Weiter geht es mit “Risiko Rumba” – wir lernen den Grundschritt

Der nächste Abschnitt unseres Kurses bringt uns zu einer weiteren großen Säule – den Risiken bzw. dem Risikomanagement.

Ich habe keine wirkliche Ahnung, was Rumba und Risiko gemeinsam haben. Die Antwort von Copilot auf eine entsprechende Frage finde ich aber recht gelungen:

• • Komplexität und Koordination: Sowohl beim Rumba-Tanz als auch bei der Informationssicherheit ist eine hohe Koordination und Aufmerksamkeit erforderlich. Ein kleiner Fehler kann große Auswirkungen haben.
  • Dynamik und Anpassungsfähigkeit: Rumba ist ein dynamischer Tanz, der ständige Anpassungen und Reaktionen auf den Partner erfordert. Ähnlich verhält es sich mit Informationssicherheitsrisiken, die sich ständig weiterentwickeln und auf neue Bedrohungen reagieren müssen.
  • Kommunikation und Zusammenarbeit: Beim Rumba-Tanz ist eine gute Kommunikation zwischen den Tanzpartnern entscheidend. In der Informationssicherheit ist die Zusammenarbeit zwischen verschiedenen Abteilungen und Teams unerlässlich, um Risiken effektiv zu managen.
  • Timing und Präzision: Im Rumba-Tanz ist das richtige Timing entscheidend, um die Bewegungen harmonisch und fließend zu gestalten. In der Informationssicherheit ist präzises Timing wichtig, um Bedrohungen rechtzeitig zu erkennen und zu bekämpfen.
  • Balance und Kontrolle: Rumba erfordert eine gute Balance und Kontrolle über die eigenen Bewegungen. In der Informationssicherheit ist es wichtig, ein Gleichgewicht zwischen Schutzmaßnahmen und Benutzerfreundlichkeit zu finden.

Nicht nur in der ISO 27001, sondern auch bei NIS-2 oder dem AI-Act und vielen anderen Standards hat man den „risikobasierten Ansatz“ gewählt.

Fangen wir mit einer wichtigen Frage an: Was ist ein Risiko?

Das Risiko im allgemeinen Lebensumfeld: Ein Risiko im allgemeinen Lebensumfeld bezieht sich auf die Möglichkeit, dass ein unerwünschtes Ereignis eintritt, das negative Folgen haben könnte. Es ist eine Kombination aus der Wahrscheinlichkeit, dass dieses Ereignis eintritt, und den potenziellen Auswirkungen.

Zum Beispiel könnte das Risiko, bei Regen ohne Regenschirm nach draußen zu gehen, darin bestehen, nass zu werden und sich möglicherweise zu erkälten.

Das Risiko in der Informationssicherheit: In der Informationssicherheit bezieht sich ein Risiko auf die Möglichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt und dadurch Schaden verursacht. Dies kann den Verlust, die unbefugte Offenlegung oder die Veränderung von Informationen umfassen.

Ein Beispiel wäre das Risiko, dass ein Hacker eine Sicherheitslücke in einem System ausnutzt und dadurch auf vertrauliche Daten zugreift.

Der risikobasierte Ansatz in der Informationssicherheit bedeutet, dass Sicherheitsmaßnahmen und Ressourcen auf der Grundlage der Bewertung und Priorisierung von Risiken implementiert werden.

Es gibt einige wesentliche Unterschiede zwischen dem „Alltag“ und den Risiken der Informationssicherheit:

• • Bewertung und Priorisierung: Im allgemeinen Lebensumfeld werden Risiken oft intuitiv und subjektiv bewertet. In der Informationssicherheit erfolgt die Bewertung systematisch und basiert auf Daten und Analysen, um die wahrscheinlichsten und schwerwiegendsten Bedrohungen zu identifizieren.
  • Maßnahmen und Kontrollen: Im allgemeinen Lebensumfeld können Maßnahmen zur Risikominderung einfach und direkt sein (z.B. einen Regenschirm mitnehmen). In der Informationssicherheit erfordert die Risikominderung oft komplexe technische und organisatorische Maßnahmen, wie Firewalls, Verschlüsselung und Schulungen.
  • Kontinuierliche Überwachung: Während im allgemeinen Lebensumfeld Risiken oft situativ und einmalig betrachtet werden, erfordert ein risikobasierter Ansatz in der Informationssicherheit eine kontinuierliche Überwachung und Anpassung, um auf neue Bedrohungen und Schwachstellen zu reagieren.
  • Dokumentation und Berichterstattung: In der Informationssicherheit ist es wichtig, Risiken zu dokumentieren und regelmäßig darüber zu berichten, um Transparenz und Verantwortlichkeit zu gewährleisten. Im allgemeinen Lebensumfeld ist dies weniger formell und strukturiert.

In der Informationssicherheit sind Risiken in der Regel eng mit Assets verbunden, da diese die wertvollen Ressourcen darstellen, die geschützt werden müssen.

Allerdings gibt es einige Aspekte, die indirekt mit Assets verbunden sind oder sich auf das gesamte Sicherheitsumfeld auswirken können:

• • Prozessrisiken: Risiken, die sich aus ineffizienten oder fehlerhaften Sicherheitsprozessen ergeben.
    Zum Beispiel könnte ein unzureichender Patch-Management-Prozess dazu führen, dass Schwachstellen nicht rechtzeitig behoben werden.
  • Compliance-Risiken: Risiken, die sich aus der Nichteinhaltung von gesetzlichen oder regulatorischen Anforderungen ergeben.
    Dies kann zu rechtlichen Konsequenzen oder Strafen führen, auch wenn kein spezifisches Asset direkt betroffen ist.
  • Menschliche Risiken: Risiken, die durch menschliches Verhalten oder Fehler entstehen.
    Dies kann Phishing-Angriffe, Social Engineering oder unbeabsichtigte Fehler umfassen, die die Sicherheit gefährden.
  • Umgebungsrisiken: Risiken, die durch physische oder umweltbedingte Faktoren entstehen, wie Naturkatastrophen, Stromausfälle oder Feuer.
    Diese können indirekt Assets betreffen, aber das Hauptaugenmerk liegt auf der Umgebung.
  • Strategische Risiken: Risiken, die sich aus strategischen Entscheidungen oder Geschäftsmodellen ergeben.
    Zum Beispiel könnte die Entscheidung, bestimmte Sicherheitsmaßnahmen nicht zu implementieren, langfristige Risiken für die Organisation darstellen.

Obwohl diese Risiken nicht immer direkt mit einem spezifischen Asset verbunden sind, beeinflussen sie dennoch die allgemeine Sicherheitslage und können letztlich Auswirkungen auf die Assets haben.

Fassen wir das einmal zusammen.

Wenn du es so weit geschafft hast, dann wird dir klar geworden sein, dass ein gutes und effektives Risikomanagement keine leichte Angelegenheit ist. Besonders mit Bezug auf das kommende NIS-2 Gesetz muss gesagt werden, dass es dort nicht nur um einmalige Maßnahmen geht, sondern um einen kontinuierlichen Prozess.

Da die Risiken zwar oft, aber eben nicht ausschließlich mit „IT-Security“ zu tun haben, ist es nicht ausreichend, sich nur auf die „Technik“ zu konzentrieren.

Viele denken auch, es reicht aus, eine Checkliste mit den Forderungen zu machen, diese umzusetzen (z.B. MFA oder Phishing-Trainings) und dann hat man alles getan.

Falsch gedacht!

„Die Mitgliedstaaten stellen sicher, dass die betroffenen Einrichtungen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Netz- und Informationssysteme, die sie betreiben, zu bewältigen und zu minimieren.“

Risiken sind nicht statisch, können sich verändern oder es fallen Risiken weg und neue kommen hinzu.

Einmalige Aktionen können nicht ausreichen, um das gesetzte Ziel zu erreichen.

Ich rate deshalb jedem betroffenen Unternehmen dazu, sich intensiv mit den Risiken zu beschäftigen und einen permanenten Prozess einzuführen, der sich darum kümmert.

In den folgenden Beiträgen werde ich deshalb versuchen, weiter ins Detail zu gehen.

By the way – während meiner Suche nach einer neuen CISO-Position lese ich viele Stellenanzeigen.

Möchtest du einmal darüber nachdenken, weshalb es „suboptimal“ sein könnte, wenn man einen „IT-Security-Experten“ sucht, der sich mit ISO 27001 auskennt?