Tipps für die Umsetzung einer IT-Risikobewertung

Warum sind Risikoeinschätzungen wichtig?

Disaster Recovery (DR) ist ein teures Verfahren, und Risikobewertungen können dabei helfen, die Kosten niedrig zu halten. Risikoeinschätzungen bereiten ein Unternehmen auf besonders wahrscheinliche Bedrohungen vor, indem sie dabei helfen, Ressourcen zu besonderen Risiken zu verschieben und unnötige Ausgaben zu vermeiden.

Eine Risikobewertung hilft dabei, Vorkommnisse zu identifizieren, die ein Unternehmen nachteilig beeinflussen könnten. Dies schließt eventuelle Beschädigungen ein, die solche Ereignisse verursachen könnten, die Zeit, die ein Unternehmen brauchen wird, um sich zu erholen oder den Betrieb wieder aufzunehmen sowie vorsorgliche Maßnahmen oder Kontrollen, die das Unternehmen ergreifen kann, um die Wahrscheinlichkeit eines solchen Ereignisses zu verringern. Eine Risikoeinschätzung wird auch dabei helfen, die notwendigen und richtig organisierten Schritte in Gang zu setzen, die die Schwere eines solchen Ereignisses abmildern könnten.

Wie man eine Risikobewertung durchführt

Um mit einer Risikobewertung zu starten, legt man zuerst die besonders kritischen Geschäftsprozesse aus der BIA fest. Anschließend sollte man Informationen über mögliche Bedrohungen seines Unternehmens sammeln.

Es sind zahlreiche Quellen verfügbar, mit denen man Informationen über Bedrohungen sammeln kann. Dazu gehören zum Beispiel:

• Aufzeichnungen des Unternehmens über störende Ereignisse;
• Erinnerungen von Angestellten an solche Ereignisse;
• Aufzeichnungen von lokalen und nationalen Medien;
• lokale Büchereien;
• Erste-Hilfe-Organisationen;
• historische Daten von nationalen Wetterdiensten;
• geologische Karten und andere Dokumentationen;
• Erfahrungen von wichtigen Anteilseignern;
• Erfahrungen von Lieferanten, mit denen Geschäftsbeziehungen bestehen; und
• Regierungsorganisationen, die in Krisensituationen Hilfestellung geben können.

Diese Quellen können dabei helfen, das wahrscheinliche Auftreten von bestimmten Ereignissen als auch die Ernsthaftigkeit von aktuellen Ereignissen näher zu bestimmen. Man kann gewisse Ereignisse aus der Liste herausnehmen, wenn so gut wie keine Chance besteht, dass sie sich ereignen werden. Man muss sich zum Beispiel nicht besonders auf Erdbeben vorbereiten, wenn zuständige Karten anzeigen, dass der eigene Firmensitz sich nicht innerhalb oder in der Nähe einer Erdbebenzone befindet. Sie können diese Vorlage für Risk Assessment nutzen, um potenzielle Bedrohungen für das eigene Unternehmen aufzulisten und näher zu bestimmen.

Eine grundsätzliche Formel wie „risk = likelihood x impact“ (Risiko = Wahrscheinlichkeit multipliziert mit Auswirkung) ergibt in der Regel einen Risikowert. Diese Formel ist auch als „Risk Assessment Matrix“ bekannt. Durch die Abwägung der Wahrscheinlichkeit eines Ereignisses gegenüber des Schadensniveaus, das es anrichten könnte, ist die Risk Assessment Matrix ein anschauliches Tool für das Management, um sich auf mögliche Katastrophen vorzubereiten.

Man nutzt zum Beispiel eine Skala von 0,0 bis 1,0, bei der 0,0 bedeutet, dass die Bedrohung wahrscheinlich nicht bevorsteht, und bei der 1,0 bedeutet, dass die Bedrohung auf jeden Fall eintreten wird. 0,0 bedeutet, dass kein Schaden oder keine Unterbrechung der Geschäftsaktivitäten des Unternehmens eintreten wird, während 1,0 bedeutet, dass das Unternehmen zerstört ist und nicht in der Lage ist für weitere geschäftliche Aktivitäten. Zahlen dazwischen können das Resultat einer statistischen Analyse der Bedrohungsdaten und der Erfahrungen des Unternehmens darstellen. Die Vorlage zum Download des Risk Assessment entspricht diesem Ansatz.

Mit der Bandbreite der Zahlen von 0,0 bis 1,0 können DR-Teams entscheiden, den Resultaten eine bestimmte Bedeutung zuzuweisen – zum Beispiel 0,0 bis 0,4 = niedriges Risiko, 0,5 bis 0,7 = mäßiges Risiko und 0,8 bis 1,0 = hohes Risiko.

Sobald die IT-Teams relevante Risiken analysiert und ihnen einen bestimmten Wert zugewiesen haben, können sie dann geeignete Strategien nur für die höchsten Risiken prüfen oder alle Risikokategorien anwenden. Der Plan für die Risikobewertung hängt von dem Interesse des Managements an allen Risikokategorien ab – also von seinem Willen, sich mit allen Risiken zu befassen. Diese Risikobereitschaft hängt davon ab, wieviel Risikomanagement man akzeptieren möchte, weshalb die Antworten sich von Unternehmen zu Unternehmen unterscheiden werden. Die Risikostrategien können später von den DR-Teams verwendet werden, um Strategien für Business Continuity und DR (BC/DR) zu entwickeln.

Wer führt Risikobewertungen durch?

Projektmanager und ihr Team sind in der Regel mit Risikobewertungen und Plänen für Risikomanagement beauftragt. Bei Maßnahmen, die in Zukunft auf dieser Ebene durchgeführt werden müssen, kann zusätzliches Personal einbezogen werden.

Sobald eine Risikobewertung durchgeführt wurde, verwenden sie BC/DR-Teams, um Pläne anzufertigen und Übungen zum Testen der DR-Pläne durchzuführen. Diese Teams sollten auch Hinweise geben, wenn das Unternehmen die Risikobewertung erneuern sollte, weil die Risiken aufgrund von Tests und der Planung von Übungen als überholt gelten können.

Bedrohungen und Schwachstellen

Eine Risikoanalyse umfasst die Identifizierung eines Risikos, die Bewertung der Wahrscheinlichkeit eines solchen Risikos und die Definition, wie ernsthaft die Konsequenzen des Ereignisses sein werden. Es wird auch sinnvoll sein, eine Aufstellung der Schwachstellen zu erstellen, womit sich Situationen identifizieren lassen, in denen sich das Unternehmen einem erhöhten Risiko aussetzen würde, wenn es nicht bestimmte Aktivitäten ergreift. Ein Beispiel wäre das erhöhte Risiko durch Viren, wenn man keine aktuelle Antivirus-Software einsetzt.

Schließlich sollten die Ergebnisse der Risikoanalyse in einem Report für das Management zusammengefasst werden, inklusive mit Empfehlungen für entschärfende Maßnahmen.

Abhängig von der Anzahl an Auswirkungen, Anzeichen und Konsequenzen wird sich das Niveau an Details in einer Risikobewertung je nach Unternehmen unterscheiden. Es gibt keine bestimmte Anzahl von Risiken, die man in einer allgemeinen Risikobewertung erwarten würde, so dass es im Ermessen des Unternehmens liegt, das das Assessment durchführt. In unserer Vorlage eines Risk Assessments gibt es Felder für mehr als 50 potenzielle Gefahren, sowohl von Menschen gemachte als auch natürliche.

Verschiedene Arten von Risikobewertungen

Risikobewertungen nehmen in der Regel eine von zwei Formen an: quantitative oder qualitative.

Quantitative Methoden: Diese Methoden schreiben dem Risiko einen numerischen Wert zu und erfordern in der Regel Zugang zu zuverlässigen Statistiken, um die zukünftige Wahrscheinlichkeit eines Risikos zu planen.

Qualitative Methoden: Diese umfassen oft subjektive Messungen wie zum Beispiel „niedrig“, „mittel“ und „hoch“. Qualitative Methoden stützen sich darauf, einen allgemeinen Eindruck von den Risiken zu bekommen und sie so zu bewerten.

Der Prozess von Risk Assessments kann relativ einfach sein – zum Beispiel, wenn Unternehmen einen qualitativen Ansatz wählen. Er kann strenger ausfallen, wenn ein quantitativer Ansatz benutzt wird, da IT-Teams eventuell zahlenmäßige Faktoren mit statistischer Evidenz untermauern wollen.

Wie oft Unternehmen eine Risikobewertungen durchführen, hängt auch von ihrem Ermessen ab. DR-Teams müssen jedoch die Resultate in bestimmten Abständen erneuern, um herauszufinden, ob sich irgendwelche Änderungen an den Risiken ergeben haben. Ohne Beachtung der Methodologie sollten die Ergebnisse die geschäftskritischen Prozesse abbilden, die von der BIA festgestellt worden waren, und sie sollten Strategien unterstützen, um auf die identifizierten Risiken zu antworten. Wenn eine Risikobewertung nicht mehr aktuell ist, so sind es auch die Strategien gegen potenzielle Gefahren nicht.

Manchmal ist der qualitative Ansatz für das Management akzeptabler, da man aus einem relativen Vergleich leichter Schlussfolgerungen ableiten kann als aus einer objektiven Zahl. In der Vorlage für ein Risk Assessment gibt es Spalten, mit denen die DR-Teams qualitative Aussagen für alle Risiken des Unternehmens festhalten können.

4 Typen von Verteidigungsreaktionen

Nachdem DR-Teams Risiken und Schwachstellen identifiziert haben, können sie defensive Antworten in Erwägung ziehen. Die Abfolge, in der diese Maßnahmen eingesetzt werden, hängt zu einem großen Teil von den Resultaten der Risikobewertung ab, aber zu den größeren Typen von defensiven Antworten gehören die folgenden:

1. Schützende Maßnahmen. Diese Aktivitäten reduzieren die Chancen, dass ein störendes Ereignis auftritt. Ein Beispiel besteht in dem Einsatz von Sicherheitskameras, um unautorisierte Besucher zu identifizieren und die Verantwortlichen zu alarmieren, bevor ein Angreifer einen Schaden anrichten kann.
2. Abschwächende Maßnahmen. Diese Aktivitäten vermindern die Schwere des Ereignisses, nachdem es eingetreten ist. Beispiele für abschwächende Maßnahmen sind Überspannungsschutzgeräte, um die Auswirkungen eines Blitzeinschlags zu reduzieren, und unterbrechungsfreie Energiesysteme, um die Chancen eines plötzlichen Abbruchs geschäftskritischer Systeme wegen eines Blackouts oder Spannungsabfalls zu begrenzen.
3. Aktivitäten zur Wiederherstellung. Diese Aktivitäten dienen dazu, gestörte Systeme und Infrastrukturen wieder auf ein Niveau zurückzubringen, das Geschäftsprozesse unterstützen kann. Wenn zum Beispiel geschäftskritische Daten eines Unternehmens außerhalb des Firmensitzes gespeichert werden, können die Geschäftsprozesse zu einem geeigneten Zeitpunkt wieder begonnen werden.
4. Notfallpläne. Diese auf den Ablauf von Geschäftsprozessen abgestimmten Dokumente beschreiben, was ein Unternehmen in der Folgezeit eines störenden Ereignisses tun kann. Sie werden in der Regel erstellt auf Basis von Input des Managementteams für einen unvorhergesehenen Notfall.

Gefahrentypen

Auftretende Gefahren sind einzigartige Kombinationen von Ereignissen und ihren Umständen. Von Menschen ausgelöste Gefahren sind jene, bei denen ein Individuum oder mehrere Personen wahrscheinlich verantwortlich für ein Ereignis gemacht werden, das eine Katastrophe ausgelöst hat. Dies kann durch absichtliche oder zufällige Gründe geschehen sein. Zu diesen Gefahren können auch Malware-Attacken und zufällige oder böswillige Datenlöschungen gehören.

Naturkatastrophen werden in der Regel als Zwischenfälle betrachtet, für die keiner verantwortlich zu machen ist, wie zum Beispiel bei Wetterereignissen einschließlich Erdbeben und Tornados. Wenn sich ein Unternehmen in einer Gefahrenzone für Wirbelstürme befindet oder ein Gebäude Konstruktionsfehler aufweist, sollten DR-Teams entsprechende Notizen in einer Risikobewertungen vornehmen.

Auflistung von Auswirkungen

Nachdem die Risiken von Unternehmen erkannt worden sind, werden sie drei hauptsächliche Faktoren bestimmen: direkte Effekte, Symptome und Konsequenzen des Ereignisses.

Effekte

Die folgenden fünf grundsätzlichen Auswirkungen können verheerende Konsequenzen haben:

1. Verweigerter Zugang
2. Datenverlust
3. Personalverlust
4. Funktionsverlust
5. Mangel an Informationen

Symptome/Anzeichen

Die erkannten Symptome könnten einen Verlust – oder einen Mangel – bei den folgenden Fakten bedeuten:

• Zugang oder Verfügbarkeit
• Daten
• Geheimhaltung
• Datenintegrität
• Umgebung
• Personal (zeitweiliger Verlust)
• Systemfunktionen
• Kontrolle
• Kommunikation

Konsequenzen

Zu den zweitrangigen Folgen oder Konsequenzen könnten die folgenden gehören:

• Unterbrochener Geldfluss
• Image-Verlust
• Markenbeschädigung
• Verlust von Marktanteilen
• Geringere Moral der Angestellten
• Erhöhte Fluktuation der Angestellten
• Hohe Reparaturkosten
• Hohe Wiederherstellungskosten
• Strafgebühren
• Anwaltshonorare

Eine Risikobewertung ist eine wesentliche Aktivität in einem BC/DR-Programm. Störende Ereignisse können unvorhersehbar und unvermeidbar sein, aber jede Vorbereitung auf eine Katastrophe wird BC/DR realisierbarer machen. Risikobewertungen, BIAs, DR-Tests und Übungen zur Ausfallsicherheit sind alles wesentliche Komponenten eines BC/DR-Plans, und die meisten Unternehmen sollten erkennen, dass sie die Zeit und die Ausgaben wert sind.