Schwerpunkte Risikobewertung und BIA

Sich mit Risiken auseinanderzusetzen ist nicht gerade das beliebteste Thema für Unternehmen. Aber überlebenswichtig! Eine Risikoanalyse, ohne eine Business Impact Analyse durchzuführen, ist allerdings keine gute Idee. Doch wie können Sie sinnvoll mit diesen beiden Themen umgehen? Wir zeigen es Ihnen!

 


Business Impact Analyse

Nicht die Risiken sind das Problem, sondern der Impact, den diese auf Unternehmen haben können. Um diesen Impact allerdings realistisch abschätzen zu können, braucht es eine Übersicht über Abhängigkeiten im Unternehmen, aber auch darüber hinaus: und zwar bezogen auf Produkte, Lieferketten, Prozesse, Assets und Hardware. Scannen Sie Ihr Unternehmen!

Die Business Impact Analyse (kurz: BIA) hilft Ihnen dabei, die kritischen Faktoren Ihrer Organisation zu ermitteln und zu bewerten.

Die BIA stellt somit den Ausgangspunkt für das Risikomanagement dar und bildet die Grundlage für eine Sicherheitsstrategie, die vor Sicherheitsvorfällen schützt, deren Auswirkungen mindert oder verhindert, die Organisation widerstandsfähiger macht und in Notfällen und Krisen unterstützt.

 

Eine BIA sollte dreiteilig aufgeteilt werden:

  • Strategische BIA
    Analyse der Produkte, Lieferketten und/oder Dienstleistungen des Unternehmens
    Identifikation kritischer Prozesse zur Leistungserbringung. (Welche Kunden und Produkte sichern das Überleben des Unternehmens?)
  • Taktische BIA
    Analyse von Informationsflüssen, relevanter Aktivitäten für die Leistungserbringung und der Dienst-/Lieferleistungen. (Welche Prozesse müssen unbedingt funktionieren? Und was müssen diese Prozesse mindestens leisten, wie lange dürfen diese maximal unterbrochen sein?)
  • Operative oder Ressourcen BIA
    Analyse, der Supporting Resources (oder unterstützende Werte wie z.B. Hardware, Personal, Material, Energie) – (Wie lange dauert es, die richtigen Ressourcen zur richtigen Zeit für die kritischen Prozess bereit zu stellen?)

 


Risikobewertung

Im Mittelpunkt eines Risikomanagements stehen Prozesse/ Tätigkeiten. Diese sog. Primären Werte nutzen sog. Unterstützende Werte (Supporting Resources und Supporting Assets)[1], wie z.B. Hardware, Software, Netzwerke, Personal, Standorte, Leistungszulieferer etc. Diese „greifbaren“ Objekte tragen Verwundbarkeiten, das heißt sie sind empfänglich für z.B. Schadsoftware, brauchen Energie zum Funktionieren, oder können ausfallen. Es geht also darum herauszufinden, wie wahrscheinlich ein Ausfall einer Supporting Resource durch Bedrohungen ist. Risikoanalyse und Business Impact Analyse brauchen also einander. Die Risikobewertung liefert vor allem Kenntnisse darüber, wie durch Maßnahmen die Resourcen und damit die Organisation widerstandsfähiger, also resilienter, werden.

[1] Gemeint sind „Supporting Assets“ (Unterstützende Werte) gem. ISO/IEC 27005, B.1.2

 

Das finden Sie etwas zu kompliziert? Dann gehen Sie erst einmal pragmatisch an das Thema Risikobewertung heran.

 

Starten Sie ganz einfach, indem Sie überlegen in welchen Themenbereichen Risiken auftreten können, z.B.

  • Risiken bei der Zusammenarbeit mit Geschäftspartnern
  • Risiken beim Thema Personal
  • Risiken, die sich aus dem Markt ergeben
  • IT-Risiken

 

Im zweiten Schritt überlegen Sie, welche unterstützenden Werte (Supporting Resource oder Supporting Asset) sich in diesen Bereichen verbergen. Damit sind alle die Ausrüstungsgegenstände gemeint, die zum Beispiel zur Verarbeitung von Informationen dienen und die es zu schützen gilt, z.B.

  • Server, auf dem personenbezogene Daten gespeichert sind

 

Danach überlegen Sie wie dieses Supporting Asset gefährdet ist, also welche Bedrohungen dafür bestehen, z.B.

  • Ungeeignete Zutrittsregelung für den Serverraum: Das heißt jeder kommt an den Server heran und könnte ihn entwenden, Daten abziehen oder manipulieren.

 

Es besteht also das Risiko, dass personenbezogene Daten von unberechtigten Personen entwendet oder manipuliert werden können. Das könnte zu einem Verlust der Vertraulichkeit, Verfügbarkeit und Integrität der Informationen führen.

Auf Basis dieser Überlegungen können Sie jetzt einstufen, welchen Impact (negativen Einfluss) ein solcher Vorfall auf Ihr Unternehmen haben würde. Diese Bewertung sollte die Grundlage für die Ableitung notwendiger Maßnahmen sein! Die Einschätzung der Eintrittswahrscheinlichkeit ist auch ein valides Mittel, sollte aber eher für eine Priorisierung von Maßnahmen genutzt werden und nicht dazu, Risiken wegzudiskutieren.

Gehen Sie an das Thema Risikomanagement mit gesundem Menschenverstand heran und verlieren Sie sich nicht in Theorien und Methoden!

Sie haben Anmerkungen oder Fragen? Kontaktieren Sie uns!

Bitte aktivieren Sie JavaScript in Ihrem Browser, um dieses Formular fertigzustellen.
Vor- und Nachname