Risikomanagement
Risikomanagement
Das Gefährliche am Risiko ist nicht das Risiko selbst, sondern wie man mit ihm umgeht.
Felix M. Gerg
Das Erkennen und der Umgang mit Risiken sind wichtige Grundlagen in fast allen Normen. Nicht ohne Grund existieren gleich mehrere Standards, die sich ausschließlich mit dem Thema Risikomanagement beschäftigen.
Risiken managen bedeutet zuallererst eine offene Kultur bzgl. der Meldung und Identifikation von Risiken zu schaffen. Denn insbesondere die Risiken sind kritisch, die nicht bekannt sind.
Prozesse und Vorgabedokumente
Ein Risikomanagement ist immer hochgradig individuell und muss auf jedes Unternehmen und jede Organisation angepasst werden. Sie erhalten von uns nicht einfach einen Satz an Vorlagen, sondern wir entwickeln mit Ihnen ein individuelles Handbuch.
Komplexe Risiken nachvollziehbar bewerten
Die Bewertung von Risiken ist komplex und bedarf gerade bei IT-Risiken Erfahrung und technisches Know-how. Unsere Experten bewerten täglich Risiken und helfen Ihnen, die richtige Einschätzung zu finden.
Aktives vs. passives Risikomanagement
Risikomanagement ist dann effektiv, wenn es nicht nur reaktiv auf Vorfälle reagiert, sondern aktiv Risiken ermittelt. Wir übernehmen für Sie auf Wunsch auch die Risikoüberwachung. Verändern sich Risiken, passen wir aktiv die Bewertung an.
Risikomanagement
in Prozesse integrieren
Risikomanagement muss gelebt werden. Dazu muss es in die bestehenden Prozesse des Unternehmens integriert werden. Mit unserer Erfahrung zeigen wir Ihnen die für Sie effizientesten Methoden auf und implementieren diese.
Vorteile Risikomanagement
01
Risikomatrix
Die Risikomatrix bildet das zentrale Element eines jeden Risikomanagementsystems. Dies Auswahl der Matrix hat nicht nur Auswirkungen auf die Bewertung, sondern auch auf die Behandlung von Risiken.
Wir simulieren anhand Ihrer konkreten Risiken die Auswirkungen verschiedener Bewertungsmethoden und stellen für Sie die Ergebnisse bereit.
Beispiel einer einfachen Risikomatrix.
What we do
Risiko-management
Wir setzen ein Risikomanagement aktiv für Sie um. Bei Bedarf stellen wir Ihnen auch einen externen Risikomanager. Unser Ziel ist es, entsprechende Prozesse bei Ihnen im Unternehmen bzw. in der Organisation zu etablieren, so dass Ihr Risikoportfolio aktiv gemanagt werden kann.
Bei der Umsetzung von Risikomanagementprozessen orientieren wir uns an bewährten und etablierten Standards wie
- ISO 31000
- ISO 27005
Wir unterstützen Sie bei der Auswahl der geeigneten Risikobewertungsmethode. Dabei beraten wir nicht nur zur Auswahl des passenden Standards, sondern bei der Ausgestaltung jedes Prozessschrittes. Durch unsere jahrelange Erfahrung können wir Ihnen die Auswirkungen von Entscheidungen bereits in der Design-Phase darstellen.
Das Erheben von Risiken erfolgt oftmals in Form von Risikoassessments. Wir übernehmen dabei die komplette Erhebung. Dazu führen wir z.B. Interviews mit den Fachabteilungen, werten Daten aus dem Incident- und Schwachstellenmanagement aus und berücksichtigen Quellen wie das BSI, NIST oder CIS.
Risiken aktiv managen bedeutet proaktiv auf mögliche Gefährdungen zu reagieren. Wir überwachen Ihr Risikoportfolio und informieren Sie proaktiv bei Veränderungen. Dies kann z.B. durch eine veränderte Gefährdungslage, neue Schwachstellen oder bekannte Angriffe notwendig sein.
Das Schwachstellenmanagement und das Risikomanagement bilden eine Einheit. Schwachstellen führen immer zu neuen Risiken und müssen bewertet werden. Wir erhalten Meldungen über neue Schwachstellen sehr früh über diverse CERTs und staatliche Stellen und bereiten diese Informationen für unsere Kunden auf. Sie erhalten Schwachstellen immer mit einer belastbaren Risikoeinschätzung nach einem etablierten Standard wie CVSS oder CVE.
Risiken zu identifizieren und zu bewerten sind die ersten Schritte im Prozess. Allerdings sollten Risiken auch behandelt werden. Dafür sind in der Regel keine großen Investitionen notwendig. Oftmals lassen sich Risiken in der IT mit Konfigurationsänderungen reduzieren. Wir erstellen zu allen Risiken passende Empfehlungen zur Umsetzung in Ihrem Unternehmen. Und dies natürlich hersteller- und produktneutral.
Schadcode Statistik
Nach der Malware-Statistik des BSI auf Basis von Rohdaten des Instituts AV-Test GmbH entstehen täglich ca. 250.000 neue Schadcode-Varianten. Hinzu kommen durchschnittlich täglich ca. 70 neue Schwachstellen in Softwareprodukten, rund 15 Prozent davon sind kritisch.
Wichtige Fragen
02
und noch wichtigere Antworten
Typische Fragen, die uns im Rahmen einer Beratung zum Risiko Management erreichen, haben wir hier zusammengestellt und beantwortet.
Das kommt auf den Einzelfall an. Grundsätzlich sind Unternehmen und Organisationen frei in der Entscheidung wie mit Risiken umzugehen ist. Risiken können reduziert, vermieden, verlagert oder getragen werden. Es ist also auch möglich, Risiken zu akzeptieren. Dies sollte aber immer eine bewusste Entscheidung sein. Es gibt aber in einigen Bereichen auch regulatorische Vorgaben, bei denen eine Risikoakzeptanz nicht möglich ist.
Ob das Risikomanagement ausreicht, hängt ganz davon ab, welche Vorgaben oder welchen Standard Sie erfüllen möchten oder müssen. Für eine ISO 27001 Zertifizierung reicht die finanzielle Betrachtung nicht aus. Allerdings können bereits bestehende Risikomanagementsysteme oftmals erweitert werden. So wäre es möglich ein bestehendes System und die Prozesse weiterzuverwenden.
Das hängt davon ab, welchen Standard Sie anwenden. Grundsätzlich geht einer Risikoanalyse auch eine Auswahl der relevanten Assets vorher. Dabei werden die Assets identifiziert, die für Ihr Unternehmen bzw. Ihre Organisation besonders wichtig sind. Es hat sich als effektiv erwiesen die Risikoanalyse auf genau diese Assets anzuwenden.
Nein, das ist leider nicht möglich. Risikomanagement ist ein zentraler Bestandteil der Informationssicherheit. Dies gilt für viele weitere Standards wie dem Business Continuity Management ebenfalls. Hier erstehen in der Regel große Synergien, da das Risikomanagement für mehrere Bereiche verwendet werden kann.
Sie möchten mehr Informationen oder haben
WEITERE Fragen?
Nutzen Sie unsere kostenlose Hotline,
oder senden Sie uns einfach eine E-Mail.
Fachartikel Informationssicherheit
03
Bleiben Sie mit unseren Fachartikel zum Thema Informationssicherheit auf dem Laufenden.