Risikomanagement in der Informationssicherheit

Anwendungsbeispiel

Zum Anwendungsbeispiel

Definition, Inhalt und Herkunft

Gemäss ISO 31000 ist ein Risiko ein Effekt von Unsicherheit auf Ziele – dabei kann dieser Effekt sowohl negativ (Bedrohung) als auch positiv (Chance) sein. Im Kontext der Informationssicherheit steht das Risikomanagement für den systematischen Umgang mit Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen beeinträchtigen könnten. Grundlage bilden etablierte Normen wie ISO/IEC 27005, die den Umgang mit Bedrohungen (Threats), Schwachstellen (Vulnerabilities) und potenziellen Auswirkungen (Impacts) strukturieren.

Ziele und Nutzen

Das Ziel des Risikomanagements in der Informationssicherheit ist es, Risiken frühzeitig zu erkennen, angemessen zu bewerten und geeignete Massnahmen zu deren Behandlung zu definieren. Es trägt dazu bei, Sicherheitsvorfälle zu vermeiden, Geschäftskontinuität sicherzustellen und rechtliche sowie regulatorische Anforderungen zu erfüllen. Ein effektives Risikomanagement unterstützt die kontinuierliche Verbesserung der Sicherheitslage und schafft Transparenz über Gefährdungen und Schutzmassnahmen.

Anwendung und Vorgehen

Der Risikomanagementprozess gliedert sich in folgende Schritte:

  1. Risikoidentifikation: Basierend auf dem Informationsinventar werden Bedrohungen, Schwachstellen und mögliche Auswirkungen ermittelt.
  2. Risikoanalyse und -bewertung: Risiken werden nach Eintrittswahrscheinlichkeit und Schadensausmass bewertet.
  3. Risikobehandlung: Es werden Massnahmen definiert, um Risiken zu akzeptieren, zu mindern, zu übertragen oder zu eliminieren.
  4. Risikoüberwachung: Risiken und Massnahmen müssen regelmässig überprüft und aktualisiert.

Typische Methoden sind Workshops, Interviews, Dokumentenanalysen und die Zusammenarbeit mit Fachabteilungen. Die Ergebnisse fliessen in eine Risikomatrix ein, mit der Risiken priorisiert und behandelt werden können.

Referenzen

  • ISO 31000: Risk management – Guidelines
  • ISO/IEC 27005: Information security risk management

Anwendungsbeispiel

Ausgangslage

Ein Unternehmen erkennt im Rahmen der Informationssicherheitsstrategie, dass es mehrere Schwachstellen in der Netzwerkstruktur und unzureichende Sicherheitsrichtlinien für Mitarbeitende gibt. Im Rahmen des Risikomanagementprozesses werden Bedrohungen wie unbefugter Zugriff, Datenverlust und Systemausfall identifiziert. Diese Risiken werden bewertet und in einer Risikomatrix eingeordnet. Anschliessend werden Massnahmen wie Schulungen, Systemhärtung und bessere Zugangskontrollen umgesetzt.

Resultat

Durch die strukturierte Anwendung des Risikomanagements konnte das Unternehmen seine Sicherheitslage deutlich verbessern, indem es zielgerichtete Massnahmen zur Reduktion einleitet (Controls). Die Wahrscheinlichkeit schwerwiegender Sicherheitsvorfälle wurde reduziert, Mitarbeitende sind sensibilisiert und technische Schwachstellen wurden behoben. Die kontinuierliche Überwachung stellt sicher, dass neue Risiken frühzeitig erkannt und behandelt werden können.

Diese Methode wurde aufbereitet von

Sandra Thurnheer

Geschäftsführerin und Leitende Auditorin & Beraterin

Sandra Thurnheer

www.malean.org
Tel. +41 76 321 39 40

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren und die Zugriffe auf unsere Website zu analysieren.Mehr erfahren