computerwoche.de

Security

Vereinfachte Risikoanalyse

Die größten Risiken im Blick

10.08.2012
Von Lars Rudolff und Christian Ferstl

Phasen der Risikoanalyse

Phase 1: Abgrenzung des Untersuchungsgegenstandes

Ab hier beginnt die eigentliche Risikoanalyse. Zunächst muss klar sein, was genau betrachtet werden soll. Dabei kann man den Untersuchungsgegenstand sehr grob (zum Beispiel das gesamte Unternehmen) oder sehr granular wählen (zum Beispiel ein einzelnes IT-System). Speziell kleine und mittelständische Unternehmen sollten hier einen Kompromiss zwischen Genauigkeit und Aufwand finden.

Phase 2: Durchführung der Analysen

Für die Durchführung der Analysen ist kein Expertenwissen im Bereich der Risikoanalysemethodik mehr notwendig. Es reicht, jeweils die Fragen des Fragenkatalogs zu beantworten. Dies kann entweder in einem Interview oder als Self Assessment durch die fachlichen beziehungsweise technischen Ansprechpartner geschehen.

Tipp: Grundsätzlich empfiehlt es sich, die Fragen zur Abschätzung des Schadens von einem Vertreter aus dem Fachbereich beantworten zu lassen.

Die Antworten lassen sich gemäß dem im Fragenkatalog definierten Schema auswerten, woraus sich direkt das Risiko ergibt. Zur Verdeutlichung können die Ergebnisse in einer Risikomatrix (siehe Abbildung) grafisch aufbereitet werden.

Werden viele Analysen durchgeführt und ausgewertet, bietet sich die Unterstützung durch eine datenbankgestützte Software an. Hier "scale" der Secaron AG.
Werden viele Analysen durchgeführt und ausgewertet, bietet sich die Unterstützung durch eine datenbankgestützte Software an. Hier "scale" der Secaron AG.

Tipp: Die Methodik ist sehr standardisiert. Wird die Analyse jedoch ohne technische Unterstützung durchgeführt, ist dies trotzdem aufwendig. Das ist zum Beispiel der Fall, wenn Eintrittswahrscheinlichkeiten aus den hinterlegten Punktewerten ermittelt werden müssen. In den meisten Fällen hilft die Abbildung in einer gängigen Tabellenkalkulationssoftware. Wenn jedoch viele Analysen durchgeführt und ausgewertet werden müssen, bietet sich die Unterstützung durch eine datenbankgestützte Software an.

Phase 3: Definition von Maßnahmen

Um die identifizierten und bewerteten Risiken auf ein angemessenes Maß senken zu können, werden nun Maßnahmen definiert. Diese können ebenfalls im Rahmen der Methodik vordefiniert sein, es gibt aber immer die Möglichkeit, individuelle Maßnahmen zu definieren. Die Entscheidung, welche Maßnahmen tatsächlich umgesetzt werden sollen, muss jedoch das Management des Unternehmens treffen. Die Risikoanalyse und der vordefinierte Maßnahmenkatalog können hier lediglich als Entscheidungshilfe dienen.

Tipp: Damit die Umsetzung der Maßnahmen auch dauerhafte Wirkung zeigt, empfiehlt es sich, für jede Maßnahme einen Umsetzungsverantwortlichen und einen Umsetzungstermin festzulegen.