Suchen

Nur wer Risiken kennt, kann auch handeln

Eine gute GRC-Strategie ist bei der Krisenbewältigung unabdingbar

Seite: 2/2

Firmen zum Thema

Es gibt keine absolute Sicherheit

Nicht jedes Risiko lässt sich ausschließen – vielmehr geht es darum, Risiken zu verringern. Restrisiken werden aber immer bleiben. Absolute Sicherheit existiert nicht; und es gibt immer Situationen, in denen der Aufwand für eine Verringerung des Risikos unangemessen hoch ist.

Viele Unternehmen bleiben aber an diesem Punkt stehen. Das Gefühl, Risiken bewertet zu haben und ein Programm für die Risikominimierung durch Erhöhung der IT-Sicherheit aufgesetzt und vielleicht sogar umgesetzt zu haben, scheint ausreichend zu sein. Dabei steht gar nicht das Projekt im Vordergrund, sondern ein kontinuierlicher Prozess. Zu diesem Prozess gehören zwei weitere wesentliche Schritte.

Der erste ist, Bedrohungsszenarien identifizieren zu können, indem man mit geeigneten Werkzeugen überwacht, was passiert und auf eindeutige Angriffe und ungewöhnliche Verhaltensmuster reagiert. Hier gibt es eine breite Palette von Software-Lösungen beispielsweise im Bereich SIEM (Security Information and Event Management), aber auch Managed Service-Angebote. Das Wissen darüber, dass möglicherweise ein Angriff erfolgt, ist wichtig – um reagieren zu können, aber auch um die Wirksamkeit der Schutzmaßnahmen und in der Konsequenz die Bewertung der Risiken prüfen zu können.

Der zweite wichtige Schritt ist die Schaffung von Aktionsplänen. Denn wenn erst einmal ein Angriff passiert ist, ist es dafür zu spät. Zu einem guten Incident Management gehören Handlungspläne für den Eintritt von Schadensszenarien. Wie soll auf Angriffe reagiert werden? Welche technischen, welche organisatorischen und welche Maßnahmen in der Kommunikation sind zu ergreifen?

An diesem Punkt entstehen die wirklichen Probleme oft erst. Denn in vielen Fällen hätte man den Schaden sehr viel geringer halten können, wenn man auf den Notfall vorbereitet gewesen wäre. Wenn Sony Dienste wochenlang abschalten muss und lange braucht, um über die Probleme zu informieren, ist das ein Beispiel für fehlende vordefinierte Maßnahmen für den Krisenfall. Und Sony steht hier beileibe nicht allein.

Diese Ansätze sollte dabei nicht nur der Bereich IT-Sicherheit umsetzen, sie sollten Teil einer GRC-Strategie (Governance, Risk Management, Compliance) sein. GRC umfasst die Bewertung von Risiken, die Definition von Controls (Steuerungselementen, die Abweichungen erkennen und zu denen auch Maßnahmen zur Behandlung von Abweichungen gehören), Programme für die Minimierung von Risiken und ein strukturiertes Incident Management.

Das ist genau das, was Unternehmen machen müssen. Hier lohnt sich beispielsweise ein Blick auf die von KuppingerCole erstellte GRC Reference Architecture. Denn nur ein strukturierter, offensiver Umgang mit Bedrohungen hilft, die Risiken zu minimieren.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2052342)