:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security für kleinere Unternehmen Wie hoch ist meine Risikotoleranz?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Risiken lassen sich nicht eliminieren, aber man kann ihre Auswirkungen mit klug gewählten Strategien des Risikomanagements extrem reduzieren. Was müssen insbesondere kleinere Unternehmen beachten, um davon profitieren zu können.
Jedes Unternehmen ist mehreren ständigen Bedrohungen der Datensicherheit ausgesetzt, aber nicht alle Bedrohungen sind gleich. Ein IT-Risikomanagement überwacht, misst, kontrolliert und berichtet über risikobezogene Themen innerhalb der IT-Abteilung. Ist es von Erfolg gekrönt, sorgt es unter anderem für eine hochwertige Datenverfügbarkeit, Vertraulichkeit und Integrität für interne und externe Stakeholder. Das Modell zur Risikobestimmung umfasst im Wesentlichen drei Variablen:
- 1. Bedrohungen: Eine definierte Gefahr wie dedizierte Denial-of-Service (DDoS)-Angriffe oder Phishing-Versuche.
- 2. Schwachstellen: Eine identifizierte Lücke im Sicherheitssystem.
- 3. Konsequenzen: Höhe des Schadens, den das Unternehmen durch die Bedrohung erleidet.
Sobald diese Variablen definiert und beispielsweise auf einer Skala von 1 bis 10 bewertet sind, lässt sich das Risiko bestimmen. Dabei sollten die Bedrohungen basierend auf ihren potenziellen Auswirkungen auf den Geschäftsbetrieb und das Vertrauen der Stakeholder priorisiert werden.
Strategien der Risikominderung etablieren
Ein grundlegender Risikomanagementplan besteht aus vier Schritten: Identifizierung, Bewertung, Kontrolle des Risikos und anschließende Überprüfung dieser Kontrollen. Nach der Kategorisieren der identifizierten Risiken, ist zu bestimmen, welche der Risiken akzeptiert, vermieden, übertragen oder reduziert werden können. Eine Risikobewertung ist entscheidend, um die Risikotoleranz und -strategien zu identifizieren. Dabei ist die Erkenntnis wichtig, dass sich Risiken nie völlig eliminieren lassen.
Quantitative Risikobewertung
Die quantitative Bewertung führt das Bewertungsmodell der Risiken einen Schritt weiter, indem die potenziellen finanziellen Auswirkungen für jedes Bedrohungsszenario berechnet werden. Die Endkosten von Bedrohungen und deren Behebung sind ein nützlicher Ausgangspunkt, um die optimale Risikominderung zu bestimmen. Bei der Festlegung des finanziellen Risikos muss für jedes Risikoszenario die potenziellen finanziellen Kosten für Hardware, Software und Geräte auf der Grundlage ihrer Risikoexposition berechnet werden.
Für die Ermittlung der Risikominderungskosten sind die Kosten für jeden Minderungstyp zu berechnen. Diejenigen Kosten, die mehr kosten als das geplante finanzielle Risiko, können verworfen werden. Die verbleibende Minderungsoption, die den besten Return on Investment (ROI) bietet, ist zu präferieren. Eine quantitative Analyse verwendet harte Daten, um Risikostrategien zu etablieren, aber ihr Fokus auf den finanziellen Kosten berücksichtigt nicht die weiteren entscheidenden Faktoren, die eine qualitative Analyse beinhaltet.
Qualitative Risikobewertung
Anstatt harte Daten zu verwenden, beantwortet eine qualitative Bewertung beispielsweise folgende Fragen: „Welche Auswirkungen hätten Risiken auf die Service-Levels?“ und „was wären die Konsequenzen hinsichtlich der Images einer Firma?" Dieser Ansatz ist natürlich subjektiv, da er Antworten und Perspektiven mehrerer Interessengruppen verwendet, um Ergebnisse zu generieren. Die Bewertung der Auswirkungen auf das Geschäft identifiziert die Risiken mit den größten potenziellen Auswirkungen auf die gesamten Geschäftsprozesse.
Es sucht nach den verschiedenen Effekten, die ein Risiko in einem Unternehmen haben kann, und wie es die Produktivität mehrerer Arbeitsgruppen und Abteilungen beeinträchtigen könnte. Im Hinblick der Auswirkungen auf die Reputation bewertet eine qualitative Risikobewertung die potenziellen externen Auswirkungen auf Endbenutzer und Kunden, einschließlich Kundenzufriedenheitswerten, Kundenabwanderungsraten und Interaktionen in sozialen Medien.
Erfolgreiches IT-Risikomanagement praktizieren
Folgende praktische Tipps sollten bei der Implementierung von Risikomanagementstrategien insbesondere bei kleineren Unternehmen Beachtung finden.
Tipp 1: Kooperation und Kommunikation
Die Folgen nicht adressierter Risiken wirken sich auf das gesamtes Unternehmen aus. Das bedeutet, dass das Risikomanagement zu wichtig ist, um es an eine Person oder Abteilung zu übertragen. Ein effektives Risikomanagement ist ganzheitlich, bezieht mehrere Perspektiven ein und erfordert eine kontinuierliche Kommunikation zwischen den Beteiligten während der Erstbewertung bis zur anschließenden Reduktion.
Tipp 2: Alternative Szenarien betrachten
Die Inklusion mehrerer Standpunkte hilft dabei, ein sogenanntes Gruppendenken zu vermeiden, indem man sich auf eine einzige Bewertung oder Lösung festlegt, ohne alternative Möglichkeiten angemessen zu berücksichtigen. Selbst wenn eine Reaktion auf eine Bedrohung „offensichtlich“ erscheint, sollten zusätzliche Vorschläge und Ideen gesammelt werden, um den Umfang der Bewertung zu erweitern.
Tipp 3: Risikoregister implementieren
Ein Risikoregister identifiziert etwa ein halbes Dutzend der wahrscheinlichsten aktuellen Bedrohungen und die zu ergreifenden Maßnahmen, wenn sie auftreten.
- Bekannte „bekannte Risiken“: Fakten, die über das Risiko bekannt sind.
- Bekannte „unbekannte Risiken“: Fakten, die über das Risiko bekannt sind, aber gerne vergessen oder vernachlässigt werden.
- Unbekannte „unbekannte Risiken“: Fakten, die in Bezug auf das Risiko existieren, von denen die Unternehmen nichts wissen.
- Positive Risiken: Mit dem Risiko verbundene Chancen.
Das Risikoregister ist ein praktisches Instrumentarium, mit dem der User sofort starten kann, wenn eine erwartete Bedrohung auftritt, anstatt jedes Mal von vorn anfangen zu müssen.
Fazit
Risiken, denen das Netzwerk eines Unternehmens und die zugehörigen IT-Ressourcen ausgesetzt sind, lassen sich nicht völlig eliminieren. Darum sollten Risiken bewältigt werden, statt die Betroffenen zu Opfern zu machen. Eine proaktive Risikomanagementstrategie mit Beiträgen mehrerer Interessengruppen mindert potenzielle Bedrohungen für Unternehmen und seine externen Beziehungen. Dies gilt insbesondere auch für kleinere Unternehmen, die von möglichen Bedrohungen nicht ausgenommen sind.
(ID:48596525)
:quality(80)/p7i.vogel.de/wcms/c4/51/c451d1adcc97e448455ecffc566786be/0109609141.jpeg "Die Fehleinschätzung von Risiken über das Bauchgefühl wird durch die Kombination des qualitativen und quantitativen Risikomanagements deutlich reduziert. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/1d/e01dda58daedf2d7ba2ecf1df2c84b14/0113873184.jpeg "Ein effektives Risikomanagement bildet die solide Grundlage für einen optimalen Versicherungsschutz in Unternehmen. (Bild: alphaspirit - stock.adobe.com)")