Tipps zur Risikoeinschätzung für Kleinunternehmen

Ich habe eine ganze Reihe von Kleinunternehmen (bis zu 50 Mitarbeiter) beobachtet, die versucht haben, Werkzeuge zur Risikoeinschätzung als Teil ihrer Umsetzung der ISO 27001 einzusetzen. Das Ergebnis besteht darin, dass der Zeit- und Kostenaufwand üblicherweise zu groß ist und die Auswirkungen zu gering bleiben.

Zunächst einmal – was ist Risikobewertung eigentlich, und welchen Zweck verfolgt sie? Risikobewertung ist ein Prozess, in dem ein Unternehmen Informationen über Sicherheitsrisiken erfasst, um deren Wahrscheinlichkeit und Auswirkungen zu bestimmen. Einfacher ausgedrückt sollte das Unternehmen alle potenziellen Probleme und deren zugehörige Informationen erfassen, wie wahrscheinlich deren Eintreten ist und welche Folgen sie nach sich ziehen könnten. Der Sinn der Risikobewertung besteht darin, welche Maßnahmen notwendig sind, um das Risiko zu senken. Die Auswahl der Maßnahmen, die als Risikobehandlung bezeichnet wird, erfolgt aus Anhang A der ISO 27001, in dem 133 Maßnahmen festgelegt sind.



Die Risikoeinschätzung erfolgt durch Erkennung und Bewertung von Werten, Schwachstellen und Bedrohungen. Ein Wert ist etwas von Wert für das Unternehmen – Hardware, Software, Mitarbeiter, Infrastruktur, Daten (in verschiedenen Formen und Medien), Lieferanten und Partner usw. Eine Schwachstelle ist die Schwäche eines Werts, eines Prozesses, einer Maßnahme usw., die durch eine Bedrohung ausgenutzt werden könnte. Bedrohung ist eine Sache, die einem System oder einem Unternehmen Schaden zufügen könnte. Beispiel für eine Schwachstelle ist das Fehlen einer Antivirensoftware. Eine damit verbundene Bedrohung ist der Computervirus.

Mit diesem Hintergrundwissen benötigen Sie für ein kleines Unternehmen nicht unbedingt ein ausgefeiltes Instrument für die Risikoeinschätzung. Alles was Sie benötigen, sind eine Excel-Tabelle, eine gute Übersicht der Schwachstellen und Bedrohungen sowie eine gute Methodik der Risikoeinschätzung. Die Hauptaufgabe besteht wirklich darin, Wahrscheinlichkeit und Auswirkungen einzuschätzen. Dies kann kein Werkzeug bewerkstelligen – darüber müssen die Eigentümer der Vermögenswerte mit ihren Kenntnissen der Werte nachdenken.

Wo erhalten Sie dafür die Kataloge und die Methodik? Wenn Sie auf die Dienste eines Beraters zurückgreifen, so sollte er/sie diese bereitstellen. Andernfalls gibt es im Internet ein paar kostenlose Kataloge. Suchen Sie einfach mit Google. Die Methodik ist nicht kostenlos erhältlich. Sie könnten jedoch die Norm ISO 27005 verwenden (sie beschreibt detailliert Risikoeinschätzung und -behandlung), oder Sie können auf andere Websites zurückgreifen, auf denen die Methodik verkauft wird. Alles dies sollte deutlich weniger Zeit und Geld als der Kauf eines Instruments zur Risikoeinschätzung kosten, zumal Sie noch lernen müssen, wie man dieses benutzt.

Eine gute Methodik sollte ein Verfahren zur Identifizierung von Werten, Bedrohungen und Schwachstellen umfassen sowie Tabellen zur Festlegung von Wahrscheinlichkeit und Auswirkungen, eine Methode zur Berechnung des Risikos enthalten und das akzeptable Risiko definieren. Kataloge sollten mindestens 30 Schwachstellen und 30 Bedrohungen enthalten. Einige Kataloge enthalten auch jeweils ein paar hundert, aber das ist für ein kleines Unternehmen wohl zu viel.

Der Prozess ist wirklich nicht kompliziert – dies sind die grundlegenden Schritte für Einschätzung und Behandlung:

  1. Festlegen und Dokumentieren der Methodik (einschließlich der Kataloge), Weitergabe an alle Werteigentümer im Unternehmen
  2. Organisieren von Gesprächen mit allen Werteigentümer, in denen diese ihre Werte und damit verbundene Schwachstellen und Bedrohungen benennen sollten. In einem zweiten Schritt bitten Sie sie, Wahrscheinlichkeit und Auswirkungen zu bewerten, falls bestimmte Risiken eintreten
  3. Konsolidierung der Daten in einem einzelnen Tabellenblatt, Berechnung der Risiken und Angeben, welche Risiken nicht akzeptabel sind
  4. für jedes nicht akzeptable Risiko wählen Sie eine oder mehrere Maßnahmen aus Anhang A der ISO 27001 – berechnen Sie, welche neue Risikoebene nach diesen Maßnahmen gelten würde.

Zusammengefasst: Risikoeinschätzung und -behandlung sind wirklich die Grundlage der Informationssicherheit / ISO 27001, aber das bedeutet nicht, dass sie kompliziert sein müssen. Sie können es auf einfache Weise tun, und Ihr gesunder Menschenverstand ist das, was wirklich zählt.

Um mehr zu erfahren, laden Sie dieses kostenlose Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: