Definition Risikomanagement in der IT

Was ist Risikomanagement?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.
Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen. (Bild: Pixabay / CC0)

Das Risikomanagement in der Informationstechnologie erkennt, analysiert, bewertet und überwacht die verschiedenen IT-Risiken. Es begleitet den gesamten System-Lebenszyklus der IT und stellt Gegenmaßnahmen oder Notfallpläne für verschiedene Szenarien bereit.

In vielen Unternehmen bilden die IT-Systeme das Rückgrat und die Grundlage für das Funktionieren der Geschäftsmodelle. Probleme mit IT-Systemen können zu enormen Schäden für das betroffene Unternehmen führen. Dies reicht von Produktionsausfällen über Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens. Zu den möglichen Risiken zählen beispielsweise Hardwareausfälle, Softwarefehler, Datendiebstahl, Datenverlust, Datenmissbrauch oder Spionage.

Da IT-Systeme immer komplexer werden und prinzipiell fehleranfällig sind, ergeben sich zahlreiche Bedrohungsszenarien mit großen Risiken. Um diesen Risiken zu begegnen und mit ihnen umzugehen, kommt das Risikomanagement zum Einsatz. Es umfasst alle Maßnahmen, die möglichen Risiken zu erkennen, zu analysieren, zu bewerten, zu überwachen und sie zu kontrollieren. Das Risikomanagement kommt schon bei der Implementierung der Informationssysteme zur Anwendung und begleitet den kompletten Lebenszyklus aller IT-Komponenten. Dies reicht von der Konzeption über die Entwicklung und Umsetzung bis hin zum Betrieb und der Stilllegung der IT-Systeme.

Cyber Risk Management

eBOOK

Cyber Risk Management

Das Risikomanagement ist eine zentrale Aufgabe für jeden CISO oder IT-Sicherheitsverantwortlichen. Das Cyber Risk Management muss alle Cyber-Bedrohungen für ein Unternehmen erfassen und bewerten, denn das größte Risiko sind nicht erkannte Risiken. weiter...

Ein großes Gefahrenpotential ergibt sich durch das Internet und mögliche Bedrohungen von außen. Durch Hackerangriff können Daten gestohlen, manipuliert oder missbraucht werden. Auch diese Sicherheitsrisiken sind im IT-Risikomanagement zu berücksichtigen. Ziel aller Maßnahmen ist es, die wesentlichen Gefahren für die IT zu minimieren oder beim tatsächlichen Eintreten der Risiken deren Auswirkungen zu begrenzen. Im Optimalfall ist das Unternehmen auf die unterschiedlichen Risiken vorbereitet und hält entsprechende Abwehrmaßnahmen und Notfallpläne bereit.

Allgemeine Vorgehensweise im Risikomanagement

Auch in der IT kommt im Rahmen des Risikomanagements die typische Vorgehensweise des allgemeinen Risikomanagements mit seinen einzelnen Arbeitsschritten zum Einsatz. Im ersten Schritt geht es darum, die verschiedenen Risiken zu identifizieren und zu benennen. Anschließend kann die Analyse und Bewertung der Risiken erfolgen. Die Einzelrisiken werden im Hinblick auf Wahrscheinlichkeit und mögliche Auswirkungen eingeordnet. Hierfür kann eine mehrstufige Matrix verwendet werden, die Eintrittswahrscheinlichkeit und Akzeptanz der Risiken benennt. Mögliche Wahrscheinlichkeiten sind:

  • häufig
  • wahrscheinlich
  • gelegentlich
  • unwahrscheinlich
  • unvorstellbar

Auswirkungen der einzelnen Risiken können sein:

  • katastrophal
  • kritisch
  • akzeptabel
  • unwesentlich

Die Einteilungen können je nach Modell und verwendeter Matrix feiner oder grober sein. Im Rahmen der Klassifizierung der Risiken werden diese unterschiedlichen Auswirkungsklassen wie organisatorisch, rechtlich, technisch, prozessual, wirtschaftlich und weiteren zugeordnet. Die Risikoüberwachung und -beherrschung versucht durch konkrete Maßnahmen, die Eintrittswahrscheinlichkeiten und Gefahren zu reduzieren und eventuelle Folgen leichter beherrschbar zu machen. Hierfür kommen kontinuierliches Monitoring und Reporting in Kombination mit ausführlichen Dokumentationen und Notfallplänen zum Einsatz.

Standards des Risikomanagements

Effizientes Risikomanagement greift auf bewährte Vorgehensweisen und etablierte Standards zurück. Diese schließen die typischen Fehler selbst entwickelter Vorgehensweisen aus und sorgen für die Einhaltung des aktuellen Stands der Technik. Die Standards helfen, die risikobehafteten und sicherheitsrelevanten Prozesse der IT zu verbessern. Sie stellen Methoden zur Verfügung, ein leistungsfähiges Sicherheits- und Risikomanagement zu definieren und zu realisieren. Grundlegende Standards des IT-Sicherheits- und Risikomanagements sind beispielsweise IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT Netzwerksicherheit), ISO/IEC 27005 (Informationssicherheits-Risikomanagement), ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle), ISO/IEC 27001 (Informationssicherheit in Organisationen) und viele weitere.

Cyber-Risiken erkennen, bewerten und abwehren

Neues eBook „Cyber Risk Management“

Cyber-Risiken erkennen, bewerten und abwehren

02.04.19 - Das Cyber Risk Management bildet die Basis für die Cyber Security Strategie eines Unternehmens. Lücken im Cyber Risk Management führen deshalb zu einer unvollständigen Cyber-Sicherheit. Das neue eBook erklärt, was alles zu den Cyber-Risiken gerechnet werden muss, wie die Risiken im Cyber-Raum priorisiert werden können und warum die Cyber-Abwehr mehr als reine Technik umfasst. lesen

Einzelaspekte des IT-Risikomanagements in der Praxis

Wichtige Einzelaspekte des IT-Risikomanagements in der Praxis sind die physische Sicherheit der IT und die Anwendung kryptographischer IT-Sicherheitsverfahren. Viele IT-Risiken ergeben sich durch die mangelnde physische Sicherheit der IT. Um diese Risiken zu vermeiden, ist auf eine geeignete Unterbringung der IT-Komponenten zu achten, die unbefugten physischen Zugriff auf die Systeme unterbindet und Gefahren durch Feuer oder andere externe Einflussfaktoren reduziert. Das IT-Risikomanagement bewertet die Risiken durch mangelnde physische Sicherheit und sorgt bei unvertretbaren Folgen für die Einhaltung der wesentlichen Standards der physischen Sicherheit.

Viele Risiken in der Datenverarbeitung und elektronischen Kommunikation lassen sich mit kryptographisch abgesicherter Kommunikation zwischen Sender und Empfänger reduzieren. Erfolgreiches Risikomanagement schafft die Basis für Verfahren, die die Integrität, Vertraulichkeit und Authentizität der Daten sicherstellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Vernetzte Anwendungen vor Cyberattacken schützen

Fachbuch „Cybersicherheit“

Vernetzte Anwendungen vor Cyberattacken schützen

Cyberattacken werden ein immer größeres Problem. Gerade bei vernetzten Anwendungen in der Industrie 4.0 droht Gefahr, wenn sich Kriminelle in Produktionsprozesse hacken, oder ganze Anlagen lahmlegen. Speziell KMUs haben oft keine großen Ressourcen, um sich um solche Gefahren adäquat zu kümmern. Für sie speziell gibt das neue Fachbuch „Cybersicherheit für vernetzte Anwendungen in der Industrie 4.0“ gute Praxistipps und Best Practices. lesen

Aus IT-Risikomanagement wird Chancen-Management

Kernaufgaben für CISOs

Aus IT-Risikomanagement wird Chancen-Management

Die Performance als auch nahtlose Verfügbarkeit von IT-Systemen sind heute ein entscheidender Wettbewerbsfaktor. Gleichzeitig nehmen die weltweiten Hackerangriffe dramatisch zu. Eine der wichtigsten Aufgaben des CISO ist die Erstellung eines ganzheitlichen Risikomanagements, das proaktiv tätig wird und damit Störfälle rechtzeitig verhindert. lesen

Unternehmen müssen die App-Economy absichern

APIs und die IT-Sicherheit

Unternehmen müssen die App-Economy absichern

APIs gewährleisten eine bessere Integration von Anwendungen, fördern Geschäftschancen und erhöhen den Umsatz von Unternehmen. Sie sind deshalb mittlerweile sogar Thema auf Vorstandsebene und nicht mehr nur in Entwickler-Teams. Gleichzeitig muss aber die wachsende Zahl von APIs mit der entsprechenden Security in Einklang gebracht werden um nicht Cyberkriminellen neue Angriffsvektoren zu eröffnen. lesen

Cyber-Risiken werden größer

Deloitte Cyber Security Report 2019

Cyber-Risiken werden größer

Die Sicherheitsbedrohung für Wirtschaft, Gesellschaft und Politik durch Cyberspace-Gefahren steigt von Jahr zu Jahr. Besondere Risiken sieht der aktuelle Deloitte Cyber Security Report vor allem in Bezug auf Fake News, Datenbetrug, -diebstahl und -missbrauch sowie durch Bedrohungen für kritische öffentliche Infrastrukturen und für die Privatsphäre des Einzelnen durch die zunehmende Vernetzung der Haustechnik. lesen

Risikobewusstsein deutscher Unternehmen wächst

Willis Towers Watson Cyber-Studie 2019

Risikobewusstsein deutscher Unternehmen wächst

Für einen Großteil der deutschen Unternehmen hat das Thema Cyber-Risikomanagement deutlich an Bedeutung gewonnen. 86 Prozent finden die Möglichkeit, Cyber-Risiken in eine eigene Versicherungs-Police zu transferieren, interessant. Dabei kennen allerdings nur 36 Prozent den Umfang einer Cyber-Versicherung, und es bestehen nach wie vor Unsicherheiten, was die Abgrenzung zu bestehenden Deckungen angeht. lesen

Verwundbare Netzwerke im Gesundheitswesen

Spotlight-Report 2019 für das Gesundheitswesen

Verwundbare Netzwerke im Gesundheitswesen

Vectra, eigenen Angaben zufolge der Marktführer für die Erkennung und Reaktion auf Cyberangriffe im Netzwerk, hat die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. Der Forschungebericht lässt – laut Vectra – prekäre Sicherheitsrisiken im Gesundheitswesen infolge der Nutzung herkömmlicher Infrastruktur und nicht sachgemäß verwalteter Geräte erkennen. lesen

Absolutes Muss: ein vollständiger Disaster-Recovery-Plan

Präventionsmaßnahmen zur Datensicherheit

Absolutes Muss: ein vollständiger Disaster-Recovery-Plan

Die die Notwendigkeit eines Disaster-Recovery-Plans wird leider nach wie vor von vielen Unternehmen ignoriert. Auch wenn ein zuverlässiges Backup durchaus kein Hexenwerk ist und viele Bedrohungen effektiv mitigiert, beschäftigen sich die Unternehmen lieber mit ihrer strategischen Ausrichtung, anstatt Notfallkonzepte zu etablieren. lesen

Keine Angst vor dem Worst Case

Professionelles Krisenmanagement

Keine Angst vor dem Worst Case

Jedes Unternehmen kann von professionellem Krisenmanagement profitieren, egal welcher Branche oder welchem Industriezweig der Betrieb angehört. Gutes Krisenmanagement schafft Strukturen, die den Verantwortlichen im Notfall den nötigen Raum geben, souverän, schnell und flexibel auf die verschiedensten Krisensituationen zu reagieren. lesen

CxOSA-Engine für die Open-Source-Analyse

Analyse-Lösung für DevOps von Checkmarx

CxOSA-Engine für die Open-Source-Analyse

Checkmarx CxOSA ist eine Software Composition Analysis Engine für Open-Source-Komponenten und sichert den kompletten Software Development Lifecycle ab. DevOps-Umgebungen sollen so von hoher Software-Qualität und Compliance profitieren. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44751867 / Definitionen)