Foto: Karl-Heinz Laube/ Pixelio.de

Risikomanagement

Informationen intelligent aufbereiten

Mittlere und große Unternehmen stehen vor der Herausforderung, ein effizientes und transparentes Risikomanagement zu etablieren. Keine leichte Aufgabe – auch wenn die benötigten Informationen durch umfangreiche Audits und aktuelle Daten aus der IT in der Regel zur Verfügung stehen.

Allerdings erweist sich oft die Nachvollziehbarkeit des Status bereits erkannter Risiken und der dazu etablierten Sicherheits-maßnahmen als schwierig. Zuständigkeiten und Termine bleiben intransparent, ebenso wie die Zuordnung konkreter Bedrohungen der Assets, Prozesse und Standorte. Damit ist eine Priorisierung anhand der Kritikalität potentieller Bedrohungen und in der Folge die Auswahl geeigneter Maßnahmen zur Risikominimierung nahezu unmöglich.

Daten als Basis der Risikobewertung

Durch die Umstellung der IT zu Services nach ITIL und die Einführung von Asset-Management, Softwareverteilung, Lizenzmanagement und Helpdesk entstand in den letzten Jahren immerhin eine größere Übersicht in der IT. Zusätzlich bieten Schwachstellenmanagement (Vulnerability Management, VM) und Security Information & Event Management (Siem) in Echtzeit Informationen hinsichtlich des Sicherheitsstatus einzelner Assets oder Assetgruppen.

Vermehrt wird nun der Ruf nach „Business Intelligence (BI)“ im Risikomanagement laut, um wichtige von unwichtigen Informationen zu trennen. Die BI-Sicht auf das Risikomanagement aggregiert, harmonisiert und korreliert Daten aus mehreren Quellen, um anschließend durch den Einsatz intelligenter Filter die gesuchten Informationen zu extrahieren. Dennoch stellt sich die Frage, wie die tatsächlich vorliegenden Risiken am wirkungsvollsten zu reduzieren sind.

Während die IT-Sicherheit lediglich die technische Sicht auf Schwachstellen und Bedrohungen darstellt, erlaubt der betriebswirtschaftliche Blickwinkel überhaupt erst die Bewertung der einzelnen Risiken. Indem das Risikomanagement aus betriebswirtschaftlichen Gesichtspunkten die kritischen Geschäftsprozesse und die dafür benötigten Anwendungen einbezieht, können wichtige Applikationen benannt und die für den Betrieb notwendigen IT-Ressourcen erfasst werden.

Tooleinsatz im Risikomanagement

Eine entsprechende Automatisierung ermöglicht dann eine recht einfache Identifikation der Schwachstellen – im Gegensatz zur eigentlichen Risikosituation. Sowohl der Ansatz, das Risiko pekuniär genau zu bewerten als auch eine eher relative Einschätzung, beruhen zumindest in Teilen auf Annahmen oder Statistiken und enthalten somit einen Unsicherheitsfaktor. Das operative Risikomanagement benötigt dabei häufig nur die Einordnung in eine Risikokategorie. Die Frage, ob der Fortbestand des Unternehmens gefährdet ist, erleichtert dabei wesentlich die Zuordnung.

Kommen die definierten Kategorien systematisch und fortlaufend zur Anwendung, ist eine Priorisierung in kritische und unkritische Systeme leicht herzustellen. Mit dem Einsatz intelligent gesteuerter Werkzeuge (wie White Cyber Knight - WCK) hat der Risikomanager die Möglichkeit, nicht nur die Ergebnisse von Audits leicht zu integrieren, er kann diese kategorisieren, Verantwortliche zuweisen und die Fortschritte der Mitigation der Schwachstellen nachfassen. Durch das Verankern von Analyse, Bewertung und Management der Risiken an einer zentralen Stelle erhalten Unternehmen eine bessere Übersicht über ihren gesamten Risikomanagementprozess.

Erfolgsfaktor: Modellierung

Zunächst gilt es, die strategisch wichtigen Prozesse, Anwendungen und IT-Komponenten ebenso abzubilden wie die Standorte und übergreifende Verbindungen. Für die erfolgreiche Integration eines toolgestützten Risikomanagements empfehlen beispielsweise die Berater der Vero Certus GmbH mit dem Tool White Cyber Knight den Ansatz "think big – start small".

Folgen Unternehmen diesem Vorgehen und modellieren zunächst einen Teilbereich, ist eine spätere Ausweitung häufig wesentlich erfolgreicher als der Versuch, gleich mit der Gesamtsicht zu beginnen. Der Mehrwert eines Werkzeugs hängt eben nicht zuletzt stark von dessen Skalierbarkeit ab. Kann es sowohl die Betrachtung der Risiken einzelner Produkte und Systeme (Bottom-up) als auch abstrakter Unternehmensprozesse (Top-down) abbilden, macht sich die Investition und Integration schnell bezahlt.

Stefan Schaffner, Geschäftsführer, Vero Certus GmbH

Foto: TÜV Rheinland

Cyber Security Trends 2016

Mehr Angriffe, neue Ziele

Wie werden neue Technologien und die sich verschärfenden Cyber-Bedrohungen die Wirtschaft und öffentliche Hand 2016 beeinflussen? Welche Konsequenzen resultieren daraus für IT-Security-Entscheider? Damit haben sich Security-Analysten und Consultants von TÜV Rheinland in Deutschland sowie in Großbritannien und den USA befasst.

Foto: einzmedia/Pixelio

Rühlconsulting

Mittelstand mit Nachholbedarf bei Risikomanagement

Viele Unternehmen gehen heute bewusster mit dem Thema Risikomanagement um als noch vor zehn Jahren. Allerdings, so die Ergebnisse einer Umfrage, mangelt es in vielen Firmen an einem Gesamtkonzept.

Foto: Gerd Altmann/Pixelio.de

Risikomanagement

Zeit für ein neues Sicherheitsdenken

Immer komplexere Online-Bedrohungen, immer dreistere Wirtschaftsspionage und immer mehr Einfallstore in das Unternehmensnetzwerk durch Cloud-Dienste und mobile Endgeräte lassen traditionelle Sicherheitsansätze im wahrsten Sinne des Wortes „alt“ aussehen.

Foto: Thomas Vogt/ Fotolia.com

Mittelstands-IT

Mit Minimalbudget mehr Sicherheit

Die Entscheidungsträger im Mittelstand zeigen sich oft zurückhaltend gegenüber Investitionen in Sicherheitsmaßnahmen. Sie übersehen dabei nicht nur drohende Haftungsrisiken. Erst wenn ein Schaden eintritt, stellen die Verantwortlichen das erforderliche Budget bereit, um Sicherheitslücken zu schließen.