Risikomanagement ist etwas, das jede Organisation tun muss – aber es gibt eine Vielzahl von Risikobewertungsansätzen, von denen jeder seine eigenen Anwendungen und Vorteile hat.

Was ist der effektivste Weg für Ihre Organisation, um Informationssicherheitsrisiken zu identifizieren und zu reduzieren? Wie werden Sie Wahrscheinlichkeit und Auswirkung schätzen? Welches ist das akzeptable Risikoniveau Ihres Unternehmens?

Dieser Artikel wird Ihnen helfen, alle diese Fragen zu beantworten und eine Risikomanagement-Methodik zu wählen, die Ihre Organisation schützt.

6 gängige Typen von Risikobewertungsmethodiken

Es gibt mehrere beliebte Ansätze für Risikobewertungen, aus denen Organisationen wählen können. Das Verstehen dieser Ansätze kann Ihnen helfen zu entscheiden, welcher am besten für Ihre Bedürfnisse geeignet ist.

Qualitative Risikobewertung

Im Allgemeinen gibt es zwei Ansätze zur Risikobewertung: qualitativ und quantitativ.

Bei einem qualitativen Ansatz gehen Sie verschiedene Szenarien durch und beantworten „Was wäre wenn?“-Fragen, um Risiken zu identifizieren. Eine Risikomatrix wird häufig verwendet, um jedem Risiko eine Wahrscheinlichkeit und eine Auswirkung (z.B. ‚hoch‘, ‚mittel‘ und ‚niedrig‘) zuzuweisen, was eine einfache Priorisierung ermöglicht. Risiken, die sowohl eine hohe Wahrscheinlichkeit als auch eine hohe Auswirkung haben, haben die höchste Priorität, und Risiken, die sowohl eine niedrige Wahrscheinlichkeit als auch eine niedrige Auswirkung haben, haben die niedrigste Priorität.

Quantitative Risikobewertung

Ein quantitativer Ansatz zur Risikobewertung verwendet Daten und Zahlen, um das Risikoniveau zu definieren. Quantitative Risikoanalyse verwendet Daten, um die Wahrscheinlichkeit und die Auswirkungen einzelner Risiken zu messen. Beispielsweise können durch Monte-Carlo-Simulationen potenzielle Kosten oder Zeitverzögerungen vorhergesagt werden. Während dieser Ansatz möglicherweise präziser ist, hängt er auch von genauen und vollständigen Daten ab.

Um den Unterschied mit einem Beispiel zu verdeutlichen: Angenommen, Ihr Geschäft befindet sich in North Dakota. Eine qualitative Risikobewertung würde sagen, dass ein Erdbeben eine niedrige Wahrscheinlichkeit und eine niedrige Auswirkung hat, sodass es wenig Sinn macht, in seismische Server-Racks zu investieren. Eine quantitative Risikobewertung würde geologische Daten verwenden, um zu dem Schluss zu kommen, dass die Wahrscheinlichkeit eines Erdbebens in den nächsten 10 Jahren 2 % beträgt und die geschätzten finanziellen Verluste 5.000 $ betragen.

Unter Verwendung der Formel Risiko = Wahrscheinlichkeit x Auswirkung können Sie dann eine geschätzte Risikobelastung von etwa 100 $ berechnen. Da die erforderlichen seismischen Server-Racks auf 15.000 $ geschätzt werden, liegt das Risiko innerhalb des akzeptierten Rahmens.

Semi-quantitative Risikobewertung

Ein semi-quantitativer Ansatz zur Risikobewertung kombiniert diese beiden Ansätze. Es ordnet einen Parameter quantitativ und den anderen qualitativ zu.

Um das Erdbebenbeispiel fortzusetzen, würde ein semi-quantitativer Ansatz die Wahrscheinlichkeit mit genauen Daten quantifizieren, wie z.B. die geologische Wahrscheinlichkeit eines Erdbebens. Dann würde es eine numerische Auswirkungsbewertung zuweisen, sagen wir eine 8 auf einer Skala von 1-10. Gemäß einer semi-quantitativen Risikobewertung wäre ein Erdbeben von hoher Auswirkung, aber sehr niedriger Wahrscheinlichkeit.

Da die durch semi-quantitative Risikobewertungen bereitgestellten Einblicke begrenzt sind, werden sie am häufigsten verwendet, wenn die Daten, die für eine vollständig quantitative Risikobewertung benötigt werden, entweder unvollständig oder unzuverlässig sind.

Asset-basierte Risikobewertung

Asset-basierte Risikobewertungen konzentrieren sich ausschließlich auf Risiken, die den Vermögenswerten einer Organisation ausgesetzt sind. Dazu können physische Vermögenswerte wie Ausrüstung und Gebäude sowie Unternehmensdaten und geistiges Eigentum gehören.

Für diese Art der Risikobewertung erstellen Organisationen zunächst ein Anlagenregister. Als nächstes helfen Anlagenbesitzer bei der Identifizierung von Risiken, die dann nach Wahrscheinlichkeit und Auswirkung priorisiert werden. Asset-basierte Risikobewertungen werden typischerweise bei der Verfolgung der ISO 27001-Zertifizierung verwendet.

Verwundbarkeitsbasierte Risikobewertung

Dieser Ansatz hilft Organisationen, ihre höchstpriorisierten Risiken zu identifizieren. Risikobasierte Schwachstellenmanagement-Lösungen verwenden typischerweise Schwachstellenscanner-Tools/-Services, künstliche Intelligenz und maschinelles Lernen, um Risiken zu identifizieren, die am wahrscheinlichsten ausgenutzt werden und das höchste potenzielle negative Auswirkungen auf das Geschäft haben. Diese Erkenntnisse helfen Cybersicherheitsteams, sich auf die wichtigsten und dringendsten Risiken zu konzentrieren, denen ihre Organisationen gegenüberstehen.

Bedrohungsbasierte Risikobewertung

Während ein asset-basierter Risikomanagementansatz sich auf die wichtigsten Vermögenswerte einer Organisation konzentriert, untersucht ein bedrohungsbasierter Ansatz die Bedingungen, die Risiken erhöhen und dazu beitragen. Welche Techniken verwenden Bedrohungsakteure und wie können Sie am besten gegen sie schützen?

Ein asset-basierter Ansatz könnte beispielsweise die Risiken schwacher Passwortpraktiken in einer Organisation identifizieren. Das Ergebnis könnte die Implementierung einer Passwortrichtlinie sein, die die Verwendung starker Passwörter oder die Multi-Faktor-Authentifizierung erfordert.

Ein bedrohungsbasierter Ansatz würde sich stattdessen auf Social Engineering Praktiken konzentrieren und auf die Wahrscheinlichkeit, dass Bedrohungsakteure Mitarbeiter gezielt überreden, Passwörter oder andere sensible Informationen weiterzugeben, die ausgenutzt werden können. Das Ergebnis dieser Bewertung könnte häufigeres Mitarbeitertraining zu Phishing-Angriffen und sicheren Passwortpraktiken sein.

Risikomanagement-Methodologien für die Informationssicherheit

Da Risikobewertungen im digitalen Zeitalter für Unternehmen so wichtig sind, haben viele Organisationen definierte Risikomanagement-Rahmenwerke für die Informationssicherheit erstellt. Diese Liste enthält einige der bekanntesten und angesehensten:

NIST RMF

Erstellt vom National Institute of Standards and Technology, bietet das NIST Risk Management Framework (RMF) einen 7-Schritte-Prozess zur Integration von Informationssicherheit und Risikomanagementaktivitäten in den Systementwicklungszyklus:

• Schritt 1: Vorbereitung auf die Verwaltung von Sicherheits- und Datenschutzrisiken
• Schritt 2: Kategorisierung der verarbeiteten, gespeicherten und übertragenen Informationen basierend auf den Auswirkungen
• Schritt 3: Auswahl der NIST SP 800-53 Kontrollen zur Sicherung des Systems
• Schritt 4: Implementierung und Dokumentation von Kontrollen
• Schritt 5: Bewertung der Kontrollleistung
• Schritt 6: Die oberste Führungsebene bewertet das Risiko, um das System zum Betrieb zu autorisieren
• Schritt 7: Fortsetzung der Überwachung von Kontrollen und Risiken für das System

ISO 27005:2018

Entwickelt von der International Organization for Standardization (ISO) zur Unterstützung der ISO/IEC 27001, bieten die ISO/IEC 27005:2018 Richtlinien für das Management von Informationssicherheitsrisiken. Das Dokument unterstützt Organisationen bei der Identifizierung, Analyse, Bewertung, Behandlung und Überwachung spezifischer Informationssicherheitsrisiken.

OCTAVE

OCTAVE steht für Operationally Critical Threat, Asset, and Vulnerability Evaluation. Es definiert eine umfassende Methode zur Identifizierung, Bewertung und Verwaltung von Informationssicherheitsrisiken. OCTAVE umfasst drei Phasen:

• Phase 1: Erstellung von asset-basierten Bedrohungsprofilen
• Phase 2: Identifizierung von Infrastrukturschwachstellen
• Phase 3: Entwicklung einer Sicherheitsstrategie

NIST SP 800-30 Revision 1

Ebenfalls entwickelt vom National Institute of Standards and Technology ist 800-30 Revision 1 ein Leitfaden zur Durchführung von Risikobewertungen. Dieses Dokument ist Teil einer Reihe von Richtlinien zum Risikomanagement und zur Informationssicherheit, die von einer gemeinsamen Task Force mit dem Verteidigungsministerium, der Geheimdienstgemeinschaft und dem Komitee für nationale Sicherheitssysteme entwickelt wurden. Es erweitert die in der speziellen Veröffentlichung 800-30 dargelegten Leitlinien und enthält detaillierte Informationen zu Risikofaktoren wie Bedrohungsquellen und -ereignissen, Schwachstellen, Auswirkungen und Wahrscheinlichkeit des Bedrohungseintritts.

Unabhängig davon, welchen Ansatz oder welche Methodik des Risikomanagements Sie wählen, sollte das Management des Unternehmens eng in den Entscheidungsprozess eingebunden sein. Es wird eine wesentliche Rolle dabei spielen, die grundlegenden Sicherheitskriterien und das akzeptable Risikoniveau Ihrer Organisation zu bestimmen.

Und indem Sie Ihre Risikomanagementmethodik auf Unternehmensebene festlegen, kann jede Abteilung denselben kohärenten Prozess befolgen.

Ein 6-Schritte-Risikobewertungsprozess

Regelmäßige Risikobewertungen durchzuführen, ist ein entscheidender Schritt, um Ihre Organisation vor einem Verstoß zu schützen und die Einhaltung vieler Sicherheitsrahmenwerke zu gewährleisten. Nachfolgend skizzieren wir den Risikomanagementprozess in sechs grundlegenden Schritten.

Schritt 1: Bestimmen Sie das akzeptable Risikoniveau Ihrer Organisation

Risiko ist eine Unvermeidlichkeit für alle Unternehmen. Aber mit größerem Bewusstsein und Verständnis dieser Risiken können Unternehmen Wege identifizieren, um diese entweder zu lösen, zu reduzieren oder zu umgehen, um ihre Ziele zu erreichen. Manchmal kann Risiko sogar in Chancen verwandelt werden – daher ist es wichtig, einen Risikomanagementansatz zu haben, der Risikobewusstsein und strategisches Eingehen von Risiken in Einklang bringt.

Geringes Risiko kann zu Stagnation und mangelnder Innovation führen. Hohes Risiko kann zu unnötigen Verlusten an Zeit und Geld führen. Effektives Risikomanagement findet ein Gleichgewicht, das es Organisationen ermöglicht, ihre Ziele zu erreichen und gleichzeitig potenzielle Verluste zu minimieren.

Die Festlegung der Risikobereitschaft einer Organisation umfasst typischerweise einige wichtige Schritte:

1. Definieren Sie die strategischen Ziele Ihres Unternehmens. Was möchte Ihre Organisation erreichen? Wie viel Risiko sind Sie bereit und fähig einzugehen, um diese Ziele zu erreichen?
2. Für jedes der von Ihnen identifizierten Hauptziele bestimmen Sie das akzeptable Risikoniveau.
3. Kommunizieren Sie Ihre Risikobereitschaft an die Stakeholder des Unternehmens. Führungs- und Managementteams sollten zusammenarbeiten, um über Risikobereitschaft, Minderung, Feedback, und wie dies den täglichen Betrieb beeinflussen wird, zu diskutieren. Das Schreiben einer Erklärung zur Risikobereitschaft kann Ihre Strategie für Führungskräfte, Mitarbeiter und andere wichtige Stakeholder klären und ermöglicht fundiertere Risikoentscheidungen im gesamten Unternehmen.

Risktoleranz und Risikobereitschaft werden häufig synonym verwendet, sind jedoch nicht dasselbe.

Risikobereitschaft ist, wie viel Risiko Ihr Unternehmen vor der Behandlung bereit ist zu akzeptieren. Die Risikobereitschaft variiert stark je nach Faktoren wie der Branche Ihres Unternehmens, finanzieller Situation, Wettbewerbsumfeld und Unternehmenskultur. Wie sieht die Kosten-Nutzen-Analyse jedes Risikos aus? Wenn Sie mehr Ressourcen haben, sind Sie möglicherweise bereit, ein größeres Risiko einzugehen, um ein schnelleres Innovationstempo zu fördern, zum Beispiel.

Das Risikotoleranzniveau gibt an, wie viel Restrisiko Sie nach der Behandlung bereit sind zu akzeptieren. Nehmen wir an, Sie identifizieren ein Risiko, das eine Wahrscheinlichkeit von 40 % hat zu auftreten, was außerhalb Ihres Risikobereitschaftsrahmens liegt. Nach der Behandlung des Risikos bringen Sie die Wahrscheinlichkeit des Eintretens auf 10 % herunter. Ist ein Restrisiko von 10 % für Ihr Unternehmen akzeptabel?

Schritt 2: Auswahl einer Risikobewertungsmethode

Stellen Sie sich folgende Fragen:

• Was erhoffen Sie sich von der Bewertung? Eine quantitative Risikobewertung kann datengesteuerte Erkenntnisse liefern, während eine qualitative Bewertung oft mehr Effizienz bietet.
• Was ist der Umfang der Bewertung? Entscheiden Sie, ob die Risikobewertung in Ihrem gesamten Unternehmen oder nur in einer einzelnen Abteilung oder einem einzelnen Team durchgeführt wird.
• Welche Compliance-Vorschriften oder regulatorischen Anforderungen müssen Sie einhalten? Einige Informationssicherheitsstandards wie ISO 27001, SOC 2, PCI und HIPAA können spezifische Risikobewertungsverfahren erfordern, die Sie einhalten müssen.
• Welche Kosten- oder Zeitbeschränkungen müssen Sie berücksichtigen? Ein beschleunigter Zeitplan kann eine qualitative Bewertung gegenüber einer quantitativen erfordern. Unternehmen, denen die interne Fachkenntnis zur Durchführung einer Risikobewertung fehlt, müssen möglicherweise einen Drittanbieter beauftragen.

Schritt 3: Risikoidentifikation

Sicherheitsrisiken ändern sich ständig, mit neuen Bedrohungen, die scheinbar jeden Tag auftreten. Der einzige Weg, Risiken zu bewältigen, besteht darin, zuerst zu identifizieren, dass sie existieren.

Beginnen Sie mit einer Liste von Informationswerten und identifizieren Sie dann Risiken und Schwachstellen, die die Vertraulichkeit, Integrität und Verfügbarkeit der Daten für jeden einzelnen beeinträchtigen könnten. Sie müssen Ihre Hardware (einschließlich mobiler Geräte), Software, Informationsdatenbanken und geistiges Eigentum berücksichtigen.

• Schwachstellen sind Mängel im Zustand Ihres Umfelds, die ausgenutzt werden könnten.
• Bedrohungen sind das Potenzial, dass jemand oder etwas eine Schwachstelle ausnutzt.
• Risiken sind eine Messung der Wahrscheinlichkeit, dass eine bestimmte Bedrohung eine bestimmte Schwachstelle ausnutzt, und der Auswirkungen, die sie auf die Kartenumgebungsdaten hat.

Zum Beispiel betrachten wir ein Softwaresystem, das nicht mit einer neuen Version aktualisiert wurde, die eine Cybersicherheits-Schwachstelle beheben sollte. Diese Schwachstelle ist veraltete Software, die Bedrohung ist, dass ein Hacker das System infiltrieren könnte, und das Cybersicherheitsrisiko besteht darin, sicherzustellen, dass Software aktuell ist.

Berücksichtigen Sie diese Kategorien von Bedrohungen und Schwachstellen:

• Digital: Nicht aktualisierte Software mit Sicherheitspatches
• Physisch: Unsachgemäße Entsorgung von Daten
• Intern: Mitarbeiter
• Extern: Hacker
• Umwelt: Naturkatastrophe

Schritt 4: Risikoanalyse

Sobald Sie Risiken identifiziert haben, bestimmen Sie die potenzielle Wahrscheinlichkeit ihres Auftretens und ihre Geschäftsauswirkungen. Denken Sie daran, dass Auswirkungen nicht immer finanzieller Natur sind - sie könnten sich auch auf den Ruf Ihrer Marke und die Kundenbeziehungen, ein rechtliches oder vertragliches Problem oder eine Bedrohung für Ihre Compliance auswirken.

• Risikowahrscheinlichkeit: Überlegen Sie, wie wahrscheinlich es ist, dass eine Bedrohung ein bestimmtes Risiko ausnutzt. Zum Beispiel, wenn Sie im letzten Jahr einen Datenverstoß erlebt haben, wäre die Wahrscheinlichkeit eines weiteren Auftretens hoch, es sei denn, Sie haben die Schwachstelle behoben, die den Verstoß verursacht hat.
• Risikoausmaß: Überlegen Sie, welchen Schaden ein Risiko für Ihr Unternehmen darstellen könnte. Beispielsweise hätten unsachgemäß konfigurierte Firewalls eine hohe Wahrscheinlichkeit, dass unnötiger Datenverkehr in Informationssysteme ein- oder austritt.

Weisen Sie jedem Risiko eine Wahrscheinlichkeits- und einen Auswirkungen-Score zu. Auf einer Skala von 1-10, wie wahrscheinlich ist es, dass das Ereignis eintritt? Wie signifikant wären seine Auswirkungen? Diese Bewertungen helfen Ihnen, Risiken im nächsten Schritt zu priorisieren.

Schritt 5: Risikobehandlung

Kein Unternehmen hat unbegrenzte Ressourcen. Sie müssen entscheiden, welche Risiken Sie Zeit, Geld und Aufwand investieren sollten und welche in Ihren akzeptablen Risikobereich fallen.

Da Sie nun die potenziellen Auswirkungen jedes Risikos analysiert haben, können Sie diese Bewertungen nutzen, um Ihre Risikomanagementbemühungen zu priorisieren. Eine Risikomatrix kann ein hilfreiches Werkzeug sein, um diese Prioritäten zu visualisieren (finden Sie hier eine kostenlose Risikenregister- und Risikomatrixtemplate).

Ein Risikobehandlungsplan dokumentiert, wie Ihr Unternehmen beschlossen hat, auf die im Rahmen Ihrer Sicherheitsrisikobewertung identifizierten Bedrohungen zu reagieren.

Die meisten Risikobewertungsmethoden skizzieren vier mögliche Möglichkeiten, mit Risiken umzugehen:

• Behandeln Sie das Risiko mit Sicherheitskontrollen, die die Wahrscheinlichkeit verringern, dass es auftritt
• Vermeiden Sie das Risiko, indem Sie die Umstände verhindern, unter denen es auftreten könnte
• Übertragen Sie das Risiko an einen Dritten (d. h. outsourcen Sie Sicherheitsmaßnahmen an ein anderes Unternehmen, kaufen Sie eine Versicherung usw.)
• Akzeptieren Sie das Risiko, weil die Kosten der Bearbeitung höher sind als der potenzielle Schaden

Schritt 6: Risikokontrolle und -minderung

Nun ist es an der Zeit, einen Aktionsplan zu erstellen und Ihre Risikominderungsoptionen zu entscheiden. Risikokontrollen können betriebliche Prozesse, Richtlinien und/oder Technologien umfassen, die darauf ausgelegt sind, die Wahrscheinlichkeit und/oder den Einfluss eines Risikos zu verringern.

Beispielsweise kann das Risiko eines versehentlichen Datenverlusts durch regelmäßige Backups von Informationssystemen, die an verschiedenen Orten gespeichert werden, gemindert werden.

Jedes Ihrer identifizierten Risiken sollte einen zugewiesenen Eigentümer haben, der für die Überwachung aller Risikominderungsaufgaben verantwortlich ist, von der Festlegung der Implementierungsfristen bis zur Überwachung der Wirksamkeit der Kontrollen.

Stärken Sie Ihr Unternehmen gegen Bedrohungen mit Secureframe

Unabhängig davon, wie Sie Risiken überwachen und verwalten möchten, handelt es sich um einen fortlaufenden Prozess. Eine All-in-One-GRC-Lösung wie Secureframe kann Ihnen helfen, Sicherheitsmaßnahmen zu bewerten und Schwachstellen zu identifizieren, um ein klares Bild Ihres Risikoprofils und Ihrer Sicherheitslage zu liefern.

Secureframe macht es einfach, robuste Risikomanagementprozesse zu erstellen und aufrechtzuerhalten:

• Überwachen Sie Risiken rund um die Uhr: Kontinuierliche Überwachung in Ihrem Technologiestack bietet vollständige Transparenz in kritische Sicherheits- und Datenschutzprobleme. Verfolgen und aktualisieren Sie die Eintrittswahrscheinlichkeit und die Auswirkungen von Risiken sowie Risikobehandlungspläne.
• Verfolgen Sie Risiken auf einer einzigen Plattform: Pflegen Sie ein aktuelles Risikoregister, während Sie neue Produkte und Dienstleistungen einführen, sich Ihre technische Umgebung ändert oder Ergebnisse aus internen oder externen Audits einfließen lassen.
• Weisen Sie Risiko-Eigentümer zu: Benachrichtigungserinnerungen zur regelmäßigen Überprüfung und Aktualisierung von Risiken gewährleisten Verantwortlichkeit.

Erfahren Sie mehr darüber, wie Secureframe Ihnen helfen kann, eine starke, skalierbare Sicherheitslage aufzubauen, indem Sie noch heute eine Demo vereinbaren.