, historisches Hochwasser, usw.)
2 8  
               
               
               
               
               
               

Risikobewertung

In dieser Etappe wird das während der Risikoanalyse erworbene Wissen über die jeweiligen Risiken zusammen mit den gesetzlichen, amtlichen und vertraglichen Anforderungen verwendet.

Die Risikoeinschätzungen werden je nach Wichtigkeit sortiert, als Basis dienen die Entscheidungen aus der Risikokontextanalyse.

 

Risikobewertung
Nummer des Werts Bez. Wert Typ des Werts Niv.
Auswirkung

Bedrohung
Bez.
Bedrohung
Niv.
Bedr.


Schwachstelle
Bez.
Schwachstelle
Niv. Schwachst. Niv. Risiken
Kommentar
ASB01 Gebäude der Admin. Lokale,
Gebäude
2 ME11 Feuer 1 V001
Fehlender Notfallplan (Evakuierung, DRP, usw.)
2 4  
V002
Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw.
1 2  
V003
Fehlen von Feuer-bekämpfungs-maßnahmen (Feuerlöscher, Sprinkler, Gas, usw.)
2 4  
ME12 Wasser-schaden 2 V002 Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw. 1 4  
V007 Über-
schwemmungs-gebiet (Fluss, Tal, historisches Hochwasser, usw.)
2 8  
               
               
               
               
               
               

Riskobehandlung

In dieser letzten Phase wird eine Maßnahme vorgeschlagen. Dafür muss man die Sicherheitsmaßnahmen folgendermaßen organisieren:

  • die zu berücksichtigenden Maßnahmen;

  • Wichtigkeit und Priorität.

Das gesamte System basiert auf dem Prinzip des "Return On Security Investment", d.h. die Einsparung, welche durch die verschiedenen Risikoreduktionsmaßnahmen erreicht wurde. Die Rechnung basiert auf der ALE ("Annualised Loss Expectancy"), welche im Vorfeld berechnet wurde sowie auf den Kosten für die Umsetzung einer Maßnahme.

Die Risikoanalyse endet mit der Auswahl der Risikobehandlungen, diese müssen noch bewertet und umgesetzt werden. Auf der anderen Seite hilft sie bei der Entwicklung eines Aktionsplans.

Es gibt vier Möglichkeiten bei der Risikobehandlung:

  1. die "Risikoreduktion" versucht durch Auswahl von adäquaten Maßnahmen, das Risiko zu reduzieren (siehe: Sektorielle Analyse von Risiken - Risikobehandlung;

  2. die "bewusste und objektive Akzeptanz des Risikos", bei welcher das Risiko ohne Einsatz von weiteren Maßnahmen akzeptiert wird;

  3. die "Risikovermeidung", welche das Aufgeben der dem Risiko zugrunde liegenden Aktivität oder Bereich beschreibt;

  4. der "Transfer der Risiken" auf einen Dritten, durch eine Versicherung zum Beispiel.

Das so erhaltene Restrisiko muss vom Management genehmigt werden.

Risikobewertung
Nummer des Werts Bez.
Wert
Typ des Werts Niv.
Auswirkung

Bedrohung
Bez. Bedrohung Niv.
Bedr.


Schwachstelle
Bez.
Schwachstelle
Niv. Schwachst. Niv. Risiken
Kommentar
Behandlungs-Typ Maßnahme 27002 adressierte Risiken
ASB01 Gebäude der Admin. Lokale,
Gebäude
2 ME11 Feuer 1 V001
Fehlender Notfallplan (Evakuierung, DRP, usw.)
2 4        
V002
Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw.)
1 2        
V003
Fehlen von Feuer-bekämpfungs-maßnahmen (Feuerlöscher, Sprinkler, Gas, usw.)
2 4        
ME12 Wasser-schaden 2 V002 Veraltetes Gebäude (Fußboden, Elektrizität, Wasserrohre, usw.) 1 4        
V007 Über-
schwemmungs-gebiet (Fluss, Tal, historisches Hochwasser, usw.)
2 8   T001 x.y.z 4
                     
                     
                     
                     
                     
                     

Risikoakzeptanz

Die Risikoakzeptanz entspricht der Zustimmung der während der Risikobehandlung getroffenen Entscheidungen durch das Management. Das Management akzeptiert also den Risikobehandlungsplan sowie das Restrisiko.

Kommunikation der Risiken

Es ist ein kontinuierlicher Prozess, der es erlaubt, Informationen über Risiken mit den Entscheidungsträgern und anderen Betroffenen auszutauschen und zu teilen. Die Kommunikation der Risiken halt als Ziel:

  • Missverständnisse mit der Entscheidungsträgern reduzieren

  • die Koordination sowie die Reaktionsfähigkeit auf Zwischenfälle verbessern

  • Resultate der Risikobewertung kommunizieren und den Risikobehandlungsplan vorstellen

  • neue Erkenntnisse im Bereich der Sicherheit erlangen

  • Sicherheitssensibilisierung verbessern

Überwachung und Überprüfung

Dieser Prozess besteht aus der Überwachung und der Überprüfung der Risiken:

  • Wert und Kategorie der Werte (assets)

  • Auswirkungen, Bedrohungen, Schwachstellen, Auftrittswahrscheinlichkeit

  • externe Faktoren (rechtlichen Rahmen, Umwelt)

  • Änderung der Risikoeinschätzung (Auswirkungskriterien, Einschätzung, Risikoakzeptanz)

  • usw.