{"id":4871,"date":"2011-03-25T10:56:24","date_gmt":"2011-03-25T10:56:24","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/25\/tipps-zur-risikoeinschatzung-fur-kleinunternehmen\/"},"modified":"2022-12-28T11:52:08","modified_gmt":"2022-12-28T11:52:08","slug":"tipps-zur-risikoeinschatzung-fur-kleinunternehmen","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/de\/blog\/2011\/03\/25\/tipps-zur-risikoeinschatzung-fur-kleinunternehmen\/","title":{"rendered":"Tipps zur Risikoeinsch\u00e4tzung f\u00fcr Kleinunternehmen"},"content":{"rendered":"<p>Ich habe eine ganze Reihe von Kleinunternehmen (bis zu 50 Mitarbeiter) beobachtet, die versucht haben, Werkzeuge zur Risikoeinsch\u00e4tzung als Teil ihrer Umsetzung der <a href=\"\/27001academy\/de\/?page_id=674\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> einzusetzen. Das Ergebnis besteht darin, dass der Zeit- und Kostenaufwand \u00fcblicherweise zu gro\u00df ist und die Auswirkungen zu gering bleiben.<\/p>\n<p>Zun\u00e4chst einmal \u2013 was ist Risikobewertung eigentlich, und welchen Zweck verfolgt sie? Risikobewertung ist ein Prozess, in dem ein Unternehmen Informationen \u00fcber Sicherheitsrisiken erfasst, um deren Wahrscheinlichkeit und Auswirkungen zu bestimmen. Einfacher ausgedr\u00fcckt sollte das Unternehmen alle potenziellen Probleme und deren zugeh\u00f6rige Informationen erfassen, wie wahrscheinlich deren Eintreten ist und welche Folgen sie nach sich ziehen k\u00f6nnten. Der Sinn der Risikobewertung besteht darin, welche Ma\u00dfnahmen notwendig sind, um das Risiko zu senken. Die Auswahl der Ma\u00dfnahmen, die als Risikobehandlung bezeichnet wird, erfolgt aus Anhang A der ISO 27001, in dem 133 Ma\u00dfnahmen festgelegt sind.<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><br \/>\nDie Risikoeinsch\u00e4tzung erfolgt durch Erkennung und Bewertung von Werten, Schwachstellen und Bedrohungen. Ein Wert ist etwas von Wert f\u00fcr das Unternehmen \u2013 Hardware, Software, Mitarbeiter, Infrastruktur, Daten (in verschiedenen Formen und Medien), Lieferanten und Partner usw. Eine Schwachstelle ist die Schw\u00e4che eines Werts, eines Prozesses, einer Ma\u00dfnahme usw., die durch eine Bedrohung ausgenutzt werden k\u00f6nnte. Bedrohung ist eine Sache, die einem System oder einem Unternehmen Schaden zuf\u00fcgen k\u00f6nnte. Beispiel f\u00fcr eine Schwachstelle ist das Fehlen einer Antivirensoftware. Eine damit verbundene Bedrohung ist der Computervirus.<\/p>\n<p>Mit diesem Hintergrundwissen ben\u00f6tigen Sie f\u00fcr ein kleines Unternehmen nicht unbedingt ein ausgefeiltes Instrument f\u00fcr die Risikoeinsch\u00e4tzung. Alles was Sie ben\u00f6tigen, sind eine Excel-Tabelle, eine gute \u00dcbersicht der Schwachstellen und Bedrohungen sowie eine gute <a href=\"\/27001academy\/de\/?p=3246\" target=\"_blank\" rel=\"noopener noreferrer\">Methodik der Risikoeinsch\u00e4tzung<\/a>. Die Hauptaufgabe besteht wirklich darin, Wahrscheinlichkeit und Auswirkungen einzusch\u00e4tzen. Dies kann kein Werkzeug bewerkstelligen \u2013 dar\u00fcber m\u00fcssen die Eigent\u00fcmer der Verm\u00f6genswerte mit ihren Kenntnissen der Werte nachdenken.<\/p>\n<p>Wo erhalten Sie daf\u00fcr die Kataloge und die Methodik? Wenn Sie auf die Dienste eines Beraters zur\u00fcckgreifen, so sollte er\/sie diese bereitstellen. Andernfalls gibt es im Internet ein paar kostenlose Kataloge. Suchen Sie einfach mit Google. Die Methodik ist nicht kostenlos erh\u00e4ltlich. Sie k\u00f6nnten jedoch die Norm ISO 27005 verwenden (sie beschreibt detailliert Risikoeinsch\u00e4tzung und -behandlung), oder Sie k\u00f6nnen auf andere Websites zur\u00fcckgreifen, auf denen die Methodik verkauft wird. Alles dies sollte deutlich weniger Zeit und Geld als der Kauf eines Instruments zur Risikoeinsch\u00e4tzung kosten, zumal Sie noch lernen m\u00fcssen, wie man dieses benutzt.<\/p>\n<p>Eine gute Methodik sollte ein Verfahren zur Identifizierung von Werten, Bedrohungen und Schwachstellen umfassen sowie Tabellen zur Festlegung von Wahrscheinlichkeit und Auswirkungen, eine Methode zur Berechnung des Risikos enthalten und das akzeptable Risiko definieren. Kataloge sollten mindestens 30 Schwachstellen und 30 Bedrohungen enthalten. Einige Kataloge enthalten auch jeweils ein paar hundert, aber das ist f\u00fcr ein kleines Unternehmen wohl zu viel.<\/p>\n<p>Der Prozess ist wirklich nicht kompliziert &#8211; dies sind die grundlegenden Schritte f\u00fcr Einsch\u00e4tzung und Behandlung:<\/p>\n<ol>\n<li>Festlegen und Dokumentieren der Methodik (einschlie\u00dflich der Kataloge), Weitergabe an alle Werteigent\u00fcmer im Unternehmen<\/li>\n<li>Organisieren von Gespr\u00e4chen mit allen Werteigent\u00fcmer, in denen diese ihre Werte und damit verbundene Schwachstellen und Bedrohungen benennen sollten. In einem zweiten Schritt bitten Sie sie, Wahrscheinlichkeit und Auswirkungen zu bewerten, falls bestimmte Risiken eintreten<\/li>\n<li>Konsolidierung der Daten in einem einzelnen Tabellenblatt, Berechnung der Risiken und Angeben, welche Risiken nicht akzeptabel sind<\/li>\n<li>f\u00fcr jedes nicht akzeptable Risiko w\u00e4hlen Sie eine oder mehrere Ma\u00dfnahmen aus Anhang A der ISO 27001 &#8211; berechnen Sie, welche neue Risikoebene nach diesen Ma\u00dfnahmen gelten w\u00fcrde.<\/li>\n<\/ol>\n<p>Zusammengefasst: Risikoeinsch\u00e4tzung und -behandlung sind wirklich die Grundlage der Informationssicherheit \/ ISO 27001, aber das bedeutet nicht, dass sie kompliziert sein m\u00fcssen. Sie k\u00f6nnen es auf einfache Weise tun, und Ihr gesunder Menschenverstand ist das, was wirklich z\u00e4hlt.<\/p>\n<p><em>Um mehr zu erfahren, laden Sie dieses kostenlose <\/em><a href=\"https:\/\/info.advisera.com\/27001academy\/free-download\/diagram-of-iso-270012013-risk-assessment-and-treatment-process\" target=\"_blank\" rel=\"noopener noreferrer\">Diagram of ISO 27001:2013 Risk Assessment and Treatment process<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ich habe eine ganze Reihe von Kleinunternehmen (bis zu 50 Mitarbeiter) beobachtet, die versucht haben, Werkzeuge zur Risikoeinsch\u00e4tzung als Teil ihrer Umsetzung der ISO 27001 einzusetzen. Das Ergebnis besteht darin, dass der Zeit- und Kostenaufwand \u00fcblicherweise zu gro\u00df ist und die Auswirkungen zu gering bleiben. Zun\u00e4chst einmal \u2013 was ist Risikobewertung eigentlich, und welchen Zweck &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[52],"tags":[623,1237],"class_list":["post-4871","post","type-post","status-publish","format-standard","hentry","category-blog-de","tag-risikoeinschatzung","tag-iso-27001-de"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/comments?post=4871"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4871\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/media?parent=4871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/categories?post=4871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/tags?post=4871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}