Risikobehandlung: Der nächste Grundschritt in der Risiko-Rumba

In den vorherigen Beiträgen unserer Serie “Risiko-Rumba” haben wir die Grundlagen der Informationssicherheitsrisiken behandelt. Wir haben Grundschritte gelernt und uns mit Schadenspotential und Eintrittswahrscheinlichkeiten auseinandergesetzt.

  • Wir haben die grundlegenden Konzepte der Informationssicherheitsrisiken kennengelernt und verstanden, wie wichtig es ist, Risiken zu identifizieren.
  • Wir haben untersucht, welche Schwachstellen in unseren Systemen existieren und wie wahrscheinlich es ist, dass diese Schwachstellen ausgenutzt werden.
    Danach haben wir ein „Bewertungssystem“ entworfen um Risiken untereinander vergleichen und weitere Schritte priorisieren zu können.

Risikobehandlung: Möglichkeiten und Strategien

Nachdem wir die Risiken identifiziert und bewertet haben, ist der nächste Schritt die Risikobehandlung.

Es ist nicht besonders sinnvoll die Risiken zu identifizieren und zu bewerten, sich aber dann nicht mehr weiter zu kümmern.

Bei der „Risikobehandlung“ geht es darum, die erkannten Risiken zu vermeiden, zu verringern, zu übertragen (z.B. an eine Versicherung) oder zu akzeptieren (mit allen möglichen Konsequenzen!).

Hier sind einige Strategien, die wir anwenden können:

  1. Risiko vermeiden: Vermeidung bedeutet, bestimmte Aktivitäten oder Prozesse zu ändern oder zu eliminieren, um das Risiko vollständig zu beseitigen.
    • Beispiel aus dem realen Leben: Ein Unternehmen entscheidet sich, keine Geschäfte in einem politisch instabilen Land zu tätigen, um das Risiko von Verlusten durch politische Unruhen zu vermeiden.
    • Beispiel aus der Informationssicherheit: Ein Unternehmen entscheidet sich, keine veraltete Software mehr zu verwenden, die anfällig für Sicherheitslücken ist.
  2. Risiko vermindern: Durch technische und organisatorische Maßnahmen können wir die Wahrscheinlichkeit oder die Auswirkungen eines Risikos reduzieren.
    • Beispiel aus dem realen Leben: Ein Unternehmen installiert Brandschutzsysteme und führt regelmäßige Feuerübungen durch, um das Risiko von Brandschäden zu vermindern.
    • Beispiel aus der Informationssicherheit: Ein Unternehmen implementiert eine Zwei-Faktor-Authentifizierung, um das Risiko von unbefugtem Zugriff auf sensible Daten zu reduzieren.
  3. Risiko übertragen: Risiken können durch Versicherungen oder Outsourcing an Dritte übertragen werden.
    • Beispiel aus dem realen Leben: Ein Unternehmen schließt eine Versicherung ab, um sich gegen finanzielle Verluste durch Naturkatastrophen abzusichern.
    • Beispiel aus der Informationssicherheit: Ein Unternehmen lagert seine IT-Infrastruktur an einen spezialisierten Cloud-Anbieter aus, der über umfassende Sicherheitsmaßnahmen verfügt.
  4. Risiko akzeptieren: In einigen Fällen kann es sinnvoll sein, ein Risiko bewusst zu akzeptieren, insbesondere wenn die Kosten der Risikobehandlung die potenziellen Schäden übersteigen.
    • Beispiel aus dem realen Leben: Ein kleines Unternehmen entscheidet sich, das Risiko von Diebstahl zu akzeptieren, da die Kosten für ein umfassendes Sicherheitssystem zu hoch wären.
    • Beispiel aus der Informationssicherheit: Ein Unternehmen akzeptiert das Risiko eines möglichen Datenverlusts bei nicht-kritischen Systemen, da die Kosten für eine vollständige Datensicherung unverhältnismäßig hoch wären.

Jede dieser Strategien hat ihre Vor- und Nachteile und sollte sorgfältig abgewogen werden.

In jedem Fall sollte man auch die Gründe für die Entscheidung dokumentieren. Dadurch kann ein Auditor z.B. erkennen, dass man die Entscheidung nicht „ausgewürfelt“ hat, sondern diese „wohl überlegt“ ist.

Dazu am Ende des Beitrags noch mehr.

Risikotoleranz und Risikoappetit

Ein weiterer, wichtiger Aspekt der Risikobehandlung ist die Bestimmung der Risikotoleranz und des Risikoappetits eines Unternehmens. Diese Begriffe beschreiben, wie viel Risiko ein Unternehmen bereit ist zu akzeptieren, um seine Ziele zu erreichen.

  • Risikotoleranz: Die Risikotoleranz bezieht sich auf das Maß an Risiko, das ein Unternehmen bereit ist zu akzeptieren, ohne dass es seine Ziele bzw. seine Existenz gefährdet. Sie wird oft durch interne Richtlinien und Vorgaben definiert.
  • Risikoappetit: Der Risikoappetit beschreibt die Menge an Risiko, die ein Unternehmen bereit ist einzugehen, um potenzielle Vorteile zu erzielen. Er hängt von der Unternehmenskultur, den strategischen Zielen und der Risikobereitschaft des Managements ab.

Risikobehandlungen je nach Risikobewertung

Je nach Risikobewertung und der festgelegten Risikotoleranz und dem Risikoappetit können unterschiedliche Risikobehandlungen angewendet werden:

  • Hohe Risiken: Risiken, die die Risikotoleranz überschreiten, sollten vermieden oder stark vermindert werden. Hier sind umfassende Maßnahmen erforderlich, um das Risiko auf ein akzeptables Niveau zu reduzieren.
  • Mittlere Risiken: Diese Risiken können durch eine Kombination aus Risikominderung und Risikotransfer behandelt werden. Es ist wichtig, die Kosten und den Nutzen der Maßnahmen sorgfältig abzuwägen.
  • Niedrige Risiken: Risiken, die innerhalb der Risikotoleranz liegen, können akzeptiert werden. Es ist jedoch wichtig, diese Risiken weiterhin zu überwachen und bei Bedarf Maßnahmen zu ergreifen.

Am Beispiel einer 5×5 Bewertungsmatrix möchte ich zeigen, wie man entscheiden könnte welche Risikobehandlungen bei bestimmten Risiken erlaubt sind.

RisikoniveauEinstufungEmpfohlene Risiko-Behandlung
>19Extremo   Risiko vermeiden
o   Risiko modifizieren
o   Risiko-Akzeptanz nicht erlaubt
>=11 und <= 19Sehr hocho   Risiko vermeiden
o   Risiko modifizieren
o   Risiko-Akzeptanz nicht erlaubt
>5 und <11Hocho   Risiko teilen
o   Risiko modifizieren
o   Risiko-Akzeptanz ist erlaubt
>2 und <= 5Moderato   Risiko teilen
o   Risiko modifizieren
o   Risiko-Akzeptanz ist erlaubt
<=2Geringo   Risiko beibehalten
o   Risiko-Akzeptanz ist erlaubt

Die wichtige Aussage im obigen Beispiel ist, dass ab einer bestimmten Grenze die Risiken nicht mehr akzeptiert werden dürfen.

Warum? Weil in diesen Fällen die Risikotoleranzschwelle überschritten wäre.

Bezogen auf „Risiken“ haben wir nun die Grundschritte gelernt. Im Kontext eines ISMS (Informationssicherheits-Management-System) sollte man diese Risiken dokumentieren und zyklisch neu bewerten bzw. prüfen.

In den kommenden Beiträgen werde ich versuchen, dir praktische Beispiele und Tipps zur Umsetzung zu geben.

Bleibe also bei mir und tanze weiter die Risiko-Rumba mit mir!

In this article, we delve into the fundamentals of information security risks and their management. We explore the importance of identifying risks, assessing vulnerabilities, and evaluating the likelihood of exploitation. The article outlines various risk treatment strategies such as avoidance, reduction, transfer, and acceptance, providing real-life and information security examples for each. Additionally, it discusses the concepts of risk tolerance and risk appetite, and how these influence the choice of risk treatment. The article concludes with a practical example of a 5×5 risk assessment matrix to guide decision-making in risk management.