Nur wer Risiken kennt, kann auch handeln

Eine gute GRC-Strategie ist bei der Krisenbewältigung unabdingbar

19.07.2011 | Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Nur wer um IT-Risiken weiß, kann schnell auf entsprechende Sicherheitsvorfälle reagieren.
Nur wer um IT-Risiken weiß, kann schnell auf entsprechende Sicherheitsvorfälle reagieren.

Die Bedrohung durch Hacker war, so hat es den Anschein, noch nie so groß wie heute. Der Angriff auf RSA und die darauf folgenden Attacken auf Firmen wie Lockheed Martin, der Sony-Fall und andere sind erst gerade durch die Presse gegangen. Die Frage ist: Was tun? Der wichtigste Schritt ist, die Risiken zu kennen und sich darauf vorzubereiten, dass man handeln muss.

Bei vielen Unternehmen findet sich heute immer noch eine Art Vogel-Strauß-Politik, wenn es um Sicherheitsrisiken in der IT geht. Man versucht, diese zu ignorieren. Oft versucht man auch, ein paar Maßnahmen zu ergreifen, die gerade Standard sind, um sich das Gefühl zu geben, sicher zu sein.

Viele der Vorfälle der letzten Monate machen aber deutlich, dass Unternehmen vielfach unzureichend geschützt sind. Oft merken sie zu spät oder überhaupt nicht, dass Angriffe passieren und dass sie zudem keine Pläne für solche Vorfälle haben. Das bedeutet auch, dass es nicht ausreicht, sich auf die Implementierung einiger gängiger Schutzmechanismen zu konzentrieren.

Der erste Schritt muss immer sein, die Risiken zu verstehen. Das umfasst zwei Bereiche – die möglichen Angriffe und die „Güter“ (Assets) wie Systeme und Informationen, die von diesen Angriffen betroffen sein können. Das Risiko ergibt sich aus der Eintrittswahrscheinlichkeit und dem möglicherweise entstehenden Schaden.

In der Praxis ist dabei zu beobachten, dass Risiken regelmäßig schöngerechnet werden. Sowohl die Eintrittswahrscheinlichkeiten als auch die möglichen Schäden werden häufig zu niedrig bewertet. Hier ist Realismus nötig, weil es weder etwas bringt, sich unrealistische Katastrophenszenarien auszumalen noch ein Sinn darin besteht, sich die Welt schön zu färben.

Die Kenntnis von Risiken ist die Basis, um gezielte Entscheidungen für den Schutz zu treffen. Nur wenn man weiß, wo welche Gefährdungen bestehen, kann man auch geeignete Schutzmaßnahmen ergreifen. Und nur wenn man die Risiken bewertet hat, kann man auch darüber entscheiden, welche Investitionen in die Sicherheit angemessen sind.

Seite 2: Es gibt keine absolute Sicherheit

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2052342 / Risk Management)