Risikobewertung in der Informationssicherheit

Das Risikomanagement spielt für die Informationssicherheit jedes Unternehmens eine entscheidende Rolle. Ein proaktiver Ansatz zur Identifizierung, Bewertung und Festlegung der Behandlung potenzieller Risiken ermöglicht es Ihnen, Risiken effektiver zu mindern, Ergebnisse besser zu verwalten und die Auswirkungen von Informationssicherheitsvorfällen auf Ihr Unternehmen zu verringern, falls diese auftreten.

Eine gute Risikobewertung und ein gutes Risikomanagement sind für jeden, der die Norm ISO 27001 einhalten möchte, obligatorisch. Die Norm verlangt von Ihrem Unternehmen, dass es Prozesse zur Risikobewertung der Informationssicherheit einführt und aufrechterhält, einschließlich Kriterien für die Risikoakzeptanz und -bewertung, um die Wahrscheinlichkeit und Auswirkung von Risiken zu messen. 

Das Risikomanagement in ISO 27001 richtet sich direkt nach den Informationssicherheitskontrollen des Standards, die zur Behandlung Ihrer identifizierten Risiken implementiert werden können.

Effektive Risikobewertung in ISO 27001

Als Teil der ISO 27001-Konformität sollte Ihr Unternehmen einen Prozess zur Risikobewertung und -behandlung entwickeln. Risikobewertungen sollten regelmäßig durchgeführt werden, um sicherzustellen, dass Sie neue Risiken konsequent identifizieren und angehen. Zudem sollten Risiken für die Dauer ihrer Lebensdauer Risikoeigentümern zugewiesen werden.

Zur Klassifizierung und zum Verständnis von Risiken werden mehrere Schlüsselbegriffe verwendet:

  • Risiko: das Potenzial für Zerstörung, Beschädigung oder Verlust von Daten oder Vermögenswerten
  • Bedrohung: eine Person oder Handlung, die die Wahrscheinlichkeit eines Vorfalls erhöht, z. B. ein Bedrohungsakteur, der Phishing-E-Mails an Mitarbeiter sendet oder eine Schwachstelle ausnutzt
  • Verletzlichkeit: eine Schwachstelle in den Anwendungen, Netzwerken oder der Infrastruktur Ihres Unternehmens, die Ihre Daten und Vermögenswerte gefährden könnte.

Risiko-Einschätzung

Bevor Sie Risiken identifizieren, sollten Sie durch die Erstellung eines Vermögensregisters bestimmen, welche Informationswerte Ihr Unternehmen schützen muss. Zu den Vermögenswerten gehören:

  • Informationen oder Daten
  • Geistiges Eigentum
  • Physische Standorte und Gebäude
  • Systeme und Techniken
  • Hardware
  • Software.

Bei der Ermittlung der Risiken für diese Vermögenswerte sollten Sie Risiken berücksichtigen, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten (bekannt als CIA) auswirken können, darunter:

  • Alle externen oder internen Probleme (im Einklang mit Klausel 4.1)
  • Die Bedürfnisse und Erwartungen der interessierten Parteien (im Einklang mit Klausel 4.2)
  • Geltende Gesetze, Vorschriften oder vertragliche Anforderungen
  • Der Umfang des Systems (entsprechend Klausel 4.3)
  • Alle zusätzlichen Compliance-Regelungen innerhalb der Organisation, wie zum Beispiel Cyber-Grundlagen.

Risikoanalyse

Bei der Risikoanalyse handelt es sich um den Prozess, jedes Risiko auf Grundlage seiner Eintrittswahrscheinlichkeit und seiner Auswirkung zu bewerten.

Auf der ISMS.online-Plattform können Sie die Wahrscheinlichkeit eines Risikos von sehr gering bis sehr hoch (1-5) und die Auswirkung von keiner bis schwerwiegend (0-5) bewerten. Diese Faktoren bewerten jedes Risiko auf einer Skala von 25, wobei die Auswirkung als wichtiger angesehen wird als die Wahrscheinlichkeit. So können Sie die Behandlung anhand der Risikobewertung priorisieren.

ISO 27001 Risikokarte
Eine ISO 27001 Risikobewertungsmatrix

Beispielsweise könnte Ihre Organisation eine E-Mail, die von einem Mitarbeiter irrtümlich an den falschen Empfänger weitergeleitet wird, als Risiko einstufen. Gemessen an Ihren Kriterien könnten Sie zu dem Schluss kommen, dass die Wahrscheinlichkeit mittel und die Auswirkungen gering sind, da die Möglichkeit besteht, dass kommerzielle Informationen irrtümlicherweise an viele Empfänger anstatt an einen einzigen Empfänger gesendet werden. Dadurch wird das Risiko relativ niedrig bewertet. Der nächste Schritt besteht darin, zu entscheiden, wie mit diesem Risiko umgegangen werden soll.

Risikobehandlung

Der Eigentümer jedes Risikos ist dafür verantwortlich, die geeignete Risikobehandlung zu ermitteln. Er sollte auch Kriterien für die Risikotoleranz berücksichtigen. Die fünf Behandlungsoptionen sind:

  • Beenden – das Risiko vollständig zu beseitigen
  • BEHANDELN – um die Auswirkung oder Wahrscheinlichkeit des Risikos zu verringern
  • Art des – Übertragung oder Teilung des Risikos (z. B. durch Abschluss einer Versicherung)
  • Tolerieren – das Restrisiko zu akzeptieren
  • Eine Kombination – Ergreifen von mehr als einer der oben genannten Maßnahmen.

Die Risikoakzeptanz, auch Risikotoleranz genannt, sollte auf den folgenden Kriterien basieren:

  • Das zu akzeptierende Risiko
  • Art und Umfang der gefährdeten personenbezogenen Daten
  • Gesetzliche, regulatorische oder vertragliche Verpflichtungen
  • Geschäftsziele und Compliance-Anforderungen
  • Alle anderen widersprüchlichen Risiken, die durch die Behandlung des identifizierten Risikos entstehen oder sich ändern können, z. B. Risiken im Zusammenhang mit der Ressourcenausstattung.

Sie können sich entscheiden, das Beispielrisiko zu tolerieren, nachdem Sie den weiteren Kontext berücksichtigt haben. Beispielsweise hat Ihre Organisation möglicherweise umfassendere Kontrollen implementiert, die die Auswirkungen einer versehentlich an den falschen Empfänger weitergeleiteten E-Mail verringern, wie z. B. Anlage A.5.14 Informationsübermittlung und A.6.4 Disziplinarverfahren.

Bei schwerwiegenderen Risiken, wie z. B. einer Verletzung des Schutzes personenbezogener Daten, kann eine Behandlung erforderlich sein. In diesem Beispiel kann der Risikoeigentümer das Risiko behandeln, indem er regelmäßig Schulungen zur Sensibilisierung für Phishing für alle Mitarbeiter durchführt und Tools zur Überwachung von Phishing-Aktivitäten einsetzt. Die Risikostufe gibt auch an, wie oft eine Überprüfung erfolgen sollte – z. B. monatlich, vierteljährlich, halbjährlich oder jährlich.

Risikomanagement mit ISO 27001-Kontrollen

Ihr Risikobewertungsprozess liefert Ihnen einen klaren Satz von Risiken, während Sie im Risikobehandlungsprozess geeignete Risikobehandlungsoptionen auswählen und die Kontrollen bestimmen müssen, die Sie implementieren müssen. ISO 27001:2022 Anhang A bietet einen Satz von 93 Kontrollen in vier Kategorien: organisatorische Kontrollen, physische Kontrollen, Personalkontrollen und technologische Kontrollen.

Zu diesen Kontrollen gehören Prozesse, Richtlinien, Geräte, Praktiken und andere Bedingungen oder Aktionen, die Risiken aufrechterhalten oder verändern, wie z. B. Kennwortrichtlinien, Antivirensoftware und Kryptografie. Ihre Implementierung trägt dazu bei, Risiken zu mindern und die Auswirkungen von Informationssicherheitsvorfällen zu reduzieren. Die Verwendung der in ISO 27001:2022 Anhang A stellt sicher, dass Sie die Risiken für Ihr Unternehmen umfassend angehen.

Zu den wesentlichen Kontrollen in Anhang A der ISO 27001:2022 gehören:

  • A.5.1 Richtlinien zur Informationssicherheit, die erfordert, dass Ihre Organisation über ein Dokument mit einer Informationssicherheitsrichtlinie verfügt, um sich vor Bedrohungen der Informationssicherheit zu schützen
  • A.5.34 Datenschutz und Schutz personenbezogener Daten, eine präventive Kontrolle mit Richtlinien und Verfahren, die Ihrem Unternehmen dabei helfen, seine Anforderungen in Bezug auf die Speicherung, den Datenschutz und die Sicherheit personenbezogener Daten (PII) zu erfüllen.
  • A.6.8 Meldung von Informationssicherheitsereignissen, das darauf abzielt, die rechtzeitige, einheitliche und wirksame Meldung von Informationssicherheitsvorfällen zu erleichtern, die von Mitarbeitern erkannt werden
  • A.7.9 Sicherheit von Vermögenswerten außerhalb des Firmengeländes, das von Organisationen die Einrichtung und Umsetzung von Protokollen und Vorschriften für alle Geräte verlangt, die sich im Besitz des Unternehmens befinden oder im Auftrag des Unternehmens verwendet werden
  • A.8.7 Schutz vor Schadsoftware, das Richtlinien für die Durchführung eines Malware-Schutzes bereitstellt, der kontrollierte Systeme und Kontozugriffe, Änderungsmanagement, Anti-Malware-Software und ein Bewusstsein für die Informationssicherheit in der Organisation umfasst
  • A.8.24 Einsatz von Kryptographie legt sieben Anforderungen fest, die Organisationen beim Einsatz kryptografischer Methoden einhalten müssen.

Die Prozesse zur Risiko- und Kontrollidentifizierung werden innerhalb der ISMS.online-Plattform vereinfacht. Standardmäßig identifiziert die Plattform über 100 gängige Risiken und schlägt relevante Kontrollen vor, die zur Behandlung jedes Risikos angewendet werden können. Dadurch wird Ihr Arbeitsaufwand bei der Risikobewertung und -verwaltung erheblich reduziert.

Die Bedeutung einer kontinuierlichen Risikoüberwachung

Kontinuierliche Überwachung und Überprüfung sind ein wesentlicher Bestandteil des Risikomanagements, da sich die Wahrscheinlichkeit oder Auswirkung eines Risikos im Laufe der Zeit ändern kann, was bedeutet, dass eine neue Behandlungsmethode erforderlich ist. Bei Risiken auf niedrigem Niveau können Sie entscheiden, dass jährliche Überprüfungen ausreichend sind, während Risiken auf mittlerem Niveau möglicherweise alle drei oder sechs Monate und Risiken auf hohem Niveau jeden Monat neu bewertet werden müssen.

Unabhängig davon, welchen Überprüfungszeitraum Sie für ein identifiziertes Risiko als angemessen erachten, müssen Sie unbedingt sicherstellen, dass die Risikoeigentümer ihn einhalten, damit Sie einen aktuellen Überblick über die Risikokartierung Ihres Unternehmens haben. Die ISMS.online-Plattform benachrichtigt Risikoeigentümer automatisch, wenn Ereignisse wie jährliche Risikoüberprüfungen fällig sind, und stellt so sicher, dass Ihr Risikomanagement mit minimalem Aufwand für Ihr Team robust und konsistent ist.

Diese regelmäßigen Überprüfungen können Ihrem Prüfer als Nachweis dafür dienen, dass Ihre Organisation ein robustes Informationssicherheits-Managementsystem (ISMS) unterhält und weiterentwickelt.

Risikomanagement vereinfachen mit ISMS.online

Die ISMS.online-Plattform bietet nicht nur eine vorgefertigte Risikobank mit über 100 gängigen Geschäftsrisiken, sondern auch eine dynamische Risikokarte. Die Karte bietet Ihnen einen aktuellen Überblick über das Risikoprofil Ihres Unternehmens, sodass Sie Ihr Risikomanagement einfacher denn je koordinieren, potenzielle Bedrohungen und Chancen erkennen und die Stakeholder auf dem Laufenden halten können.

Die Plattform verfügt außerdem über eine dynamische Erinnerungsfunktion, die Risikoeigentümer automatisch daran erinnert, wenn es Zeit ist, ein von ihnen verantwortetes Risiko zu überprüfen, unabhängig davon, ob dies monatlich, vierteljährlich, halbjährlich oder jährlich erfolgen muss. Das Risikoverlaufsdiagramm ermöglicht Ihnen die Identifizierung und Nachverfolgung von Risikoquellen und zeigt an, wie sich Ihr Risikoprofil entwickelt hat.

Verwalten Sie Ihr Informationssicherheitsrisiko proaktiv

Für viele Unternehmen stellt die ISO 27001-Zertifizierung einen unbestreitbaren Wettbewerbsvorteil dar: Sie können Kunden und Interessenten nachweisen, dass sie sich für die Sicherheit ihrer Daten einsetzen.

Risikomanagement und Kontrollimplementierung sind wichtige Aspekte der ISO 27001-Zertifizierung und bilden den Kern einer robusten Informationssicherheitslage und eines ISMS. Durch proaktives Risikomanagement können Sie Risiken überwachen, Vorfälle verhindern und die Auswirkungen auftretender Vorfälle verringern. Indem Sie der Risikobewertung als kontinuierlichem Prozess Priorität einräumen, können Sie sicherstellen, dass Ihr Unternehmen immer auf die neuesten Bedrohungen vorbereitet ist.

Die ISMS.online-Plattform bietet einen vereinfachten Ansatz zur Risikobewertung mit einer Risikodatenbank, vorgeschlagenen Kontrollen für jedes Risiko und einer Automatisierung, die Risikoeigentümer daran erinnert, die Risiken zu überprüfen, für die sie verantwortlich sind. Wenn Sie bereit sind, problemlos ISO 27001-Konformität zu erreichen und Zeit bei Ihrem Risikomanagement zu sparen, Buchen Sie Ihre Demo.