Informationen intelligent aufbereiten

Allerdings erweist sich oft die Nachvollziehbarkeit des Status bereits erkannter Risiken und der dazu etablierten Sicherheits-maßnahmen als schwierig. Zuständigkeiten und Termine bleiben intransparent, ebenso wie die Zuordnung konkreter Bedrohungen der Assets, Prozesse und Standorte. Damit ist eine Priorisierung anhand der Kritikalität potentieller Bedrohungen und in der Folge die Auswahl geeigneter Maßnahmen zur Risikominimierung nahezu unmöglich.

Durch die Umstellung der IT zu Services nach ITIL und die Einführung von Asset-Management, Softwareverteilung, Lizenzmanagement und Helpdesk entstand in den letzten Jahren immerhin eine größere Übersicht in der IT. Zusätzlich bieten Schwachstellenmanagement (Vulnerability Management, VM) und Security Information & Event Management (Siem) in Echtzeit Informationen hinsichtlich des Sicherheitsstatus einzelner Assets oder Assetgruppen.

Vermehrt wird nun der Ruf nach „Business Intelligence (BI)“ im Risikomanagement laut, um wichtige von unwichtigen Informationen zu trennen. Die BI-Sicht auf das Risikomanagement aggregiert, harmonisiert und korreliert Daten aus mehreren Quellen, um anschließend durch den Einsatz intelligenter Filter die gesuchten Informationen zu extrahieren. Dennoch stellt sich die Frage, wie die tatsächlich vorliegenden Risiken am wirkungsvollsten zu reduzieren sind.

Während die IT-Sicherheit lediglich die technische Sicht auf Schwachstellen und Bedrohungen darstellt, erlaubt der betriebswirtschaftliche Blickwinkel überhaupt erst die Bewertung der einzelnen Risiken. Indem das Risikomanagement aus betriebswirtschaftlichen Gesichtspunkten die kritischen Geschäftsprozesse und die dafür benötigten Anwendungen einbezieht, können wichtige Applikationen benannt und die für den Betrieb notwendigen IT-Ressourcen erfasst werden.

Eine entsprechende Automatisierung ermöglicht dann eine recht einfache Identifikation der Schwachstellen – im Gegensatz zur eigentlichen Risikosituation. Sowohl der Ansatz, das Risiko pekuniär genau zu bewerten als auch eine eher relative Einschätzung, beruhen zumindest in Teilen auf Annahmen oder Statistiken und enthalten somit einen Unsicherheitsfaktor. Das operative Risikomanagement benötigt dabei häufig nur die Einordnung in eine Risikokategorie. Die Frage, ob der Fortbestand des Unternehmens gefährdet ist, erleichtert dabei wesentlich die Zuordnung.

Kommen die definierten Kategorien systematisch und fortlaufend zur Anwendung, ist eine Priorisierung in kritische und unkritische Systeme leicht herzustellen. Mit dem Einsatz intelligent gesteuerter Werkzeuge (wie White Cyber Knight - WCK) hat der Risikomanager die Möglichkeit, nicht nur die Ergebnisse von Audits leicht zu integrieren, er kann diese kategorisieren, Verantwortliche zuweisen und die Fortschritte der Mitigation der Schwachstellen nachfassen. Durch das Verankern von Analyse, Bewertung und Management der Risiken an einer zentralen Stelle erhalten Unternehmen eine bessere Übersicht über ihren gesamten Risikomanagementprozess.

Zunächst gilt es, die strategisch wichtigen Prozesse, Anwendungen und IT-Komponenten ebenso abzubilden wie die Standorte und übergreifende Verbindungen. Für die erfolgreiche Integration eines toolgestützten Risikomanagements empfehlen beispielsweise die Berater der Vero Certus GmbH mit dem Tool White Cyber Knight den Ansatz "think big – start small".

Folgen Unternehmen diesem Vorgehen und modellieren zunächst einen Teilbereich, ist eine spätere Ausweitung häufig wesentlich erfolgreicher als der Versuch, gleich mit der Gesamtsicht zu beginnen. Der Mehrwert eines Werkzeugs hängt eben nicht zuletzt stark von dessen Skalierbarkeit ab. Kann es sowohl die Betrachtung der Risiken einzelner Produkte und Systeme (Bottom-up) als auch abstrakter Unternehmensprozesse (Top-down) abbilden, macht sich die Investition und Integration schnell bezahlt.