IT-Security: Risikobewertung für kleine und mittelständische Unternehmen (KMUs)

Es sind nur fünf Schritte nötig, um Security-Risiken und Bedrohungen für eine Firma zu bewerten. Hier finden Sie eine Schritt-für-Schritt-Anleitung.

Kleine und mittelständische Unternehmen (KMUs) sind bei der Informationssicherheit ähnlichen Risiken ausgesetzt wie Großunternehmen. Mehrere Angriffe in der Vergangenheiten zeigen, dass auch Mittelständler Opfer von gezielten Angriffen werden können. Aus diesem Grund sollten Organisationen jeglicher Größe ein Verfahren zur Beurteilung von Security-Risiken einsetzen, um Schwachstellen identifizieren, kategorisieren und minimieren zu können.

Es gibt eine Vielzahl Bücher, Anleitungen und Methoden, die die notwendigen Schritte erklären. Auf diese Weise können Unternehmen sicherstellen, dass sie für die Informationssicherheit einen soliden Risiko-Management-Plan haben. Zusätzlich zu diesem Material gibt es viele Unternehmen, die Ihnen bereitwillig bei der Risikobewertung helfen. 

Auf diese Weise können Sie potenzielle Risiken und Gefährdungen abschätzen und in einigen Fällen auch reduzieren. Das Problem der meisten kleinen und mittelständischen Unternehmen ist jedoch, dass sie nicht genügend Zeit, Ressourcen und Geld haben. Sie werden daher keinen Berater engagieren, der eine Risikobewertung und einen Risiko-Management-Plan erarbeitet.

Wie können kleine und mittelständische Unternehmen also ihre eigenen Risiko-Management-Pläne erstellen? Meine Empfehlung ist es, den unten aufgeführten Schritten zu folgen. Dadurch bekommen Sie ein Verständnis dafür, wo ihre IT-Ressourcen Schwachstellen aufweisen. Im Anschluss entwickeln Sie einen Plan, um Lücken zu schließen.

1. Beurteilen Sie den Umfang der Informationen und Infrastruktur

Im ersten Schritt identifizieren Sie den Umfang der Informationssysteme sowie die Hard- und Softwareressourcen und die gespeicherten Daten. Im Hinblick auf die Infrastruktur ist es wichtig, sich auf die essenziellen Bereiche zu konzentrieren. Dazu gehören unter anderem Finanzabteilung, Customer Relationship Management (CRM), Human Resources, Rechtsabteilung und Wissensdatenbank. Schenken Sie vor allem gefährdeten Daten erhöhte Aufmerksamkeit. Das sind zum Beispiel Daten zur Identifizierung von Personen, Personaldaten und geistiges Eigentum.

2. Erfassen Sie Bedrohungen und Schwachstellen

Überprüfen Sie Bedrohungen, die für Ihre Firma relevant sind. Diese können aufgrund Ihrer geographischen Lage und Ihrer Branche variieren. Eine Bedrohung durch spezifische Gefahrenquellen kann dazu führen, dass Schwachstellen ausgenutzt werden. 

Listen Sie Hardware- und Softwareschwachstellen auf, die es in Ihrer IT-Umgebung gibt. Beachten Sie sowohl beabsichtigte als auch unbeabsichtigte Schwachstellen. Eine unbeabsichtigte Bedrohung kann zum Beispiel durch eine falsche Dateneingabe entstehen. Eine bekannte Schwachstellen kann ein gezielter Angriff über das Netzwerk oder ein Malware-Upload sein. Das Ergebnis dieses Schritts ist im Idealfall eine Liste von Bedrohungen zusammen mit erkannten Schwachstellen.

3. Schätzen Sie Auswirkungen ab

In diesem Schritt prognostizieren Sie negative Auswirkungen, die sich ergeben, wenn alle potenziellen Bedrohungen tatsächlich eintreten würden. Die negativen Auswirkungen eines Security-Ereignisses können die folgenden drei Ziele beeinträchtigen:

  1. Integrität
  2. Verfügbarkeit
  3. Vertraulichkeit

Klassifizieren Sie das Ausmaß der Auswirkungen mit diesen Zielen vor Augen. Eine Möglichkeit dafür ist die Einteilung in große, mittlere oder geringe Einflussfaktoren. Eine hohe Einstufung wirkt sich unmittelbar auf Kerngeschäftsbereiche aus. Eine niedrige Stufe bedeutet relativ begrenzte Auswirkungen.

4. Bestimmen Sie das Risiko

Bestimmen Sie das Risiko für eine bestimmte Bedrohung bezüglich:

  1. der Wahrscheinlichkeit, mit der eine Gefahrenquelle eine Sicherheitslücke erfolgreich ausnutzen könnte.
  2. dem Ausmaß der Auswirkung, falls eine Gefahrenquelle eine Sicherheitslücke erfolgreich ausnutzen kann.
  3. der Angemessenheit von Sicherheitsmaßnahmen, um die Gefahr zu reduzieren, einzudämmen oder zu beseitigen.

Während dieser Phase sollten Sie eine Risikotabelle erarbeiten. Darin stellen Sie Risiken den Auswirkungen (siehe Einstufung bei Schritt 3) gegenüber. Sie können wieder die Einstufung in große, mittlere und geringe Auswirkungen und Risiken verwenden. Eine einfache Ausgangsbasis ist eine 3x3-Matrix, die Bedrohungen, Auswirkungen und Risiken beschreibt. Ein Beispiel für eine Matrix ist in der folgenden Tabelle dargestellt. Sie umfasst mögliche Gefahren und Auswirkungen sowie deren Bedrohungsklassen. Diese Tabelle ist die Grundlage für die Risikobewertung Ihrer IT-Security:

Bedrohung Auswirkungen Risiko
Das Kundenportal liegt zwei Versionen bei Sicherheits-Patches zurück groß groß
Das interne Abrechnungssystem hat eine bekannte Softwareschwachstelle groß mittel
Der Admin-Server der Firma benötigt ein Software-Update auf eine neuere Version gering gering
Die Zugriffskontrolle für einen Entwicklungsserver wurde innerhalb der letzten 12 Monate nicht aktualisiert groß mittelmäßig

Auch wenn diese Tabelle nicht sehr umfangreich ist, habe ich bisher nur wenige Unternehmen kennengerlernt, die ein vergleichbares Verfahren zur Bewertung der Security erstellt haben, um IT-Risiken und Schwachstellen zu verstehen.

5. Planen Sie Kontrollen

Im letzten Schritt verschaffen Sie sich einen Überblick über möglichen Kontrollen, die bei der Eindämmung oder Beseitigung der identifizierten Risiken helfen. 

Mehr zum Thema Sicherheitsrisiken für Unternehmen:

Von BYOD zu WOYD: Wearables als Sicherheitsrisiko für Unternehmen.

Zehn Fragen für eine erfolgreiche Risikobewertung von Enterprise Mobility.

Ist die Verwendung von TOR ein Security-Risiko für Unternehmen?

Sicherheit: Das Alter von Netzwerk-Geräten in die Risiko-Bewertung einbeziehen.

Sicherheitsrisiko JavaScript: Wie sicher sind E-Mail-Apps für iOS?

Das Ziel der empfohlenen Kontrollen ist es, die Risiken für die IT-Umgebung auf ein akzeptables Niveau zu reduzieren. Diese Kontrollmechanismen können Veränderungen für Mitarbeiter, Regelungen und Verfahren als auch neue Konfigurationen, Ausschreibungen oder die Implementierung neuer Technologien umfassen.

Mit diesen fünf Schritten haben Sie den grundlegenden Prozess für die Bewertung der Risiken für die IT-Security abgeschlossen. Achten Sie darauf, Ihre Ergebnisse mit den wichtigsten Entscheidungsträgern in Ihrer Firma zu teilen. Sie können Ihnen dabei helfen, eine durchdachte Entscheidung zu treffen. 

Auf diese Weise gelingt es, Prioritäten für die Kontrollen zu setzen, die das Risiko auf ein akzeptables Niveau reduzieren. IT-Security-Experten können Lösungen anbieten, um die Risiken zu mindern. Letztlich ist aber eine geschäftliche Entscheidung erforderlich, nicht eine auf Ebene der IT oder der Informations-Security.

Über den Autor:
Robbie Higgins ist Vizepräsident der Security-Abteilung bei GlassHouse Technologies.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close