Definition Risikoanalyse im IT-Umfeld

Was ist Risikoanalyse in der IT?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Die methodischen Verfahren der Risikoanalyse liefern auch im IT-Umfeld quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen.
Die methodischen Verfahren der Risikoanalyse liefern auch im IT-Umfeld quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen. (Bild: Pixabay / CC0)

Die Risikoanalyse verfolgt einen systematischen Ansatz zur Identifikation und Bewertung von Risiken. Im IT-Umfeld befasst sich die Risikoanalyse mit Risiken rund um die IT-Systeme, IT-Anwendungen und Daten. Beispielrisiken sind Daten- oder Funktionsverlust.

Die Risikoanalyse, im Englischen threat and risk assessment, kann in verschiedensten Bereichen zum Einsatz kommen. Sie identifiziert und bewertet die möglichen Risiken in Unternehmen und Organisationen. Im Umfeld der Informationstechnik befasst sie sich mit methodischen und strukturierten Verfahren, um Gefahren und Bedrohungen zu benennen und zu bewerten, denen die informationsverarbeitenden Systeme ausgesetzt sind oder die durch sie verursacht werden.

Im Rahmen der Analyse lassen sich Schwachstellen ausfindig machen, die technischen oder menschlichen Ursprungs sind. Die methodischen Verfahren der Risikoanalyse liefern quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen. In Unternehmen stehen bei der Risikoanalyse die möglichen Kosten und Konsequenzen, die ein Ausfall der IT oder ein Datenverlust verursachen, im Fokus. Ziel ist es, durch die Identifikation der Risiken und ihrer Einordnung Maßnahmen zu entwickeln, die Wahrscheinlichkeit ihres Eintretens zu minimieren und die möglichen Auswirkungen auf das Unternehmen oder die Organisation zu reduzieren. Hierfür werden eigene Risikomanagementprozesse aufgesetzt, für die die Risikoanalyse einen wesentlichen Teil einnimmt und wichtige Ergebnisse liefert.

Die Phasen der Risikoanalyse

Bei der Risikoanalyse werden mehrere Phasen nacheinander durchlaufen. Diese Phasen sind:

  • 1. die Identifikation der Risiken
  • 2. die Beurteilung der Eintrittswahrscheinlichkeiten
  • 3. die Abschätzung der Folgen und konkreten Schäden
  • 4. die Aggregation von Risiken zur Bestimmung des Gesamtumfangs

Nachdem ein Risiko identifiziert ist, wird anschließend die Eintrittswahrscheinlichkeit für das Risiko näher bestimmt. Im nächsten Schritt geht es darum, die möglichen Auswirkungen und Folgen für das Unternehmen oder die Organisation zu ermitteln. Diese Auswirkungen können beispielsweise durch den Verlust der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Daten oder durch Verlust wichtiger Systemfunktionen eintreten. Mögliche Auswirkungen sind die Schädigung des Unternehmensrufs, Imageverlust, Kosten für Reparaturen, rechtliche Auseinandersetzungen, Strafgebühren, Verlust von Marktanteilen, Umsatz- und Gewinneinbrüche, eine demotivierte Belegschaft oder hohe Personalfluktuation.

Das tatsächliche Risiko ergibt sich aus dem Ergebnis der Multiplikation von Eintrittswahrscheinlichkeit und Höhe des Schadens. Als letzte Phase kann sich die Bestimmung des Gesamtumfangs durch die Aggregation von mehreren Risiken anschließen.

Unterschiede zwischen qualitativer und quantitativer Risikobewertung

Bei der Bewertung von Risiken kann grundsätzlich zwischen qualitativer und quantitativer Bewertung unterschieden werden. Die quantitative Risikobewertung nutzt eine numerische Skala zur Klassifikation. Mit Hilfe dieser numerischen Werte kann das tatsächliche Risiko sehr einfach durch die Multiplikation mit der Eintrittswahrscheinlichkeit ermittelt werden. Die qualitative Bewertung versucht eher einen Gesamteindruck über ein bestimmtes Risiko zu gewinnen. Das Verfahren verwendet daher keine numerischen Werte, sondern subjektive Einteilungen wie hoch, mittel oder niedrig.

Die Risikoanalyse und der IT-Grundschutz des BSI

Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sieht keine individuelle Risikoanalyse vor. Zur Umsetzung der Standard-Sicherheit in der IT genügen in der Regel die Maßnahmen für die in den BSI-Standards und IT-Grundschutzkatalogen beschriebenen typischen Risiken von IT-Systemen. Erfordert die IT jedoch einen besonderen Schutz oder sind die Risiken nicht in den Standard-Dokumenten beschrieben, bietet der BSI-Standard 100-3 eine Risikoanalyse auf der Basis von IT-Grundschutz.

Die Risikoanalyse schließt sich in diesem Fall nahtlos der IT-Grundschutzanalyse an und richtet sich an Anwender der Informationstechnik wie Sicherheitsverantwortliche oder Sicherheitsbeauftragte oder an externe Berater und Sicherheitsexperten. In vielen Fällen ist es empfehlenswert, die Risikoanalyse durch externe Experten durchführen zu lassen. In einer Ergänzung zum BSI-Standard 100-3 beschreibt der BSI, wie die elementaren Gefährdungen bei der Risikoanalyse zu verwenden sind. Die Risikoanalyse im Rahmen des IT-Grundschutzes des BSI ist zu verwenden, wenn erhöhte Sicherheitsanforderungen bestehen, Anwendungen oder Systeme betrieben werden, die nicht in den IT-Grundschutzkatalogen behandelt sind oder Szenarien zum Einsatz kommen, die im IT-Grundschutz nicht vorgesehen sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

Risikomanagement in der Gesundheitsbranche

IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

Gerade in Zeiten der Krise ist eine sichere IT in der Gesundheitsbranche unerlässlich. IT-gestützte Technologien und Geräte sichern und unterstützen zum einen lebenserhaltende Funktionen am Patienten und ermöglichen zum anderen eine präzise Diagnostik und damit die Therapie. Ausfälle der IT können im Gesund­heitswesen deswegen schnell schwere Folgen haben. Ein durchdachtes Risikomanagement ist aus diesem Grund angebracht. lesen

So legt man ein Budget für IT-Sicherheit fest

Bauchgefühl oder Risikobewertung

So legt man ein Budget für IT-Sicherheit fest

Die weltweiten Ausgaben für Informations­sicherheits­produkte und -services steigen seit Jahren stetig an. Aber wie legt man das richtige IT-Security-Budget für sein Unternehmen fest? Konzentriert man sich primär auf die unmittelbaren Bedürfnisse der Gegenwart, oder bewertet man mittels Risikoanalyse die relevantesten Bedrohungen und investiert in deren Beseitigung? lesen

So können sich Behörden vor Cyber-Attacken schützen

IT-Sicherheit im öffentlichen Sektor

So können sich Behörden vor Cyber-Attacken schützen

Der öffentliche Sektor ist immer wieder von Cyber-Attacken betroffen. Da ein Angriff auf die IT der öffentlichen Einrichtungen schwere Folgen mit sich bringen kann, zählen diese zu den sogenannten Kritischen Infrastrukturen (KRITIS), für die verschärfte Sicherheitsmaßnahmen gelten. Aus diesem Grund empfehlen Sicherheitsexperten der OTRS AG den Behörden, sich an einen Fünf-Stufen-Plan zu halten. lesen

Erfolgreiches ISMS in 4 Schritten

ISMS unkompliziert

Erfolgreiches ISMS in 4 Schritten

Unternehmen müssen ihre Daten schützen und kommen dabei am Thema Informations­sicherheits­management nicht vorbei. Ein gutes Information Security Management System (ISMS) berücksichtigt immer auch den Faktor Mensch. Mit einer richtigen Strategie ist es aber möglich, ein ISMS ohne Reibungsverluste in bereits bestehende Abläufe zu integrieren und eine Kultur zu schaffen, die die Sicherheit der Informationen priorisiert. lesen

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Einführung eines Informations­sicherheits­management­systems

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Keine Organisation kann es sich heute noch leisten, den Schutz ihrer digitalen Werte und der IT-Infrastruktur zu vernachlässigen. Aber: Ein Informations­sicherheits­management­system (ISMS) zu implementieren, ist aufwändig. Unternehmen können aber mit dem nötigen Know-how bei der Einführung eines ISMS Zeit, Kosten und Nerven sparen. lesen

Was ist der BSI-Standard 200-3?

Definition IT-Grundschutz BSI-Standard 200-3

Was ist der BSI-Standard 200-3?

Der BSI-Standard 200-3 ist neben den Standards 200-1 und 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Inhalt des Standards sind Vorgehens­weisen zur Durchführung von Risikoanalysen zur Sicherstellung des IT-Grundschutzes. Der Standard stellt sämtliche risikobezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes gebündelt dar. Im Jahr 2017 löste der Standard 200-3 den vorherigen Standard 100-3 ab. lesen

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Mehr Sicherheit für OT und IIoT

Honeywell Forge Cybersecurity Platform

Mehr Sicherheit für OT und IIoT

Die neue Honeywell Forge Cybersecurity Platform soll künftig häufige Sicherheits­probleme für die Operational Technology (OT) und das Industrial Internet of Things (IIoT) beheben. So sollen Kundenstandorte besser vor Cyberbedrohungen und steigenden Sicherheitskosten im gesamten Unternehmen geschützt werden. lesen

Neue und fast vergessene Löcher in der Wolke

Cloud-Schwachstellen aufdecken

Neue und fast vergessene Löcher in der Wolke

Cloud-Sicherheit beginnt mit Sichtbarkeit. Die notwendige Transparenz betrifft die genauen Verantwortlichkeiten und genutzten Cloud-Dienste, aber auch die Fülle der vorhandenen Schwachstellen, die es abzusichern gilt. Ein neuer Blick auf Cloud-Schwachstellen ist deshalb entscheidend für den Erfolg der Cloud-Security und des Cloud Computing insgesamt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44895097 / Definitionen)