Definition Risikomanagement in der IT

Was ist Risikomanagement?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.
Risikomanagement in der Informationstechnologie hilft Unternehmen dabei, Risiken für den Betriensablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen. (Bild: Pixabay / CC0)

Das Risikomanagement in der Informationstechnologie erkennt, analysiert, bewertet und überwacht die verschiedenen IT-Risiken. Es begleitet den gesamten System-Lebenszyklus der IT und stellt Gegenmaßnahmen oder Notfallpläne für verschiedene Szenarien bereit.

In vielen Unternehmen bilden die IT-Systeme das Rückgrat und die Grundlage für das Funktionieren der Geschäftsmodelle. Probleme mit IT-Systemen können zu enormen Schäden für das betroffene Unternehmen führen. Dies reicht von Produktionsausfällen über Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens. Zu den möglichen Risiken zählen beispielsweise Hardwareausfälle, Softwarefehler, Datendiebstahl, Datenverlust, Datenmissbrauch oder Spionage.

Da IT-Systeme immer komplexer werden und prinzipiell fehleranfällig sind, ergeben sich zahlreiche Bedrohungsszenarien mit großen Risiken. Um diesen Risiken zu begegnen und mit ihnen umzugehen, kommt das Risikomanagement zum Einsatz. Es umfasst alle Maßnahmen, die möglichen Risiken zu erkennen, zu analysieren, zu bewerten, zu überwachen und sie zu kontrollieren. Das Risikomanagement kommt schon bei der Implementierung der Informationssysteme zur Anwendung und begleitet den kompletten Lebenszyklus aller IT-Komponenten. Dies reicht von der Konzeption über die Entwicklung und Umsetzung bis hin zum Betrieb und der Stilllegung der IT-Systeme.

Cyber Risk Management

eBOOK

Cyber Risk Management

Das Risikomanagement ist eine zentrale Aufgabe für jeden CISO oder IT-Sicherheitsverantwortlichen. Das Cyber Risk Management muss alle Cyber-Bedrohungen für ein Unternehmen erfassen und bewerten, denn das größte Risiko sind nicht erkannte Risiken. weiter...

Ein großes Gefahrenpotential ergibt sich durch das Internet und mögliche Bedrohungen von außen. Durch Hackerangriff können Daten gestohlen, manipuliert oder missbraucht werden. Auch diese Sicherheitsrisiken sind im IT-Risikomanagement zu berücksichtigen. Ziel aller Maßnahmen ist es, die wesentlichen Gefahren für die IT zu minimieren oder beim tatsächlichen Eintreten der Risiken deren Auswirkungen zu begrenzen. Im Optimalfall ist das Unternehmen auf die unterschiedlichen Risiken vorbereitet und hält entsprechende Abwehrmaßnahmen und Notfallpläne bereit.

Allgemeine Vorgehensweise im Risikomanagement

Auch in der IT kommt im Rahmen des Risikomanagements die typische Vorgehensweise des allgemeinen Risikomanagements mit seinen einzelnen Arbeitsschritten zum Einsatz. Im ersten Schritt geht es darum, die verschiedenen Risiken zu identifizieren und zu benennen. Anschließend kann die Analyse und Bewertung der Risiken erfolgen. Die Einzelrisiken werden im Hinblick auf Wahrscheinlichkeit und mögliche Auswirkungen eingeordnet. Hierfür kann eine mehrstufige Matrix verwendet werden, die Eintrittswahrscheinlichkeit und Akzeptanz der Risiken benennt. Mögliche Wahrscheinlichkeiten sind:

  • häufig
  • wahrscheinlich
  • gelegentlich
  • unwahrscheinlich
  • unvorstellbar

Auswirkungen der einzelnen Risiken können sein:

  • katastrophal
  • kritisch
  • akzeptabel
  • unwesentlich

Die Einteilungen können je nach Modell und verwendeter Matrix feiner oder grober sein. Im Rahmen der Klassifizierung der Risiken werden diese unterschiedlichen Auswirkungsklassen wie organisatorisch, rechtlich, technisch, prozessual, wirtschaftlich und weiteren zugeordnet. Die Risikoüberwachung und -beherrschung versucht durch konkrete Maßnahmen, die Eintrittswahrscheinlichkeiten und Gefahren zu reduzieren und eventuelle Folgen leichter beherrschbar zu machen. Hierfür kommen kontinuierliches Monitoring und Reporting in Kombination mit ausführlichen Dokumentationen und Notfallplänen zum Einsatz.

Standards des Risikomanagements

Effizientes Risikomanagement greift auf bewährte Vorgehensweisen und etablierte Standards zurück. Diese schließen die typischen Fehler selbst entwickelter Vorgehensweisen aus und sorgen für die Einhaltung des aktuellen Stands der Technik. Die Standards helfen, die risikobehafteten und sicherheitsrelevanten Prozesse der IT zu verbessern. Sie stellen Methoden zur Verfügung, ein leistungsfähiges Sicherheits- und Risikomanagement zu definieren und zu realisieren. Grundlegende Standards des IT-Sicherheits- und Risikomanagements sind beispielsweise IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT Netzwerksicherheit), ISO/IEC 27005 (Informationssicherheits-Risikomanagement), ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle), ISO/IEC 27001 (Informationssicherheit in Organisationen) und viele weitere.

Cyber-Risiken erkennen, bewerten und abwehren

Neues eBook „Cyber Risk Management“

Cyber-Risiken erkennen, bewerten und abwehren

02.04.19 - Das Cyber Risk Management bildet die Basis für die Cyber Security Strategie eines Unternehmens. Lücken im Cyber Risk Management führen deshalb zu einer unvollständigen Cyber-Sicherheit. Das neue eBook erklärt, was alles zu den Cyber-Risiken gerechnet werden muss, wie die Risiken im Cyber-Raum priorisiert werden können und warum die Cyber-Abwehr mehr als reine Technik umfasst. lesen

Einzelaspekte des IT-Risikomanagements in der Praxis

Wichtige Einzelaspekte des IT-Risikomanagements in der Praxis sind die physische Sicherheit der IT und die Anwendung kryptographischer IT-Sicherheitsverfahren. Viele IT-Risiken ergeben sich durch die mangelnde physische Sicherheit der IT. Um diese Risiken zu vermeiden, ist auf eine geeignete Unterbringung der IT-Komponenten zu achten, die unbefugten physischen Zugriff auf die Systeme unterbindet und Gefahren durch Feuer oder andere externe Einflussfaktoren reduziert. Das IT-Risikomanagement bewertet die Risiken durch mangelnde physische Sicherheit und sorgt bei unvertretbaren Folgen für die Einhaltung der wesentlichen Standards der physischen Sicherheit.

Viele Risiken in der Datenverarbeitung und elektronischen Kommunikation lassen sich mit kryptographisch abgesicherter Kommunikation zwischen Sender und Empfänger reduzieren. Erfolgreiches Risikomanagement schafft die Basis für Verfahren, die die Integrität, Vertraulichkeit und Authentizität der Daten sicherstellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

CxOSA-Engine für die Open-Source-Analyse

Analyse-Lösung für DevOps von Checkmarx

CxOSA-Engine für die Open-Source-Analyse

Checkmarx CxOSA ist eine Software Composition Analysis Engine für Open-Source-Komponenten und sichert den kompletten Software Development Lifecycle ab. DevOps-Umgebungen sollen so von hoher Software-Qualität und Compliance profitieren. lesen

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

9 Schritte zu den richtigen Sicherheitsstrategien

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

In der Cybersicherheit geht es darum, Risiken für kritischen Vermögenswerte eines Unternehmens zu verstehen, zu verwalten, zu kontrollieren und zu minimieren. Das bedeutet, dass sich die für IT-Sicherheit verantwortlichen Teams mit dem Thema Risikomanagement beschäftigen müssen. lesen

Active Directory Management mit dem „Red Forest“

Enhanced Security Administrative Environment

Active Directory Management mit dem „Red Forest“

Fast alle Unternehmen verlassen sich auf das Active Directory als primären Authentifizie­rungs­mechanismus in ihrem Netzwerk. Dadurch ist Active Directory auch das beliebteste Ziel von Angriffen. Ein zusätzliches Maß an Sicherheit soll Microsofts Active Directory Red Forest Design, alias Enhanced Security Administrative Environment (ESAE) bieten. lesen

Erfolgreicher Start der IT-SECURITY Conference 2019

IT-SECURITY Management & Technology Conference 2019

Erfolgreicher Start der IT-SECURITY Conference 2019

Neue Technologien wie künstliche Intelligenz in Verbindung mit Internet-of-Things und 5G lassen eine ganz neue Cybercrime-Dimension entstehen. Wie Unternehmen sich gegen moderne Bedrohungen erfolgreich zur Wehr setzen, zeigen Security-Experten auf der IT-SECURITY Management & Technology Conference 2019 der Vogel IT-Akademie. lesen

Das hat die DSGVO verändert

Ein Jahr Datenschutz-Grundverordnung

Das hat die DSGVO verändert

Vor einem Jahr wurde die DSGVO eingeführt. Was hat sich seitdem verändert, und konnte sie tatsächlich den Datenschutz in der EU verbessern? Hier finden Sie nicht nur die Antworten auf diese Fragen, sondern auch zehn Tipps für eine bessere Compliance. lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Die Paradoxa der Security im Zeitalter der Digitalisierung

Herausforderungen der Digitalisierung

Die Paradoxa der Security im Zeitalter der Digitalisierung

Die digitale Welt zeigt sich widersprüchlich. Einerseits werden mehr Daten preis gegeben denn je, Apps sind unverzichtbar geworden, die Cloud ist nicht mehr wegzudenken – das alles erfordert ein hohes Maß an Offenheit. Andererseits steigt die Gefahr, dass diese Offenheit von den falschen Personen ohne gute Absichten ausgenutzt wird. lesen

IT-Security im Unternehmen verstehen und umsetzen

Buchtipp IT-Security

IT-Security im Unternehmen verstehen und umsetzen

IT-Sicherheit wird in vielen Unternehmen vernachlässigt – obwohl in modernen Produktionsanlagen die Gefahr von Manipulationen enorm hoch ist. Ein neu erschienenes Fachbuch weist auf die Gefahren hin und gibt Mitarbeitern Hilfestellung, wie IT-Sicherheit im eigenen Unternehmen angegangen werden sollte. lesen

Die aktuelle Roadmap der Cloud-Security-Zertifizierung

Standards für Interoperabilität und Datensicherheit

Die aktuelle Roadmap der Cloud-Security-Zertifizierung

Die Frage, wie europäische Cloud Service Provider (CSPs) künftig auf gemeinsame Standards hinsichtlich Datensicherheit usw. verpflichtet und verglichen werden können, wird sukzessive beantwortet. Zwei Arbeitsgruppen haben entsprechende Codes of Conduct (CoC) verabschiedet und auf der „European Cyber Security and Cloud Computing Conference 2018“ in Wien vorgestellt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44751867 / Definitionen)