Risiko-Management: Restrisiken in fünf Schritten bewerten und ausschalten
Unternehmen müssen Restrisiken rund um Governance und Compliance bewerten, um gesetzliche Vorschriften einzuhalten. Eine Anleitung in fünf Schritten.
Risiken lassen sich nicht vollständig vermeiden. Unternehmen müssen daher Risiko-Management betreiben, sprich verantwortungsbewusst und vorausschauend mit Unsicherheiten, Gefahren und Risiken umgehen. Ziel ist es, Risiken frühzeitig zu erkennen und strategisch zu steuern. Dazu ist es notwendig, die Risiken in einzelne Klassen einzuteilen und für jede einzelne Risikoklasse spezielle Vorgehensweisen für die Minimierung der Risiken zu definieren.
Das gilt auch für Restrisiken rund um Governance, Risiko und Compliance (GRC). Governance meint die verantwortungsvolle Führung eines Unternehmens nach definierten Richtlinien auch im Hinblick auf die Einhaltung von gesetzlichen und sonstigen Vorgaben (Compliance). GRC-Restrisiken sind Risiken, die übrig bleiben, nachdem Unternehmen Sicherheitsmaßnahmen ergriffen haben, um die Einhaltung von Gesetzen und Vorschriften zu gewährleisten. Wichtig: Es kann sein, dass Unternehmen diese Restrisiken für bestimmte Vorgaben und Regularien akzeptieren können, für andere aber nicht.
Diese Restrisiken können erträglicher werden, wenn sich die Compliance-Anforderungen für die Datenhaltung oder die Methoden des Risiko-Managements ändern. Wenn zum Beispiel Sicherheitskontrollen für die Bewertung von Risiken kostengünstiger werden oder sich technisch weiterentwickeln, können sie potenzielle Risiken minimieren – und die Gefahr durch Bedrohungen sinkt.
Unternehmen sollten daher zunächst die GRC-Anforderungen ermitteln, indem sie die für ihr Geschäftsmodell relevanten Gesetze, Vorschriften und Regularien prüfen. Hier gibt es je nach Dokumententyp unterschiedliche Anforderungen für die Archivierung und Aufbewahrung von Daten.
Unternehmen sollten anschließend folgende Maßnahmen ergreifen, um ihre ursprünglichen Risiken zu minimieren. Erst dann können sie ihre Restrisiken bewerten:
- Identifizieren der Vermögenswerte (Assets), die von Governance, Risiko und Compliance (GRC) betroffen sind. Dazu gehören Software, Hardware und Daten (entsprechend ihrer Sicherheitsstufe).
- Ermitteln von Schwachstellen und Bedrohungen.
- Abschluss der ursprünglichen Risikobewertung.
- Identifizieren der aktuellen Sicherheitsmaßnahmen für die Minimierung von Risiken
- Klassifizieren der Sicherheitsmaßnahmen nach Kategorien wie präventiv, aufdeckend, korrigierend, wiederherstellend (Recovery), abschreckend oder vorschreibend.
- Bewerten der Stärken und Schwächen jeder einzelnen Sicherheitsmaßnahme.
Um die Risikobewertung abzuschließen, sollten Unternehmen Schritte zur Minderung der Risiken einleiten und das entsprechende Ergebnis – einschließlich des Status der möglichen Restrisiken – an die Unternehmensführung melden. Anschließend geht es an die Prüfung und Aktualisierung der Restrisiken.
Beim Umgang mit den Restrisiken sind im Rahmen der Risikobewertung folgende fünf Schritte zu beachten:
Schritt 1: Identifizieren Sie die Restrisiken
Zunächst ist es wichtig, die anfänglichen Risiken zu identifizieren, gleichgültig, ob sie als niedrig, mittel oder hoch bewertet werden. Anschließend folgt die Implementierung der Sicherheitsmaßnahmen.
Sie sollten Restrisiken als „hoch“ bewerten, wenn die Sicherheitskontrollen für die ursprünglichen Risiken eher schwach sind; als „mittel“, wenn die Sicherheitsmaßnahmen den hohen ursprünglichen Risiken angemessen sind oder die entsprechenden Maßnahmen für die niedrigen Anfangsrisiken eher schwach sind. Restrisiken sind als „niedrig“ einzustufen, wenn die Sicherheitsmaßnahmen für die hohen, mittleren oder niedrigen Anfangsrisiken stark sind, oder wenn die Maßnahmen angemessen sind für die als mittel oder niedrig eingeschätzten usprünglichen Risiken.
Schritt 2: Ermitteln Sie die relevanten GRC-Anforderungen
Die Governance, Risk und Compliance (GRC) -Anforderungen eines Unternehmens ergeben sich aus den Regularien und Vorgaben, die für sein Geschäftsmodell relevant sind. Beispiele dafür sind unter anderem das Handelsgesetzbuch (§ 238 HGB und §257 HGB), die Abgabenordnung ($147 AO), das Gesetz über Ordnungswidrigkeiten (OwiG) aber auch das Strafgesetzbuch (StGB). Jede dieser und anderer Regularien stellt eigene Anforderungen an die Aufbewahrung und Archivierung von verschiedenen Dokumententypen. Unternehmen müssen herausfinden, welche spezifischen Anforderungen für ihre Daten gelten.
Schritt 3: Finden Sie die passenden Sicherheitsmaßnahmen und -lösungen
Im nächsten Schritt geht es um die implementierten Sicherheitsmaßnahmen und die damit verbundenen Restrisiken. Folgende Maßnahmen sind möglich:
- Vorbeugende Sicherheitsmaßnahmen sollen die Enthüllung oder die Veränderung von für GRC relevanten Informationen verhindern. Beispiele für präventive Kontrollen sind multimodale biometrische Authentifizierung, Server-Cluster, Verschlüsselung, miteinander verschachtelte Firewalls, um nicht berechtigte Netzwerke zu blockieren sowie Richtlinien, um unbefugte Netzwerkverbindungen zu verhindern.
Mehr zum Thema Risko-Management:
Zehn Fragen für eine erfolgreiche Risikobewertung von Enterprise Mobility.
Ist die Verwendung von TOR ein Security-Risiko für Unternehmen?
Sicherheit: Das Alter von Netzwerk-Geräten in die Risiko-Bewertung einbeziehen.
Disaster Recovery: Risiko und Business Impact Analyse:
Was ist IT-Risiko-Bewertung (Risk Assessment)?
- Aufdeckende Sicherheitsmaßnahmen erkennen unbefugte oder unerwünschte Aktivitäten, nachdem ein sicherheitsrelevantes Ereignis eingetreten ist. Beispiele hierfür sind Intrusion- Detection-Systeme, automatische Log-Überwachung, Systemprüfungen, Virenscanner und die Integritätsprüfung von Dateien.
- Korrigierende Sicherheitsmaßnahmen reagieren auf einen Zwischenfall, reparieren dessen Folgen, verhindern auch künftige Vorfälle und begrenzen den Schaden, der durch einen Angriff entsteht. Beispiele dafür sind Incident-Response-Systeme, Verfahren, um einen Virus aus dem infizierten System zu entfernen, sowie aktualisierte Firewall-Regeln, um eine angreifende IP-Adresse zu sperren.
- Wiederherstellende Sicherheitsmaßnahmen (Recovery) sorgen dafür, dass ein System nach einem Zwischenfall nicht lange ausfällt und wieder produktiv arbeitet. Ein Beispiel ist die Wiederherstellung von Daten nach dem Ausfall einer Festplatte etwa von einem Backup-Tape oder einer anderen Quelle.
- Vorschreibende Sicherheitsmaßnahmen beschreiben Aktionen, die dem Schutz sensibler Informationen dienen. Beispiele dafür sind Richtlinien, Verfahren und Leitfäden.
- Abschreckende Sicherheitsmaßnahmen sollen Sicherheitsverletzungen verhindern. Ein Beispiel ist eine Richtlinie, die vorgibt, dass der Zugriff auf Server überwacht wird, um unbefugte Personen abzuschrecken.
Schritt 4: Legen Sie fest, wie Sie mit inakzeptablen Restrisiken umgehen
Im nächsten Schritt sollten Unternehmen potenzielle Restrisiken weiter minimieren, indem sie:
- Sicherheitsmaßnahmen oder -lösungen ersetzen, die veraltet oder nicht mehr verfügbar sind.
- Das Management der restlichen Risiken auf andere Organisationen wie etwa Versicherungen übertragen.
- Die Wahrscheinlichkeit berechnen, mit der die ursprünglich ermittelten Risiken eintreten werden.
- Ihre Risikobewertung aktualisieren und prüfen, ob sie wegen der vorhandenen Restrisiken ihre Sicherheitsmaßnahmen, Hardware und Software auf den neuesten Stand bringen müssen.
Schritt 5: Achten Sie auf Fortschritte bei Sicherheitslösungen
Mit entsprechenden Sicherheitsmaßnahmen reduzieren sich zwar die ursprünglichen Risiken, gewisse Restrisiken aber bleiben. Unternehmen sollten die für sie nicht akzeptablen Restrisiken in einer Liste sammeln und regelmäßig prüfen, ob sich die eingesetzten Sicherheitslösungen von Herstellern ändern. Vergleichen Sie dann die Angebote neuer Lösungen verschiedener Anbieter und evaluieren Sie nach Kriterien wie Funktionen und Preis. Idealerweise entscheiden Sie sich für die Lösung, die den höchsten Return on Investment (ROI) bietet.
Nach diesen fünf Schritten können Sie bestimmen, welche Restrisiken Sie akzeptieren. Halten Sie die Augen offen nach neuen, technisch verbesserten und kosteneffizienten Sicherheitslösungen, die derzeit noch nicht verfügbar sind. Diese können die Risikobewertung erheblich beeinflussen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!
