Im Mittelpunkt eines Risikomanagements stehen Prozesse/ Tätigkeiten. Diese sog. Primären Werte nutzen sog. Unterstützende Werte (Supporting Resources und Supporting Assets)[1], wie z.B. Hardware, Software, Netzwerke, Personal, Standorte, Leistungszulieferer etc. Diese „greifbaren“ Objekte tragen Verwundbarkeiten, das heißt sie sind empfänglich für z.B. Schadsoftware, brauchen Energie zum Funktionieren, oder können ausfallen. Es geht also darum herauszufinden, wie wahrscheinlich ein Ausfall einer Supporting Resource durch Bedrohungen ist. Risikoanalyse und Business Impact Analyse brauchen also einander. Die Risikobewertung liefert vor allem Kenntnisse darüber, wie durch Maßnahmen die Resourcen und damit die Organisation widerstandsfähiger, also resilienter, werden.
[1] Gemeint sind „Supporting Assets“ (Unterstützende Werte) gem. ISO/IEC 27005, B.1.2
Das finden Sie etwas zu kompliziert?
Dann gehen Sie erst einmal pragmatisch an das Thema Risikobewertung heran. Starten Sie ganz einfach, indem Sie überlegen in welchen Themenbereichen Risiken auftreten können, z.B.
- Risiken bei der Zusammenarbeit mit Geschäftspartnern
- Risiken beim Thema Personal
- Risiken, die sich aus dem Markt ergeben
- IT-Risiken
Im zweiten Schritt überlegen Sie, welche unterstützenden Werte (Supporting Resource oder Supporting Asset) sich in diesen Bereichen verbergen. Damit sind alle die Ausrüstungsgegenstände gemeint, die zum Beispiel zur Verarbeitung von Informationen dienen und die es zu schützen gilt, z.B.
- Server, auf dem personenbezogene Daten gespeichert sind
Danach überlegen Sie wie dieses Supporting Asset gefährdet ist, also welche Bedrohungen dafür bestehen, z.B.
- Ungeeignete Zutrittsregelung für den Serverraum: Das heißt jeder kommt an den Server heran und könnte ihn entwenden, Daten abziehen oder manipulieren.
Es besteht also das Risiko, dass personenbezogene Daten von unberechtigten Personen entwendet oder manipuliert werden können. Das könnte zu einem Verlust der Vertraulichkeit, Verfügbarkeit und Integrität der Informationen führen.
Zu guter Letzt können Sie auf Basis dieser Überlegungen jetzt einstufen, welchen Impact (negativen Einfluss) ein solcher Vorfall auf Ihr Unternehmen haben würde. Diese Bewertung sollte die Grundlage für die Ableitung notwendiger Maßnahmen sein! Die Einschätzung der Eintrittswahrscheinlichkeit ist auch ein valides Mittel, sollte aber eher für eine Priorisierung von Maßnahmen genutzt werden und nicht dazu, Risiken wegzudiskutieren.
Gehen Sie an das Thema Risikomanagement mit gesundem Menschenverstand heran und verlieren Sie sich nicht in Theorien und Methoden!