Risiken in der IT richtig bewerten

IT-Risiko-Bewertung ist ein wichtiger Teil der Disaster-Recovery-Planung. Dieser Artikel zeigt, was bei der IT-Risikoanalyse beachtet werden muss.

Ein Horrorszenario für jedes Unternehmen: Wichtige geschäftliche Daten gehen nach einem Hardware-Defekt, einem Anwenderfehler oder einen Cyberangriff verloren. Mögliche Folgen sind Ausfallzeiten, Produktions-Stillstand, Imageschäden und ein finanzieller Verlust, der in die Millionen gehen kann. 

Risiken wie diese lassen sich nicht vollständig vermeiden. Unternehmen sollten daher grundsätzlich großen Wert auf Risikomanagement legen, sprich ein verantwortungsbewusstes und vorausschauendes Verhalten beim Umgang mit Unsicherheiten, Gefahren und Risiken.

Denn wer seine Risiken kennt, kann schneller und auf Basis fundierter Entscheidungen auf veränderte Marktgegebenheiten reagieren. Ziel ist es, Risiken frühzeitig zu erkennen und strategisch zu steuern. Dazu ist es notwendig, die Risiken zu identifizieren, in einzelne Klassen einzuteilen, zu bewerten und für jede einzelne Risikoklasse spezielle Vorgehensweisen für die Minimierung der Risiken zu definieren.

In der IT stellt die Risikobewertung einen wichtigen Teil der Disaster-Recovery-Planung dar. Disaster Recovery bezeichnet Maßnahmen, die nach einem Unglücksfall in der IT eingeleitet werden. Dazu zählen etwa die Datenwiederherstellung oder das Austauschen von Hardware. 

In der Disaster-Recovery-Planung geht der Risikobewertung die Business Impact Analyse (BIA) voraus. Mit Hilfe der BIA ermitteln Unternehmen ihre wichtigsten Geschäftsprozesse und beschreiben die möglichen Auswirkungen, wenn diese Prozesse gestört oder unterbrochen werden. Auf diese Weise lassen sich auch wechselseitige Abhängigkeiten zwischen Prozessen und/oder Unternehmensbereichen erkennen.

Die anschließende Risikoanalyse oder -bewertung identifiziert zunächst interne und externe Situationen oder Ereignisse, die sich negativ auf die kritischen Geschäftsprozesse auswirken könnten. Dann geht es darum, die Relevanz dieser Risiken und den potenziellen Schaden, den sie hervorrufen, zu bewerten und zu prüfen, wie hoch die Wahrscheinlichkeit ist, dass diese Risiken eintreten. Diese quantitative Bewertung ist die wohl schwierigste Aufgabe des Risikomanagements.

Dieser Artikel zeigt, wie Sie eine IT-Risikobewertung vorbereiten und hilft dabei, das Ausmaß von natürlichen oder vom Menschen verursachten Risiken zu bewerten. Als Zusatzservice bietet er eine kostenlose Vorlage für die Risikobewertung zum Download an.

Vorlage zur englischen Risikobewertung (Word-Doc)

Vorlage zur englischen Risikobewertung (PDF)

Risikobewertung – erste Schritte

Unternehmen sollten mit Hilfe der Risikobewertung Ereignisse identifizieren können, die ihre Geschäftsprozesse und organisatorischen Abläufe beeinträchtigen. Dazu gehört ein Blick auf den möglichen Schaden, den diese Ereignisse verursachen, die benötigte Zeit für die Wiederherstellung der Prozesse oder die präventiven Maßnahmen oder Kontrollen, mit denen sich die Wahrscheinlichkeit für das Eintreten des Ereignisses senken lassen. Über die Risikobewertung können Unternehmen auch ermitteln, mit welchen Maßnahmen sie das Ausmaß oder die Schwere des Ereignisses verringern können.

Im Vorfeld der Risikobewertung erfolgt über die Business Impact Analyse die Identifizierung der wichtigsten Geschäftsprozesse. Für Informationen über potenzielle Bedrohungen oder Gefahrenquellen gibt es viele Quellen. Dazu gehören: 

  • Dokumente des Unternehmens zu (zer)störenden Ereignissen
  • Erinnerungen von Mitarbeitern an (zer)störende Ereignisse
  • Aufzeichnungen lokaler oder nationaler Medien
  • Lokale Bibliotheken
  • Erste Hilfe-Organisationen
  • Historische Daten der Wetterdienste
  • Geo-Daten, Karten und anderen Unterlagen
  • Erfahrungen der wichtigsten Kunden, Partner, Lieferanten oder anderer Verantwortlicher wie Aktionäre
  • Regierungsbehörden wie Innenministerium, Energieministerium etc.

Diese Quellen helfen, die Wahrscheinlichkeit von bestimmten Ereignissen wie auch die Schwere oder das Ausmaß der tatsächlichen Ereignisse zu bestimmen. Zum Beispiel kann man mit Hilfe von Geo-Daten oder Spezialkarten ausschließen, dass eine Firma ein Rechenzentrum in einem Erdbeben-gefährdeten Gebiet baut. Ein ausgezeichnetes Dokument ist die Spezial-Publikation 800-30 „Risk Management Guide for Information Technology Systems“ des National Institute for Standards and Technology (NIST).

Vorbereitung der Risikoanalyse

Die Risikoanalyse umfasst die Identifikation der Risiken, die Beurteilung der Wahrscheinlichkeit des Ereignisses und die Abschätzung der möglichen Schadenshöhe. Hier kann auch eine Analyse der Schwachstellen sinnvoll sein, mit denen das Unternehmen selbst seine Sicherheitsrisiken verschärft. 

Ein einfaches Beispiel ist hier das erhöhte Risiko von Malware-Attacken, sollte das Unternehmen nicht die aktuellste Sicherheits-Software installiert haben. Schließlich werden die Ergebnisse der Risikoanalyse in einem Bericht an das Management zusammengefasst, der auch Vorschläge für Aktivitäten zur Risikominimierung enthält.

Sobald Risiken und Schwachstellen identifiziert wurden, sind folgende vier Abwehrreaktionen denkbar:

  • Schutzmaßnahmen verringern die Wahrscheinlichkeit einer Störung. Ein Beispiel sind Sicherheits-Kameras, um unbefugte Besucher oder Einbrecher zu erkennen und an Behörden zu melden, bevor sie Schaden anrichten können.  
  • Abschwächende Maßnahmen dienen dazu, den Schaden nach dem Eintritt eines Ereignisses zu minimieren. Beispiele sind etwa der Überspannungsschutz gegen Blitzschlag oder Systeme zur unterbrechungsfreien Stromversorgung (USV), die den Ausfall kritischer Systeme aufgrund eines Stromausfalls oder eines Spannungsabfalls verhindern.
  • Recovery-Maßnahmen sorgen für die Wiederherstellung von gestörten Systemen und Infrastrukturen, damit der Geschäftsprozess so schnell wie möglich wieder funktioniert (Business Continuity). Ein Beispiel ist das externe Backup (beispielsweise in einen Cloud-Service) von unternehmenskritischen Daten, die eingespielt werden können, um die Geschäftsabläufe zu einem geeigneten Zeitpunkt neu zu starten.
  • Notfallpläne beschreiben auf Prozessebene, wie ein Unternehmen in der Zeit nach einem Störfall handeln muss und welche Maßnahmen wann zu ergreifen sind. Sie basieren im Regelfall auf Beiträgen des Notfall-Management-Teams.

Die Reihenfolge, in der diese Maßnahmen umgesetzt werden, hängt zu einem großen Teil von den Ergebnissen der Risikobewertung ab. Sobald eine bestimmte Bedrohung und die zugehörige Sicherheitslücke identifiziert worden sind, wird es einfacher, die effektivste Verteidigungsstrategie zu planen. Achtung: Notfallpläne müssen mit den Auswirkungen eines Störfalls fertig werden, unabhängig von den Ursachen.

Natürliche und vom Menschen verursachte Gefahren

Katastrophen sind einzigartige Kombinationen von Ereignissen und Umständen. Die beiden Hauptkategorien sind natürliche und von Menschen verursachte Gefahren. In letzterer Kategorie kann man noch weiter differenzieren zwischen absichtlich herbeigeführten sowie unbeabsichtigten, zufälligen Ereignissen.

Naturgefahren sind in der Regel als „höhere Gewalt“ zu sehen, für die niemand zur Verantwortung gezogen werden kann. Im Gegensatz dazu stehen vom Menschen verursachte Ereignisse. Hier können eine Einzelperson oder mehrere Personen ursächlich für eine Katastrophe verantwortlich sein. Diese könnte durch Vorsatz, Fahrlässigkeit oder ein Missgeschick ausgelöst werden. Weitere Details finden Sie in der folgenden Tabelle.

 

Naturgefahren Künstliche Gefahren (absichtlich) Künstliche Gefahren (versehentlich) Künstliche Gefahren (indirekt)
Gewitter Einbruch Bedienungsfehler Stromausfall
Überschwemmung Betrug Software-Programmierfehler Ausfall der TK-Anlagen
Blitzeinschlag Brandstiftung Explosion Schäden durch Rauch
Schneesturm Streik Feuer Überschwemmung durch Löschwasser
Eissturm Krawalle, Ausschreitungen Entladung eines Feuerlöschers Krater durch kaputte Straße
Hagel Vandalismus Wasserleck Einsturz erhöhter Fahrbahnen
Sonnenflecken Schäden durch Bombe Entladung des Brandunterdrückungs-Systems  
Erdbeben Falscher Bombenalarm    
Tornado Terrorismus    
Hurrikan Geiselnahme    
Tsunami      

Tabelle: Natürliche und vom Menschen verursachte Gefahren

Gruppierung der Folgen in der Risikobewertung

Sobald die Risiken identifiziert sind, geht es an die möglichen Folgen und Auswirkungen, die aufgrund des Ereignisses entstehen können. Hier gibt es fünf grundsätzliche Effekte, die sich katastrophal auswirken können: Zugriffs-Verweigerung, Datenverlust, Verlust von Personal, Funktionsverlust und Mangel an Informationen.

Kennzeichen sind hier der Verlust beziehungsweise das Fehlen von:

  • Zugriff und Verfügbarkeit
  • Daten
  • Vertraulichkeit
  • Datenintegrität
  • Ausstattung
  • Personal (vorübergehender Verlust)
  • Systemfunktion
  • Kontrolle
  • Kommunikation

Folgende Nebenwirkungen oder Folgen können entstehen:

  • Unterbrochener Cashflow
  • Imageverlust
  • Rufschädigung
  • Verlust von Marktanteilen
  • Geringere Motivation der Mitarbeiter
  • Steigende Personalfluktuation
  • Reparaturkosten
  • Hohe Kosten für die Wiederherstellung
  • Strafgebühren
  • Anwaltskosten

Vorgehensweise bei der Risikobewertung

Grundsätzlich gibt es zwei Formen der Risikoanalyse: Bei der quantitativen Risikobewertung werden die identifizierten Risiken auf Basis einer numerischen Skala  (z.B. 0,0 bis 1,0 oder 1 bis 10) klassifiziert. Die qualitative Risikobewertung will einen Gesamteindruck der Risiken gewinnen. 

Das Verfahren verwendet daher eher subjektive Begriffe wie niedrig, mittel oder hoch anstelle von numerischen Werten. Quantitative Methoden, die dem Risiko einen numerischen Wert zuweisen, erfordern in der Regel Zugang zu verlässlichen Statistiken, um künftige Wahrscheinlichkeiten ermitteln zu können. Führungskräfte bevorzugen häufiger den qualitativen Ansatz mit seinen allgemeineren Aussagen.

Die grundlegende Formel Risiko = Wahrscheinlichkeit x Auswirkung (P x I) wird meistens verwendet, um einen Risikowert zu berechnen. Auf einer Skala von 0,0 bis 1,0 würde 0,0 bedeuten, dass die Bedrohung wohl nicht eintreten wird. Bei 1,0 ist die Gefahr sehr realistisch. 

Die Zahl 0,0 bei den Auswirkungen bedeutet, dass das Unternehmen keinen Schaden nimmt und die Geschäftsprozesse nicht gestört werden. Bei einer 1,0 hingegen könnte das Unternehmen völlig zerstört werden oder seine Geschäfte nicht mehr weiter führen. Alle Zahlen dazwischen stellen das Ergebnis einer statistischen Analyse von Bedrohungsdaten und den Erfahrungen des Unternehmens dar. Auch die zum Download angebotene Risikobewertung verwendet diesen Ansatz.

Die quantitative Skala 0,0 bis 1,0 lässt sich auch mit qualitativen Kriterien verbinden. Zum Beispiel wäre dann 0,0 bis 0,4 = geringes Risiko, 0,5 bis 0,7 = mittleres Risiko und 0,8 bis 1,0 = hohes Risiko.

Die Analyse und qualitative Bewertung der relevanten Risiken bildet die Basis für eine Risikomanagement-Strategie. Diese ist abhängig von der Entscheidung des höheren Managements und dessen Bereitschaft, angemessen mit Risiken umzugehen. 

So kann es sich beispielsweise auf Strategien zur Minimierung der höchsten Risiken beschränken oder alle Risikokategorien aktiv angehen. Die entsprechend definierte Risikomanagement-Strategie bildet dann die Grundlage für den Entwurf einer Business Continuity- und Disaster Recovery-Strategie.

Risikobewertungen sind ein wichtiger Bestandteil eines Business Continuity- oder Disaster Recovery-Programms. Der Prozess kann relativ einfach sein, wenn sich ein Unternehmen etwa für den qualitativen Ansatz entscheidet. Etwas aufwändiger ist der quantitative Ansatz, in dem es darum geht, die numerischen Faktoren mit statistischen Daten zu belegen. Hier müssen die Daten aus allen operativen Systemen gesammelt, aufbereitet und analysiert werden.

Das können Finanzkennzahlen, Informationen zur IT-Infrastruktur, Produkt- und Kundendaten, Marktinformationen oder operative Messgrößen sein. Diese Daten sind Indikatoren für plötzliche und unerwartete strukturelle Veränderungen innerhalb und außerhalb des Unternehmens. Wichtig: Die Informationen, die zur Identifikation und Bewertung von Risiken dienen, müssen aktuell und valide sein. Denn ein leistungsfähiges Risikofrühwarnsystem braucht eine verlässliche Datengrundlage.

Unabhängig von der gewählten Methode sollten die Ergebnisse der Risikobewertung mit den in der Business Impact Analyse identifizierten kritischen Geschäftsprozesse verknüpft werden. Dies ist die Basis für eine Strategie zum angemessenen Management der identifizierten Risiken. Die Risikobewertungs-Vorlage von SearchDisasterRecovery.com erleichtert hier den Einstieg.

Über den Autor: 
Paul Kirvan verfügt als Berater, Autor und Leiter von Schulungen über mehr als 20 Jahre Erfahrung im Business Continuity Management. Er ist zudem Vorstandsmitglied des US-amerikanischen Business Continuity Institute.

Folgen Sie SearchStorage.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Disaster Recovery