Wir haben mit Geschäftsführerin Martina Petersen unserer Tochter der CertVision GmbH gesprochen und im folgenden spannenden Interview erfahren, warum wir Risikomanagement unbedingt lieben sollten. Doch zunächst einmal werden wesentliche Fragen geklärt, wie: Was ist Sicherheit eigentlich und wie können Bedrohungen eigentlich entdeckt werden?
aConTech x CertVision – über ein spannendes Interview
Martina, bevor wir darüber reden, warum wir Risikomanagement lieben sollten, könntest du uns zunächst einmal aufklären, was Risikomanagement eigentlich ist?
Martina: Gerne. Kurz gesagt, ist es die Awareness über dokumentierte Schwachstellen und/oder Bedrohungen, die es mittels getrackter Maßnahmen zu beherrschen gilt.
Und warum ist das Risikomanagement so wichtig?
Martina: Da fallen mir direkt viele Benefits eines Risikomanagements ein. Quintessenz an der Stelle: Kenne Deine Bedrohungen und Schwachstellen und es kann dir nichts Unvorhergesehenes passieren.
Nun stellt sich die Frage: Wie geht man am besten vor beim Risikomanagement?
Martina: Durch die Einschätzung der Eintrittswahrscheinlichkeit einer Bedrohung sowie deren Schadenshöhe können wir ein Risiko ermitteln. Das Risiko gibt letztendlich die Schwere der Bedrohung sowie eine Tendenz an, mit welcher Intensität ihr entgegengewirkt werden muss.
Kleines Beispiel: Bedrohung Hochwasser des Rechenzentrums am Standort Nordseeküste.
Eintrittswahrscheinlichkeit (gelegentlich) x Schadenshöhe (kritisch) = Risiko (=hoch, z.B. Schaden >100.000 €)
Bevor wir noch tiefer ins Thema einsteigen, kannst du uns als Sicherheitsexpertin bestimmt noch erläutern, was Sicherheit eigentlich tatsächlich umfasst?
Martina: Sicherheit ist immer eine rein subjektive Einschätzung. Damit einhergehend kann das Risiko von Unternehmen zu Unternehmen komplett verschieden bewertet werden. Dadurch haben wir wiederum den Vorteil gewonnen, dass es kein richtig und kein falsch gibt, was uns allerdings nicht vor Schäden bei Fehleinschätzung schützt.
Und wie können Bedrohungen dahin gehend besser gefunden bzw. definiert werden?
Martina: Natürlich könnte man nach dem einfachsten Prinzip gehen, um Schwachstellen im Unternehmen zu analysieren: Man warte einfach so lange ab, bis etwas passiert und geht dann die Ursache an. ? Sollte dann nach dem Schadensfall noch Budget vorhanden sein, so könnten auch sinnvolle Maßnahmen getroffen werden, damit dieser Fall nicht noch einmal eintritt. Ich möchte betonen, dass diese Vorgehensweise nicht unbedingt empfehlenswert ist und selten bis gar nicht gut geht. Es gibt ein viel besseres Prinzip: VKKT-Modell
Es handelt sich hierbei um das Vogel-Katze-Käfig-Tür -Modell, bei dem es darum geht, denkbare Gefährdungen sauber zu erfassen.
Beispiel:
Weil Tür (Schwachstelle)
des Käfigs (Schutzmaßnahme) offenstand,
kann Katze (Bedrohung)
an den Vogel (Schutzobjekt) kommen
und diesen fressen. (Gefährdung)
Gefährdung = Bedrohung + Schwachstelle
Vielen Dank für diese aufschlussreiche Veranschaulichung. Könntest Du als Expertin noch einen Tipp für unsere Leser geben, welche Maßnahmen hierbei essenziell wären?
Martina: Bedienen wir uns an dem BSI IT-Grundschutz oder der ISO27001, so erhalten wir lange Listen mit möglichen Maßnahmen, die wir zur Absicherung der gängigen Assets (Schutzobjekte) stumpf umsetzen könnten. Ich empfehle, sofern keine Verpflichtung zur Erfüllung dieser umfangreichen Standards besteht, mit etwas Denksport an die Aufgabe heranzugehen und sich wirklich nur im ersten Schritt den Assets zu widmen, bei denen es kritisch werden könnte, wenn sie aus- oder wegfallen. Eine gute Vorgehensweise beschreibt die VdS 10000 ISMS für KMU.
Danke für diese hilfreichen Tipps. Hättest Du zusätzlich dazu noch einen Tipp für uns, wie man noch transparenter das Risikomanagement aufbauen könnte?
Martina: Ich empfehle die Verwendung eines Risikomanagement-Tools, z. B. NormTracker, um eine saubere Erfassung sowie Nachbewertung vorhalten zu können. NormTracker ist ein bewährtes ISMS-Tool, entwickelt für die speziellen Anforderungen des Mittelstands, welches die Erfassung und das Tracking von Gefährdungen und deren Maßnahmen sinnvoll und transparent ermöglicht. Wer mehr von diesem Tool sehen möchte, ist herzlich zu unserem nächsten #20minutes Power Slot zum Thema Risikomanagement eingeladen. 20 Minuten, die sich lohnen und natürlich kostenlos sind. Anmeldung unter: https://forms.office.com/Pages/ResponsePage.aspx?id=Wi9-xmNyekOKrqjPHrfK0QtyzG_Zq7BBqyX6GOx2sitUQUtGUk5EM0pJOTNXWU9WV0NVWFpaMTFPNi4u
Vielen Dank für diesen spannenden Einblick in das Risikomanagement, Martina. Nun bleibt nur noch die Frage übrig, warum man Risikomanagement denn nun so lieben sollte?
Martina: Risikomanagement ist ein zentraler und wichtiger Baustein, um Risiken sichtbar zu machen. Ein gelebtes Risikomanagement unterstützt uns dabei, sinnvoll IT-Ressourcen und Budget einzuplanen sowie die Erreichung von (Projekt-)Zielen abzusichern. Zudem kann eine transparente Erfassung der Bedrohungslage auch als Druckmittel dienen, um an das erforderliche Budget überhaupt heranzukommen. Im Endeffekt ist das Risikomanagement sogar der Kern aller sich ergebender Aufgaben unserer IT-Administratoren und Anwender.
Profitieren auch Sie von einem sicheren Risikomanagement und wappnen Sie sich mit dem cleveren ISMS-Tool NormTracker. Sie wollen mehr zum Thema Risikomanagement erfahren und Ihre Daten ausreichend sichern? Kontaktieren Sie uns!