Schwerpunkte Risikobewertung und BIA
Sich mit Risiken auseinanderzusetzen ist nicht gerade das beliebteste Thema für Unternehmen. Aber überlebenswichtig! Eine Risikoanalyse, ohne eine Business Impact Analyse durchzuführen, ist allerdings keine gute Idee. Doch wie können Sie sinnvoll mit diesen beiden Themen umgehen? Wir zeigen es Ihnen!
Business Impact Analyse
Nicht die Risiken sind das Problem, sondern der Impact, den diese auf Unternehmen haben können. Um diesen Impact allerdings realistisch abschätzen zu können, braucht es eine Übersicht über Abhängigkeiten im Unternehmen, aber auch darüber hinaus: und zwar bezogen auf Produkte, Lieferketten, Prozesse, Assets und Hardware. Scannen Sie Ihr Unternehmen!
Die Business Impact Analyse (kurz: BIA) hilft Ihnen dabei, die kritischen Faktoren Ihrer Organisation zu ermitteln und zu bewerten.
Die BIA stellt somit den Ausgangspunkt für das Risikomanagement dar und bildet die Grundlage für eine Sicherheitsstrategie, die vor Sicherheitsvorfällen schützt, deren Auswirkungen mindert oder verhindert, die Organisation widerstandsfähiger macht und in Notfällen und Krisen unterstützt.
Eine BIA sollte dreiteilig aufgeteilt werden:
- Strategische BIA
Analyse der Produkte, Lieferketten und/oder Dienstleistungen des Unternehmens
Identifikation kritischer Prozesse zur Leistungserbringung. (Welche Kunden und Produkte sichern das Überleben des Unternehmens?) - Taktische BIA
Analyse von Informationsflüssen, relevanter Aktivitäten für die Leistungserbringung und der Dienst-/Lieferleistungen. (Welche Prozesse müssen unbedingt funktionieren? Und was müssen diese Prozesse mindestens leisten, wie lange dürfen diese maximal unterbrochen sein?) - Operative oder Ressourcen BIA
Analyse, der Supporting Resources (oder unterstützende Werte wie z.B. Hardware, Personal, Material, Energie) – (Wie lange dauert es, die richtigen Ressourcen zur richtigen Zeit für die kritischen Prozess bereit zu stellen?)
Risikobewertung
Im Mittelpunkt eines Risikomanagements stehen Prozesse/ Tätigkeiten. Diese sog. Primären Werte nutzen sog. Unterstützende Werte (Supporting Resources und Supporting Assets)[1], wie z.B. Hardware, Software, Netzwerke, Personal, Standorte, Leistungszulieferer etc. Diese „greifbaren“ Objekte tragen Verwundbarkeiten, das heißt sie sind empfänglich für z.B. Schadsoftware, brauchen Energie zum Funktionieren, oder können ausfallen. Es geht also darum herauszufinden, wie wahrscheinlich ein Ausfall einer Supporting Resource durch Bedrohungen ist. Risikoanalyse und Business Impact Analyse brauchen also einander. Die Risikobewertung liefert vor allem Kenntnisse darüber, wie durch Maßnahmen die Resourcen und damit die Organisation widerstandsfähiger, also resilienter, werden.
[1] Gemeint sind „Supporting Assets“ (Unterstützende Werte) gem. ISO/IEC 27005, B.1.2
Das finden Sie etwas zu kompliziert? Dann gehen Sie erst einmal pragmatisch an das Thema Risikobewertung heran.
Starten Sie ganz einfach, indem Sie überlegen in welchen Themenbereichen Risiken auftreten können, z.B.
- Risiken bei der Zusammenarbeit mit Geschäftspartnern
- Risiken beim Thema Personal
- Risiken, die sich aus dem Markt ergeben
- IT-Risiken
Im zweiten Schritt überlegen Sie, welche unterstützenden Werte (Supporting Resource oder Supporting Asset) sich in diesen Bereichen verbergen. Damit sind alle die Ausrüstungsgegenstände gemeint, die zum Beispiel zur Verarbeitung von Informationen dienen und die es zu schützen gilt, z.B.
- Server, auf dem personenbezogene Daten gespeichert sind
Danach überlegen Sie wie dieses Supporting Asset gefährdet ist, also welche Bedrohungen dafür bestehen, z.B.
- Ungeeignete Zutrittsregelung für den Serverraum: Das heißt jeder kommt an den Server heran und könnte ihn entwenden, Daten abziehen oder manipulieren.
Es besteht also das Risiko, dass personenbezogene Daten von unberechtigten Personen entwendet oder manipuliert werden können. Das könnte zu einem Verlust der Vertraulichkeit, Verfügbarkeit und Integrität der Informationen führen.
Auf Basis dieser Überlegungen können Sie jetzt einstufen, welchen Impact (negativen Einfluss) ein solcher Vorfall auf Ihr Unternehmen haben würde. Diese Bewertung sollte die Grundlage für die Ableitung notwendiger Maßnahmen sein! Die Einschätzung der Eintrittswahrscheinlichkeit ist auch ein valides Mittel, sollte aber eher für eine Priorisierung von Maßnahmen genutzt werden und nicht dazu, Risiken wegzudiskutieren.
Gehen Sie an das Thema Risikomanagement mit gesundem Menschenverstand heran und verlieren Sie sich nicht in Theorien und Methoden!