Definition Risikoanalyse im IT-Umfeld

Was ist Risikoanalyse in der IT?

| Autor / Redakteur: Tutanch / Peter Schmitz

Die methodischen Verfahren der Risikoanalyse liefern auch im IT-Umfeld quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen.
Die methodischen Verfahren der Risikoanalyse liefern auch im IT-Umfeld quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen. (Bild: Pixabay / CC0)

Die Risikoanalyse verfolgt einen systematischen Ansatz zur Identifikation und Bewertung von Risiken. Im IT-Umfeld befasst sich die Risikoanalyse mit Risiken rund um die IT-Systeme, IT-Anwendungen und Daten. Beispielrisiken sind Daten- oder Funktionsverlust.

Die Risikoanalyse, im Englischen threat and risk assessment, kann in verschiedensten Bereichen zum Einsatz kommen. Sie identifiziert und bewertet die möglichen Risiken in Unternehmen und Organisationen. Im Umfeld der Informationstechnik befasst sie sich mit methodischen und strukturierten Verfahren, um Gefahren und Bedrohungen zu benennen und zu bewerten, denen die informationsverarbeitenden Systeme ausgesetzt sind oder die durch sie verursacht werden.

Im Rahmen der Analyse lassen sich Schwachstellen ausfindig machen, die technischen oder menschlichen Ursprungs sind. Die methodischen Verfahren der Risikoanalyse liefern quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen. In Unternehmen stehen bei der Risikoanalyse die möglichen Kosten und Konsequenzen, die ein Ausfall der IT oder ein Datenverlust verursachen, im Fokus. Ziel ist es, durch die Identifikation der Risiken und ihrer Einordnung Maßnahmen zu entwickeln, die Wahrscheinlichkeit ihres Eintretens zu minimieren und die möglichen Auswirkungen auf das Unternehmen oder die Organisation zu reduzieren. Hierfür werden eigene Risikomanagementprozesse aufgesetzt, für die die Risikoanalyse einen wesentlichen Teil einnimmt und wichtige Ergebnisse liefert.

Die Phasen der Risikoanalyse

Bei der Risikoanalyse werden mehrere Phasen nacheinander durchlaufen. Diese Phasen sind:

  • 1. die Identifikation der Risiken
  • 2. die Beurteilung der Eintrittswahrscheinlichkeiten
  • 3. die Abschätzung der Folgen und konkreten Schäden
  • 4. die Aggregation von Risiken zur Bestimmung des Gesamtumfangs

Nachdem ein Risiko identifiziert ist, wird anschließend die Eintrittswahrscheinlichkeit für das Risiko näher bestimmt. Im nächsten Schritt geht es darum, die möglichen Auswirkungen und Folgen für das Unternehmen oder die Organisation zu ermitteln. Diese Auswirkungen können beispielsweise durch den Verlust der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Daten oder durch Verlust wichtiger Systemfunktionen eintreten. Mögliche Auswirkungen sind die Schädigung des Unternehmensrufs, Imageverlust, Kosten für Reparaturen, rechtliche Auseinandersetzungen, Strafgebühren, Verlust von Marktanteilen, Umsatz- und Gewinneinbrüche, eine demotivierte Belegschaft oder hohe Personalfluktuation.

Das tatsächliche Risiko ergibt sich aus dem Ergebnis der Multiplikation von Eintrittswahrscheinlichkeit und Höhe des Schadens. Als letzte Phase kann sich die Bestimmung des Gesamtumfangs durch die Aggregation von mehreren Risiken anschließen.

Unterschiede zwischen qualitativer und quantitativer Risikobewertung

Bei der Bewertung von Risiken kann grundsätzlich zwischen qualitativer und quantitativer Bewertung unterschieden werden. Die quantitative Risikobewertung nutzt eine numerische Skala zur Klassifikation. Mit Hilfe dieser numerischen Werte kann das tatsächliche Risiko sehr einfach durch die Multiplikation mit der Eintrittswahrscheinlichkeit ermittelt werden. Die qualitative Bewertung versucht eher einen Gesamteindruck über ein bestimmtes Risiko zu gewinnen. Das Verfahren verwendet daher keine numerischen Werte, sondern subjektive Einteilungen wie hoch, mittel oder niedrig.

Die Risikoanalyse und der IT-Grundschutz des BSI

Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sieht keine individuelle Risikoanalyse vor. Zur Umsetzung der Standard-Sicherheit in der IT genügen in der Regel die Maßnahmen für die in den BSI-Standards und IT-Grundschutzkatalogen beschriebenen typischen Risiken von IT-Systemen. Erfordert die IT jedoch einen besonderen Schutz oder sind die Risiken nicht in den Standard-Dokumenten beschrieben, bietet der BSI-Standard 100-3 eine Risikoanalyse auf der Basis von IT-Grundschutz.

Die Risikoanalyse schließt sich in diesem Fall nahtlos der IT-Grundschutzanalyse an und richtet sich an Anwender der Informationstechnik wie Sicherheitsverantwortliche oder Sicherheitsbeauftragte oder an externe Berater und Sicherheitsexperten. In vielen Fällen ist es empfehlenswert, die Risikoanalyse durch externe Experten durchführen zu lassen. In einer Ergänzung zum BSI-Standard 100-3 beschreibt der BSI, wie die elementaren Gefährdungen bei der Risikoanalyse zu verwenden sind. Die Risikoanalyse im Rahmen des IT-Grundschutzes des BSI ist zu verwenden, wenn erhöhte Sicherheitsanforderungen bestehen, Anwendungen oder Systeme betrieben werden, die nicht in den IT-Grundschutzkatalogen behandelt sind oder Szenarien zum Einsatz kommen, die im IT-Grundschutz nicht vorgesehen sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist Bedrohungsanalyse?

Definition Bedrohungsanalyse

Was ist Bedrohungsanalyse?

Die Bedrohungsanalyse ist ein Teilbereich des Risikomanagements und der Risikoanalyse. Mithilfe der Bedrohungsanalyse lassen sich die verschiedenen Bedrohungen für IT-Systeme und IT-Prozesse systematisch erfassen, strukturieren und bewerten. Es handelt sich dabei nicht um einen einmaligen, sondern einen sich wiederholenden Prozess. lesen

Risikomanagement optimiert das ISMS für mehr Sicherheit

Risikobasierte Information Security Management Systeme

Risikomanagement optimiert das ISMS für mehr Sicherheit

Sechs von zehn Unternehmen in Deutschland haben nach eigenen Angaben eine aktuelle IT-Sicherheitsstrategie formuliert dokumentiert und verabschiedet. Viele versäumen allerdings, die einzelnen Maßnahmen risikobasiert abzustufen. Damit verplanen sie Ressourcen an wenig riskanten Stellen, die an Hochrisikoprozessen und an Schnittstellen dringend benötigt werden. Bewährt hat sich ein mit den Gesamtzielen verzahntes Sicherheitskonzept. lesen

Security-Konzepte für Maschinen- und Anlagenbauer

Security-Normenreihe IEC 62443

Security-Konzepte für Maschinen- und Anlagenbauer

Für die Betreiber von Anlagen im Bereich der kritischen Infrastrukturen schreibt das IT-Sicherheitsgesetz ab 2018 die Einführung eines Security-Management-Systems vor. Aufgrund der aktuellen Bedrohungslage sollten jedoch alle Anlagenbetreiber Security-Maßnahmen umsetzen, um eine reibungslose Funktionsweise sicherzustellen und damit wirtschaftlichen Schaden zu vermeiden. lesen

So halten Unternehmen die Compliance mit Cognitive Computing ein

Kommentar von Stefan Welcker, Expert Systems

So halten Unternehmen die Compliance mit Cognitive Computing ein

Der folgende Artikel von Stefan Welcker, Managing Director DACH, Expert System Deutschland, erläutert, warum Automatisierung im digitalen Zeitalter nur mit Cognitive Computing und Künstlicher Intelligenz zuverlässig funktionieren kann. lesen

Risiken und Probleme bei der Datenschutzfolgenabschätzung

Fragen zur Datenschutz-Grundverordnung

Risiken und Probleme bei der Datenschutzfolgenabschätzung

Die Datenschutz-Grundverordnung (DSGVO) fordert generell einen risikobasierten Ansatz bei der Wahl der Schutzmaßnahmen. In bestimmten Fällen muss zudem eine Datenschutzfolgenabschätzung durchgeführt werden. Ohne Vorbereitung werden Unternehmen dazu aber nicht in der Lage sein, ein ganzer Prozess muss geplant und aufgesetzt werden. lesen

Wann ein Cloud-Dienst DSGVO-konform ist

Ratgeber von Uniscon

Wann ein Cloud-Dienst DSGVO-konform ist

Cloud-Anbieter werden mit der Datenschutz-Grundverordnung (DSGVO) weitaus stärker in die Pflicht genommen als bisher. Doch was genau bedeutet das für Sie als Cloud-Nutzer? Woran erkennen Sie, ob ein Dienst oder Anbieter die Anforderungen der DSGVO erfüllt? Und wann gilt ein Cloud-Dienst eigentlich als DSGVO-konform? Unsicon klärt auf. lesen

Das sind die Big Data Risks 2018

Risikoanalyse vor Big-Data-Projekten

Das sind die Big Data Risks 2018

Big Data, Artificial Intelligence (AI) und Internet of Things (IoT) gehören zu den wichtigsten IT-Trends 2018. Wer entsprechende Big-Data-Projekte plant, sollte aber an die Risikoanalyse denken. lesen

Wie funktioniert ein Captcha?

Testsystem zur Bot-Erkennung

Wie funktioniert ein Captcha?

Viele IT-Sicherheitsmaßnahmen werden erst dann entwickelt oder eingesetzt, wenn man auf ein konkretes Problem trifft. Bei Captcha war es genauso. Diese Sicherheitsabfrage wurde entwickelt, um Spam und der nicht erwünschten Nutzung von Webdiensten durch automatisierte Bots einen Riegel vorzuschieben und Mensch klar von Maschine unterscheiden zu können. Aber wie so oft bei neuen Methoden, gibt es unbeabsichtigte Nebeneffekte und Sackgassen. lesen

IT-Abteilungen sind das größte Sicherheitsrisiko

Balabit-Studie unter IT-Experten

IT-Abteilungen sind das größte Sicherheitsrisiko

35 Prozent von mehr als 200 befragten IT-Fachleuten sehen sich selbst als größtes internes Sicherheitsrisiko für Daten und Applikationen im Unternehmen, zeigt eine aktuelle Umfrage von Balabit. Demnach wissen die Experten zwar, welche Informationen, Anwendungen und Systeme im Unternehmensnetz in besonderem Maße schützenswert sind, aber dennoch haben die IT-Abteilungen Probleme, sie wirkungsvoll vor der Unberechenbarkeit des Menschen selbst zu bewahren. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44895097 / Definitionen)