Slideshow

Risikoanalyse und Management

Vorgehensweise bei einer Risikoanalyse / Risikoberechnung im Risikomanagement

Die zugehörige vollständige Infografik zur Strategie finden Sie hier.

Wer heute Sicherheitsmaßnahmen durchführt, ohne diese fundiert zu begründen und zu dokumentieren, handelt ineffizient.

Wenn wir hier von Risikoanalyse / Risikoberechnung und Risikomanagement sprechen, dann meinen wir hier den Prozess der Identifikation, Bewertung und Verringerung der Risiken auf ein akzeptabeles Maß. Wir Sie bereits gesehen haben, bleibt bei allen Analysen und Tests, die möglich sind immer ein Restrisiko. Das Risikomanagement dient in diesem Maß für das Restrisiko. Genau genommen geht es hierbei darum, alle Risiken zu erkennen, zu begrenzen uns so weit zu reduzieren, bis sie für ein Unternehmen, welches das Maß übrigens selbst bestimmen kann (allerdings im Einklang der geltenden Gesetzeslage), akzeptabel ist. Dabei ist auch die Überlegung des Kosten-Nutzen-Effektes hinzu zu ziehen.

 

Siehe auch: Grundlagen der Risikoanalyse (Linux Magazin Ausgabe 2013) | Englische Version (Linux Magazin USA)

Risikoanalyse ist nun ein Werkzeug, um die Risiken für ein Unternehmen zu identifizieren, finanzielle Auswirkungen zu berechnen, Schwachstellen zu identifizieren, Bedrohungen und zugehörige Risiken einzuschätzen und die Wirkungen zu bewerten, die eintreten würde, wenn man sich die bestehenden Schwachstellen und Konflikte zunutze machen würde. Der Prozess dieser Analyse beinhaltet somit verschiedene Dienstleistungssektoren, wie zum Beispiel ein Penetrationstest, der benötigt wird, um Schwachstellen ausfindig zu machen. Die Risikoanalyse stellt für ein Unternehmen ein wichtiger Prozess dar, der einmal initiiert sich fortlaufend weiterentwickeln muss. Die Resultate einer Risikoanalyse stellen einen dringlichsten, realistischen und wirtschaftliches Verfahren und Gegenmaßnahmen da, die es gilt zu implementieren.

Ein mögliches Vorgehen könnte so aussehen:

Der Zweck ist es also, die tatsächlichen Werte zu identifizieren und zu bewerten, bzw. zu errechnen, wie hoch der potentielle Verlust durch eintreten jeder der Möglichen Bedrohungen sein könnte. Sie ist das Werkzeug zur Sicherstellung von Kosteneffizienz und Relevanz. Folgende Grafik spiegelt einen groben Überblick der Leistung wieder.

 

Bedrohungsanalyse Modell in Verbindung mit der Risikoanlayse

 

Berechnungsmodell einer Risikoanalyse

 

Die vier Hauptziele einer Bedrohungs- und Risikoanalyse sind demnach folgende:

Identifikation der Vermögensgegenstände und ihren finanziellen Wert

Identifikation der Bedrohungen

quantitative und qualitative Bestimmung der Auswirkungen potenzieller Risiken

Wirtschaftlichkeit der Gegenmaßnahmen im Vergleich zu den möglichen Auswirkungen des Risikos

 

Dabei greifen verschiedene Sektoren ineinander ein, um größtmöglichen Gewinn zu erzielen. Die 3 Kernkomponenten der NetSecure-IT spiegeln sich in dem Gesamtkonzept hier wieder. Nur durch konsequente Maßnahmenkataloge unser Leistungen kann eine Sicherheitsstrategie bis ins Detail funktionieren, um am Ende das Ergebnis des Restrisikos wiedergeben zu können. Da dieses Thema sehr komplex ist und sich an die ISO Standards 27001, 27002 und 27005 lehnt, kommt hier die vereinfachte Risikoanalyse zum tragen, jedoch auch in Anlehnung an BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz. Vorteile dieser sind die Vergleichbarkeit durch Standardisierung und geringerer Aufwand bei der Analyse.

Beim Risikomanagement geht es in erster Linie darum, die erkannten Risiken so weit zu minimieren, dass sie für die jeweilige Organisation akzeptierbar sind. Hierbei dient das Verfahren der Risikoanalyse dazu, das Management in die Lage zu versetzen, die erforderlichen dringlichsten, realistischsten und wirtschaftlichsten Maßnahmen zu ergreifen, um die Auswirkungen der bestehenden Risiken so viel wie möglich zu reduzieren. Risiko-Management setzt sich also zusammen aus der Identifizierung, dem Messen sowie der Kontrolle von Verlusten, die in Verbindung stehen mit unbestimmten Ereignissen und Risiken. Es beinhaltet eine allumfassende Sicherheitsprüfung, Risikoanalyse, Auswahl und Evaluierung von Hilfsmaßnahmen, Kosten- und Nutzen-Analysen, Management-Entscheidungen, Einführung von Rettungsmaßnahmen und effektiven Prüfverfahren.

 

 

zurück nach Strategie