Kernelemente einer systematischen IT-Gefahrenanalyse

Das Fundament für ein effektives Risikomanagement

| Redakteur: Stephan Augsten

Risikomanagement: Ein gut vorbereitetes Unternehmen hat immer einen Rettungsring zur Hand.
Risikomanagement: Ein gut vorbereitetes Unternehmen hat immer einen Rettungsring zur Hand. (Bild: Andrea Danti - Fotolia.com)

IT-Risikoanalysen werden nach Ansicht der Mikado AG oft nur punktuell oder ohne System durchgeführt. Dabei zählen sie eigentlich zum Pflichtprogramm eines jeden Unternehmens. Robert Hellwig, IT-Security-Analyst des Beratungshauses, hat die wichtigsten Kernelemente einer systematischen Risikoanalyse zusammengestellt

Das Wissen um das IT-Gefährdungspotenzial bildet die Grundlage für ein bedarfsgerechtes Risikomanagement. Allzu oft werden die möglichen Bedrohungen für die Informationstechnik aber nicht kontinuierlich. Robert Hellwig von der Mikado AG hat sich deshalb die Mühe gemacht, die elementaren Aufgaben einer Gefahrenanalyse zusammenzufassen.

Kenntnis der rechtlichen Anforderungen

Die rechtlichen Bedingungen im Zusammenhang mit der IT sind heutzutage sehr vielfältig. Sie reichen vom Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) über das Bundesdatenschutzgesetz und die EU-Richtlinien zu den Datenschutzbedingungen bis zu Sarbanes-Oxley Act (SOX) und Basel III.

Hinzu kommen branchenspezifische oder standesrechtliche Regelungen, die es zu beachten gilt. Auch Fragen der Vertragsregelungen wie etwa Vertraulichkeitsvereinbarungen mit Mitarbeitern oder Regelungen für den Datenschutz beim Outsourcing gehören dazu.

Kritikalitätsstufen der Unternehmensprozesse bewerten

Nicht alle internen Abläufe erzeugen bei einem Ausfall ein hohes wirtschaftliches Sicherheitsrisiko, manche können bei gravierenden Störungen jedoch zu weitreichenden Konsequenzen führen. Dazu zählen beispielsweise viele marktnahe Prozesse, die bei einem Ausfall erhebliche Umsatzeinbußen oder Imageschäden bewirken können.

Deshalb gilt es, sie nach Risikostufen wie „gering“, „mittel“ und „hochkritisch“ einzuordnen. Auf Basis dieser Kategorisierung sollten sowohl die Risikovorsorge als auch die Maßnahmen für das Business Continuity Management in Problemfällen geplant werden.

Daten nach ihren Informationswerten kategorisieren

In ähnlicher Weise wie die Kritikalitätsbewertung der Prozesse ist auch eine Analyse der Daten vorzunehmen. Ihr jeweiliger Informationswert und Verfügbarkeitsbedarf kann in einem Fall sehr elementar für das Unternehmen sein, in anderen Fällen sind die Folgen eines Datenverlustes relativ gering.

Beispielsweise haben die Konstruktionspläne eines Produktherstellers einen hohen Informationswert, weil sie vermarktungsstarke Innovationen in sich bergen. Dagegen sind Informationen aus dem operativen Alltag einer Organisation häufig deutlich weniger sicherheitsrelevant.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42827978 / Risk Management)