Risikomanagement: 3 wichtige Tipps für die Sicherung kritischer Daten-Assets

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Risikomanagement: 3 wichtige Tipps für die Sicherung kritischer Daten-Assets

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Cybersicherheit ist mit der Digitalisierung zum einem der wichtigsten Faktoren für das Risikomanagement von Unternehmen geworden. Angesichts einer Vielzahl von Gefahrenquellen für Daten und digitale Infrastruktur muss der CISO in der Lage sein, Risiken auf jeder Systemebene zu identifizieren und zu managen.
Risikomanagement IT-Grundschutz-Tag IT-Sicherheitsstrategie Cyber-Risiken

Quelle: LeoWolfert/Shutterstock

Die Herausforderung besteht darin, Informationen über die Risikobewältigung auf Firmenebene zu kommunizieren, während Unternehmen gleichzeitig Risiken operativ ausschalten und detaillierte Reaktionspläne auf Systemebene ausführen müssen. Um IT-Entscheider dabei zu unterstützen, hat Kudelski Security die wichtigen Schritte in einem Leitfaden zum Risikomanagement von Cyberbedrohungen zusammengefasst.

1. Risikomanagement: Kontext und Cyberrisiken identifizieren

Um eine wirksame Strategie für das Risikomanagement zu erarbeiten, ist es unerlässlich, die Erwartungen der Stakeholder und Geschäftsführung zu verstehen. Erst im Lichte dessen, was Kunden, Lieferanten, Aufsichtsbehörden und Wettbewerber für eine Motivation und Herangehensweise an das Risikomanagement haben, wird eine 360-Grad-Sicht möglich. Das schließt auch die grundsätzliche Haltung des Managements hinsichtlich Risikobereitschaft, Unternehmens- und Führungskultur sowie Marktstrategie mit ein.

Nur wer seine Vermögenswerte lückenlos kennt – also auch die digitalen – kann gezielt und verlässlich Bedrohungen, Schwachstellen und Konsequenzen von Risikoszenarien bewerten. Beispielsweise bietet die Richtlinie NIST 800-30 Guide for Conducting Risk Assessments eine detaillierte Methodik zur Identifizierung und Bewertung von Cybersicherheitsrisiken für Informationssysteme in den USA und dient zugleich als nützlicher Leitfaden für nicht-staatliche Einrichtungen. Ebenso leistet die Norm „ISO/IEC 27005 Information Security Risk Management“ wertvolle Unterstützung bei der Risikoidentifikation.

2. Risiken analysieren und bewerten

Überaus hilfreich ist es, die Wahrscheinlichkeit zu kennen, mit der ein Risikoereignis eintritt, und die möglichen Konsequenzen. Wenngleich dies primär eine Ermessensentscheidung ist, gibt es dennoch Techniken, die bei der Risikoanalyse helfen. Die gängigsten Ansätze sind der qualitative, der auf der Zuweisung eines Wertes wie hoch, mittel oder gering basiert und der quantitative, der einen numerischen Wert für die Auswirkungen, basierend auf statistischen Wahrscheinlichkeiten und monetären Werten von Verlusten oder Gewinnen zugrunde legt. Ein dritter Ansatz wird als semi-qualitativ bezeichnet und basiert auf der Zuweisung von numerischen Werten zu qualitativen Kategorien. Alle drei Ansätze liefern eine Grundlage dafür, ein Risikoprofil zu erstellen. Typischerweise werden die Risiken in einer Matrix dargestellt, um die Wahrscheinlichkeit und die Auswirkungen des Risikos abzubilden. Die Visualisierung von Risiken hilft Führungskräften und Geschäftsführern bei der Priorisierung entsprechender Gegenmaßnahmen.

3. Reaktionsstrategien und Maßnahmen für das Risikomanagement

Strategien für das Risikomanagement im IT-Sektor sollten so gestaltet sein, dass die identifizierten Risiken den Rahmen nicht überschreiten, den die Risikobereitschaft und Risikotoleranz des Unternehmens setzen. Ein wichtiger Teil dieser Bewertung ist es, die Kosten für die Gegenmaßnahmen zu bestimmen. Zudem sollen Anwender diese mit dem potenziellen Verlust oder den Auswirkungen des eingetretenen Risikofalls vergleichen. Üblicherweise wird eine der folgenden vier Reaktionsarten ausgewählt: akzeptieren, übertragen, abmildern oder vermeiden. Als Reaktion empfiehlt sich vielfach eine spezifische Sicherheitsinitiative oder ein Projekt, das lösungsorientiert geplant und ausgeführt werden sollte.

Abgerundet werden sollte jeder Risikoprozess für Cybersecurity, egal wie er konkret beschaffen ist, durch regelmäßiges Monitoring und eine systematische Statusaktualisierung der Gegenmaßnahmen oder der Risikomerkmale.

Kudelski Security ist Berater und Innovator auf dem Gebiet der Cybersicherheit. Durch einen langfristigen Ansatz bewertet der Anbieter die Sicherheitslage kontinuierlich und empfiehlt Lösungen. Diese sollen geschäftliche Risiken verringern, die Compliance gewährleisten und die Effektivität der Sicherheitsmaßnahmen verbessern. (sg)

Lesen Sie auch: Risikomanagement: Chancen für die Kooperation von Business und IT bei IT-Risiken

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Andere Leser haben sich auch für die folgenden Artikel interessiert

Ninox, das auf No-Code-Software spezialisiert ist, positioniert sich mit einem neuen Management-Team für die Zukunft. Als neuer CEO wurde Jürgen Thiel, vormals Geschäftsführer der Intel GmbH in Deutschland, berufen, der die internationale Expansion von Ninox voranbringen soll.
Der Homeoffice-Boom hat Sicherheitslücken geschaffen, die kleine wie große Unternehmen gefährden. Denn Kollaborations-Tools haben zwar den Weg für die hybride Teamarbeit geebnet, doch bei mangelnden Sicherheitsmaßnahmen werden sie zum Einfallstor für Cyberkriminelle. Wie sich Unternehmen vor den Bedrohungen effektiv schützen können.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Communication & Collaboration

Wie der produktive Sprung in die neue Arbeitswelt gelingt

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.