Suchen

Nur wer Risiken kennt, kann auch handeln Eine gute GRC-Strategie ist bei der Krisenbewältigung unabdingbar

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Die Bedrohung durch Hacker war, so hat es den Anschein, noch nie so groß wie heute. Der Angriff auf RSA und die darauf folgenden Attacken auf Firmen wie Lockheed Martin, der Sony-Fall und andere sind erst gerade durch die Presse gegangen. Die Frage ist: Was tun? Der wichtigste Schritt ist, die Risiken zu kennen und sich darauf vorzubereiten, dass man handeln muss.

Firmen zum Thema

Nur wer um IT-Risiken weiß, kann schnell auf entsprechende Sicherheitsvorfälle reagieren.
Nur wer um IT-Risiken weiß, kann schnell auf entsprechende Sicherheitsvorfälle reagieren.
( Archiv: Vogel Business Media )

Bei vielen Unternehmen findet sich heute immer noch eine Art Vogel-Strauß-Politik, wenn es um Sicherheitsrisiken in der IT geht. Man versucht, diese zu ignorieren. Oft versucht man auch, ein paar Maßnahmen zu ergreifen, die gerade Standard sind, um sich das Gefühl zu geben, sicher zu sein.

Viele der Vorfälle der letzten Monate machen aber deutlich, dass Unternehmen vielfach unzureichend geschützt sind. Oft merken sie zu spät oder überhaupt nicht, dass Angriffe passieren und dass sie zudem keine Pläne für solche Vorfälle haben. Das bedeutet auch, dass es nicht ausreicht, sich auf die Implementierung einiger gängiger Schutzmechanismen zu konzentrieren.

Der erste Schritt muss immer sein, die Risiken zu verstehen. Das umfasst zwei Bereiche – die möglichen Angriffe und die „Güter“ (Assets) wie Systeme und Informationen, die von diesen Angriffen betroffen sein können. Das Risiko ergibt sich aus der Eintrittswahrscheinlichkeit und dem möglicherweise entstehenden Schaden.

In der Praxis ist dabei zu beobachten, dass Risiken regelmäßig schöngerechnet werden. Sowohl die Eintrittswahrscheinlichkeiten als auch die möglichen Schäden werden häufig zu niedrig bewertet. Hier ist Realismus nötig, weil es weder etwas bringt, sich unrealistische Katastrophenszenarien auszumalen noch ein Sinn darin besteht, sich die Welt schön zu färben.

Die Kenntnis von Risiken ist die Basis, um gezielte Entscheidungen für den Schutz zu treffen. Nur wenn man weiß, wo welche Gefährdungen bestehen, kann man auch geeignete Schutzmaßnahmen ergreifen. Und nur wenn man die Risiken bewertet hat, kann man auch darüber entscheiden, welche Investitionen in die Sicherheit angemessen sind.

Seite 2: Es gibt keine absolute Sicherheit

(ID:2052342)