computerwoche.de

Security

IT-Basisschutz

Die größten Risiken im Blick

06.04.2009
Von Lars Rudolff und Christian Ferstl
Vor allem kleinere Firmen müssen bei der Auswahl von IT-Sicherheitsmaßnahmen zwischen Kosten und Risiken abwägen. Was aber sind die schlimmsten Bedrohungen - und was ist der sinnvollste Schutz? Strukturiertes Vorgehen ermöglicht es, diese Fragen schnell zu beantworten.

Die Risikoanalyse ist der effektivste Weg für ein Unternehmen, ein angemessenes Sicherheitsniveau zu erreichen und das dafür verfügbare Budget optimal einzusetzen. Ohne umfassende und individuelle Bewertung der Risiken besteht die Gefahr, dass wesentliche Aspekte gar nicht betrachtet werden - oder die Mittel nach dem Gießkannenprinzip in ein unangemessen hohes Sicherheitsniveau investiert werden. Abgesehen davon lassen sich mittels Risikoanalyse auch die Transparenz für Management und Fachbereiche verbessern sowie Entscheidungsprozesse objektivieren.

Die Herausforderungen

Es klingt verlockend: Vollständigen Überblick über bestehende Risiken haben, stets die richtigen Maßnahmen treffen und so das verfügbare Budget optimal einsetzen. In der Praxis ist das jedoch schwieriger, als es im ersten Moment erscheinen mag.

Ein Risiko wird üblicherweise anhand der folgenden beiden Größen bewertet: die Höhe des Schadens, der beim Eintritt eines Ereignisses entsteht, und die Wahrscheinlichkeit, mit der dieser Schaden eintritt. Anders als für die Betrachtung von Risiken beispielsweise im Versicherungsumfeld liegen im Bereich IT-Sicherheit allerdings nur selten belastbare Zahlen aus der Vergangenheit vor. Dies rührt einerseits daher, dass viele Vorfälle nicht publik werden. Andererseits haben die Rahmenbedingungen in jedem Unternehmen einen erheblichen Einfluss auf das Risiko, so dass sich selbst die wenigen verfügbaren Daten nicht ohne weiteres auf die individuelle Situation übertragen lassen.

Der international anerkannte Standard ISO/IEC 27005 beschreibt ausführlich verschiedene Ansätze zur Abschätzung von Risiken, die alle eines gemeinsam haben: Die Analysen erfordern Erfahrung und fundiertes Wissen über IT-Sicherheit, damit nachvollziehbare, vergleichbare und vor allem belastbare Ergebnisse herauskommen. Zudem werden Einschätzungen oft von persönlichen Erlebnissen oder Vorfällen in der jüngeren Vergangenheit beeinflusst. Darüber hinaus ist das Verfahren recht aufwändig und bindet Ressourcen aus unterschiedlichen Unternehmensbereichen. Aus diesen Gründen wird die Risikoanalyse bei kleinen und mittelständischen Unternehmen nur selten zur Steuerung der IT-Sicherheit eingesetzt. Dabei könnte sie auch hier ihre Stärken voll ausspielen.