:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Risikomanagement in der IT Was ist Risikomanagement?
Das Risikomanagement in der Informationstechnologie erkennt, analysiert, bewertet und überwacht die verschiedenen IT-Risiken. Es begleitet den gesamten System-Lebenszyklus der IT und stellt Gegenmaßnahmen oder Notfallpläne für verschiedene Szenarien bereit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In vielen Unternehmen bilden die IT-Systeme das Rückgrat und die Grundlage für das Funktionieren der Geschäftsmodelle. Probleme mit IT-Systemen können zu enormen Schäden für das betroffene Unternehmen führen. Dies reicht von Produktionsausfällen über Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens. Zu den möglichen Risiken zählen beispielsweise Hardwareausfälle, Softwarefehler, Datendiebstahl, Datenverlust, Datenmissbrauch oder Spionage.
Da IT-Systeme immer komplexer werden und prinzipiell fehleranfällig sind, ergeben sich zahlreiche Bedrohungsszenarien mit großen Risiken. Um diesen Risiken zu begegnen und mit ihnen umzugehen, kommt das Risikomanagement zum Einsatz. Es umfasst alle Maßnahmen, die möglichen Risiken zu erkennen, zu analysieren, zu bewerten, zu überwachen und sie zu kontrollieren. Das Risikomanagement kommt schon bei der Implementierung der Informationssysteme zur Anwendung und begleitet den kompletten Lebenszyklus aller IT-Komponenten. Dies reicht von der Konzeption über die Entwicklung und Umsetzung bis hin zum Betrieb und der Stilllegung der IT-Systeme.
:quality(80):fill(efefef,0)/images.vogel.de/vogelonline/bdb/1540400/1540450/original.jpg "Whitepaper Cover: Vogel IT Medien TM")
Ein großes Gefahrenpotential ergibt sich durch das Internet und mögliche Bedrohungen von außen. Durch Hackerangriff können Daten gestohlen, manipuliert oder missbraucht werden. Auch diese Sicherheitsrisiken sind im IT-Risikomanagement zu berücksichtigen. Ziel aller Maßnahmen ist es, die wesentlichen Gefahren für die IT zu minimieren oder beim tatsächlichen Eintreten der Risiken deren Auswirkungen zu begrenzen. Im Optimalfall ist das Unternehmen auf die unterschiedlichen Risiken vorbereitet und hält entsprechende Abwehrmaßnahmen und Notfallpläne bereit.
Allgemeine Vorgehensweise im Risikomanagement
Auch in der IT kommt im Rahmen des Risikomanagements die typische Vorgehensweise des allgemeinen Risikomanagements mit seinen einzelnen Arbeitsschritten zum Einsatz. Im ersten Schritt geht es darum, die verschiedenen Risiken zu identifizieren und zu benennen. Anschließend kann die Analyse und Bewertung der Risiken erfolgen. Die Einzelrisiken werden im Hinblick auf Wahrscheinlichkeit und mögliche Auswirkungen eingeordnet. Hierfür kann eine mehrstufige Matrix verwendet werden, die Eintrittswahrscheinlichkeit und Akzeptanz der Risiken benennt. Mögliche Wahrscheinlichkeiten sind:
- häufig
- wahrscheinlich
- gelegentlich
- unwahrscheinlich
- unvorstellbar
Auswirkungen der einzelnen Risiken können sein:
- katastrophal
- kritisch
- akzeptabel
- unwesentlich
Die Einteilungen können je nach Modell und verwendeter Matrix feiner oder grober sein. Im Rahmen der Klassifizierung der Risiken werden diese unterschiedlichen Auswirkungsklassen wie organisatorisch, rechtlich, technisch, prozessual, wirtschaftlich und weiteren zugeordnet. Die Risikoüberwachung und -beherrschung versucht durch konkrete Maßnahmen, die Eintrittswahrscheinlichkeiten und Gefahren zu reduzieren und eventuelle Folgen leichter beherrschbar zu machen. Hierfür kommen kontinuierliches Monitoring und Reporting in Kombination mit ausführlichen Dokumentationen und Notfallplänen zum Einsatz.
Standards des Risikomanagements
Effizientes Risikomanagement greift auf bewährte Vorgehensweisen und etablierte Standards zurück. Diese schließen die typischen Fehler selbst entwickelter Vorgehensweisen aus und sorgen für die Einhaltung des aktuellen Stands der Technik. Die Standards helfen, die risikobehafteten und sicherheitsrelevanten Prozesse der IT zu verbessern. Sie stellen Methoden zur Verfügung, ein leistungsfähiges Sicherheits- und Risikomanagement zu definieren und zu realisieren. Grundlegende Standards des IT-Sicherheits- und Risikomanagements sind beispielsweise IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT Netzwerksicherheit), ISO/IEC 27005 (Informationssicherheits-Risikomanagement), ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle), ISO/IEC 27001 (Informationssicherheit in Organisationen) und viele weitere.
:quality(80)/images.vogel.de/vogelonline/bdb/1540400/1540480/original.jpg "Das neue eBook \"Cyber Risk Management\" zeigt, was alles unter dem Begriff eines Cyber-Risikos zu verstehen ist und wo IT-Sicherheitsverantwortliche oft zu kurz denken. (Olivier Le Moal - adobe.stock.com)")
Neues eBook „Cyber Risk Management“
Cyber-Risiken erkennen, bewerten und abwehren
Einzelaspekte des IT-Risikomanagements in der Praxis
Wichtige Einzelaspekte des IT-Risikomanagements in der Praxis sind die physische Sicherheit der IT und die Anwendung kryptographischer IT-Sicherheitsverfahren. Viele IT-Risiken ergeben sich durch die mangelnde physische Sicherheit der IT. Um diese Risiken zu vermeiden, ist auf eine geeignete Unterbringung der IT-Komponenten zu achten, die unbefugten physischen Zugriff auf die Systeme unterbindet und Gefahren durch Feuer oder andere externe Einflussfaktoren reduziert. Das IT-Risikomanagement bewertet die Risiken durch mangelnde physische Sicherheit und sorgt bei unvertretbaren Folgen für die Einhaltung der wesentlichen Standards der physischen Sicherheit.
Viele Risiken in der Datenverarbeitung und elektronischen Kommunikation lassen sich mit kryptographisch abgesicherter Kommunikation zwischen Sender und Empfänger reduzieren. Erfolgreiches Risikomanagement schafft die Basis für Verfahren, die die Integrität, Vertraulichkeit und Authentizität der Daten sicherstellt.
(ID:44751867)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930813/original.jpg "Die ISO (International Organization for Standardization) ist eine Organisation für die Entwicklung weltweiter Standardnormen. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941618/original.jpg "Unter einem Sicherheitsvorfall oder Security Incident versteht man ein die Informationssicherheit beeinträchtigendes Ereignis. (gemeinfrei)")