Das Ultimative How-to: Die Risikoanalyse (Inkl. Kostenloser Vorlage)

Joanna Kwong
By: Joanna Kwong IT-Sicherheit | 6 Dezember

In diesem Blogbeitrag erläutern wir, was eine Risikoanalyse ist und warum sie für Ihre Unternehmensorganisation wichtig ist. Außerdem geben wir Ihnen eine kurze Anleitung, wie Sie mit unserer eigenen kostenlosen Vorlage loslegen können. 

Was ist eine Risikoanalyse? 

Risikoanalysen sind ein nützliches Werkzeug für jede Organisation, die Vorfälle voraussehen will und planen will, wie man die Risiken abschwächt. Sie umfasst die Identifikation und Analyse von möglichen Ereignissen, die negative Auswirkungen auf individuelle Werte, allgemeine Werte oder die Organisation haben können. Wir nutzen Risikoanalysen, um Beurteilungen der Risikotoleranz zu treffen, damit wir Risiken besser vorhersehen können. Am wichtigsten ist, dass sie uns ermöglicht, unsere Sicherheitsaktivitäten zu priorisieren. 

Wir bei CyberPilot nutzen diese Vorlage, um Organisationen bei der Risikoanalyse der Informationssicherheit zu unterstützen. Sie ist kostenlos und Sie können sie hier herunterladen:

Smart CTA Risk DE

Eine Risikoanalyse bringt Ihrer Organisation folgende Vorteile: 

  • Schwachstellen identifizieren

  • Einen guten Überblick schaffen

  • Bessere Abläufe und Anforderungen festlegen, was die Planung verbessert

  • Due-Diligence-Verfahren für Dokumente

Sie kann auch theoretische Risiken verbinden und die Wahrscheinlichkeit, dass diese im wirklichen Leben eintreten, verstehen helfen 

Auf diese Weise können Sie besser nachvollziehen, wie Sie Ressourcen zuordnen, um diese Risiken zu verhindern. Wir geben Ihnen dafür unten zwei Beispiele.

Risiko 1:

Ein Tornado trifft die Unternehmenszentrale und beschädigt die gesamte IT-Ausrüstung. 

Auch wenn das sicherlich ein Risiko ist, das Eintreten und sehr starke negative Auswirkungen haben kann, ist der Eintritt unwahrscheinlich, wenn in Ihrer Gegend bislang noch nie Tornados aufgetreten sind. Deswegen können Sie Ihre Kapazitäten auf die Planung von Lösungen für andere Risiken verwenden. 

Auswirkung: HOCH 

Wahrscheinlichkeit: NIEDRIG

Risiko 2:

Ein Mitarbeiter führt IT-Ausrüstung auf einer Geschäftsreise mit sich und diese wird auf dem Gepäckförderband beschädigt. 

Auch wenn der Verlust von IT-Ausrüstung eines Mitarbeiters keine Katastrophe für das Unternehmen darstellt, wird sie wahrscheinlicher, wenn die Mitarbeiter*innen regelmäßig reisen. Und vielleicht beinhaltet der Verlust der einzelnen Ausrüstung in der Auswirkung nicht nur die Kosten für den Laptop, das Smartphone etc., sondern kann auch zu möglichem Datenverlust führen. 

Auswirkung: MITTEL 

Wahrscheinlichkeit: MITTEL

Wir schlagen vor, dass wir uns mit der Abschwächung dieses Risikos beschäftigen 

Letzten Endes helfen Ihnen Risikoanalysen, jeden Sturm zu überstehen oder zumindest besser darauf vorbereitet zu sein. 

Risikoanalyse der Informationssicherheit

Im Bereich Informationssicherheit können wir damit beginnen, uns die potenziellen Ereignisse anzusehen, die negative Auswirkungen auf Ihre Organisation haben können. Einige Beispiele dazu: 

  • Die Website stürzt ab

  • IT-Ausrüstung wird beschädigt

  • Eine DSGVO-Verletzung

  • Verlust geistigen Eigentums

Sie können sich selbst die Frage stellen: 

  • Was bedeuten diese Ereignisse für mein Unternehmen?

  • Welche Ressourcen und Werte würde ich bei diesem Ereignis und beim Versuch der Bewältigung der Probleme verlieren?

  • Was würden wir tun, wenn etwas davon genau jetzt passieren würde?

Im nächsten Abschnitt besprechen wir, wie Sie Ihre eigene Risikoanalyse mit unserer kostenlosen Vorlage erstellen.

Wie man eine Risikoanalyse erstellt

Sie können unsere Vorlage hier herunterladen und sie ausfüllen.

Risk analysis 

Schritt 1: Erstellen Sie eine Skala für die Risikoanalysen-Matrix

Zuerst legen wir die Skalen fest, die wir für unsere Risikoanalyse nutzen. In unserer Vorlage können Sie im ersten Reiter darauf zugreifen 

risk skala DE

In dieser Vorlage kategorisieren wir die Risikolevel als niedrig, mittel oder hoch. Eine Betrachtungsweise des Risikolevels ist daran zu denken, wie schwerwiegend die Auswirkungen für Ihr Unternehmen sein können. Unten definieren wir, was jedes Risikolevel für die IT-Systeme bedeuten könnten. 

Niedriges Risiko 

  • Das System kann leicht wiederhergestellt werden

  • Das System stellt einen nicht-kritischen Dienst zur Verfügung

Mittleres Risiko 

  • Das System stellt einen normalen Dienst zur Verfügung

Hohes Risiko 

  • Das System stellt einen kritischen Dienst für die gesamte Organisation zur Verfügung

Zusätzlich können Sie bei dieser Gelegenheit mit Ihrer Organisation besprechen, wie viele Ressourcen verwendet werden müssen, um diese Probleme zu lösen, falls sie eintreten. Unsere Vorlage gibt Ihnen die Gelegenheit, die finanziellen Auswirkungen einzutragen. Sie können sich aber auch überlegen, wie viel Zeit aufgewendet werden muss, um das Problem zu beheben.  

Da sich die Risiken und Auswirkungen von Organisation zu Organisation unterscheiden, empfehlen wir dringend, diesen Abschnitt an Ihre Bedürfnisse anzupassen. Wenn Sie zum Beispiel Teil eines Unternehmens sind, dessen Umsatz ausschließlich aus dem E-Shop auf der Website stammt, dann stellt ein Absturz der Website ein viel höheres Risiko dar. Wenn hingegen Ihre Website nur als Landing-Page dient, ohne viel Funktionalität für oder Auswirkung auf Ihr Tagesgeschäft zu haben, dann ist der Absturz der Website ein niedrigeres Risiko, weil die Folgen weniger schwer sind. 

Schritt 2 – Beginnen Sie mit einer Auflistung Ihrer Assets

Füllen Sie die Risikoanalyse aus

Um die Risikoanalyse zu vervollständigen, bieten wir unterschiedliche Spalten zum Ausfüllen an: 

  • Assets

  • Kurze Beschreibung

  • Abteilung

  • Bedrohung

  • Schwachstellen

  • Durchgeführte Aktionen

  • Auswirkungen

  • Wahrscheinlichkeit

  • Vorschläge für erhöhte Sicherheit

Assets

Wenn wir in diesem Zusammenhang über Assets sprechen, meinen wir meistens Anlagen im Zusammenhang mit der
IT in Ihrer Organisation. Das kann Hardware wie Laptops und Mobilgeräte 
beinhalten. Außerdem kann es die IT-Dienstleistungen umfassen, die Ihre Organisation anbietet, wie etwa interne Kommunikationssysteme (z. B. Microsoft Teams oder Slack) oder kundenorientierte Dienste wie die Firmenwebsite. Zusätzlich zu den IT-Assets schließen wir Mitarbeiter*innen als Anlage ein, weil sie einen großen Einfluss auf den Zustand Ihrer Informationssicherheit haben. Wir besprechen das in unserem E-Book, falls Sie mehr dazu lesen wollen. 

Wenn Sie schließlich das Asset-Management durchgeführt haben, dann ist es sehr einfach, dieses Dokument als Referenz zu nutzen. Sie müssen nicht alle Anlagen aufführen, aber Sie können für den Anfang die wichtigsten oder häufig verwendete auswählen.

Kurze Beschreibung

Auch wenn sie selbsterklärend ist, kann diese Spalte sehr nützlich sein, um festzulegen, was Sie meinen, wenn Sie einen Wert aufführen. Wenn wir zum Beispiel Mitarbeiter*innen als Wert aufführen, können wir festlegen, dass das sowohl Vollzeit- wie auch Teilzeitangestellte umfasst. Sie können auch festlegen, wer nicht enthalten ist, zum Beispiel Berater, die als externe Ratgeber für die Organisation fungieren, aber nicht offiziell Teil der Organisation sind

Smart CTA_e-book DE

Abteilung

Die Festlegung, um welche Abteilung es geht, ist vorteilhaft, weil sie das Unternehmen auf den Zeitpunkt vorbereitet, wenn die Probleme gelöst werden müssen. Zunächst verschafft Ihnen das ein besseres oder aufgefrischtes Verständnis davon, was die Zuständigkeiten jeder Abteilung oder Unterabteilung sind. Zweitens hilft es der Organisation, schneller zu reagieren, wenn ein Risiko auftritt 

Wir empfehlen jedoch, nicht zu viel Zeit mit dieser Spalte zu verbringen, weil es leicht Überschneidungen zwischen Abteilungen wie auch Veränderungen im Lauf der Zeit geben kann. Wir empfehlen, dass Sie ein generelles Verständnis bekommen und flexibel sind, wenn die Zeit kommt, das Problem zu lösen. 

Schritt 3 – führen Sie die Bedrohungen und Schwachstellen auf Bedrohung

Bedrohung

Die Bedrohung ist ein potenzieller Schaden, der einer Anlage zugefügt werden kann, was Auswirkungen auf die Organisation haben kann. Wenn es Sicherheitsverletzungen oder Vorfälle in der Vergangenheit gegeben hat, können
Sie sie in dieser Spalte aufführen. Als Bedrohung könnten beispielsweise Ransomware oder nicht autorisierter Zugriff auf vertrauliche Daten eingestuft werden. Als nächstes besprechen wir Schwachstellen, die 
im Zusammenhang mit diesen Bedrohungen auftreten. 

Zum Beispiel ist die Bedrohung durch Ransomware gegeben, wenn Mitarbeiter*innen für ihre Arbeit Websites betrachten. Sie können nichtsahnend auf eine gefälschte Website gelangen und versehentlich Ransomware installieren, die dann den Zugriff der Organisation auf die eigenen Dateien und Computer sperrt, bis die Organisation die Cyberkriminellen bezahlt.

Schwachstelle

Schwachstellen können als Grund beschrieben werden, weshalb Bedrohungen eintreten. Im Fall der Ransomware könnte es zum Beispiel daran liegen, dass Mitarbeiter nichtsahnend auf eine gefälschte Website gelangen und versehentlich Ransomware installieren. Im Fall von nicht autorisiertem Zugriff auf vertrauliche Daten könnte es zum Beispiel sein, dass jemand vergessen hat, während eines Videoanrufs ein paar Fenster zu schließen und dabei zufällig den Kunden interne Kommunikation gezeigt hat. 

Dieser Abschnitt soll keine Schuldzuweisung sein, sondern theoretische Szenarien und die Gründe dafür, warum eine Bedrohung eintreten könnte, aufzeigen. Wenn wir verstehen, wie Bedrohungen auftreten, können wir a) verstehen, wie groß die Bedrohung ist, b) ihre Eintretenswahrscheinlichkeit abschätzen und c) uns Wege überlegen, wie wir sie proaktiv vermeiden. Das Verstehen und Vermeiden solcher Bedrohungen ist auch ein guter Weg, um sicherzustellen, dass Sie die Datenschutzgrundverordnung einhalten.

Durchgeführte Aktionen

In diesem Abschnitt schreiben Sie, ob Sie aktuell etwas getan haben, um dieses Risiko abzuschwächen. Wenn Sie zum Beispiel bereits zuvor wichtige Dateien verloren haben und eine Cloud-Speicherlösung als Backup eingeführt haben, dann ist das eine durchgeführte Aktion. 

Schritt 4 – Risiken bewerten

Auswirkung

Nachdem Sie die Bedrohungen aufgeschrieben haben, können Sie besser einschätzen, wie groß die Auswirkungen sein werden, falls Bedrohungen dieses Werts auftreten. Das ist offensichtlich eine subjektive Einschätzung, aber sie sollte mit Ihren Kolleg*innen besprochen werden. Dann werden Sie oft feststellen, dass es unterschiedliche Sichtweisen auf die Auswirkungen gibt. Vielleicht stuft die Marketingabteilung die Auswirkung als „HOCH“ ein, falls der Unternehmens- website etwas passiert, weil sich das auf den Verkauf auswirken kannAber die IT-Abteilung sieht das anders, weil es nicht das Tagesgeschäft des Unternehmens betrifft. Deswegen ist es wichtig, viele verschiedene Perspektiven miteinzubeziehen. 

Wahrscheinlichkeit

Nicht alle Risiken sind gleichwertigEinige können etwa mehrmals pro Monat eintreten, während andere vielleicht nur alle paar Jahre einmal passieren. Indem Sie die Wahrscheinlichkeit der Bedrohung einschätzen, können Sie verstehen, wie Sie sie priorisieren sollten. Vielleicht können Sie auch ein paar weglassen, die nicht realistisch genug sind, um behandelt zu werden.

Vorschläge für erhöhte Sicherheit

Nachdem Sie die anderen Abschnitte ausgefüllt haben, haben Sie ein besseres Verständnis von allen Werten und den damit zusammenhängenden Risiken. Davon ausgehend können Sie diesen Abschnitt verwenden, um Vorschläge für erhöhte Sicherheit aufzuschreiben.

Ihre Risikoanalyse ist fertig!

Wenn alle Abschnitte mit den Werten und den Bedrohungen, die Ihnen dazu einfallen, ausgefüllt sind, dann haben Sie einen besseren Überblick über die Risiken.

Ausgehend von der Risikoanalyse können Sie erkennen, welche Bedrohungen wahrscheinlicher eintreten und welche Auswirkungen es hat, falls sie eintreten. Natürlich sollten Sie dieses Dokument immer griffbereit halten und es laufend aktualisieren.

Wir hoffen, dass Ihnen dieser Blogbeitrag beim Verständnis geholfen hat, was eine Risikoanalyse ist und wie Sie selbst eine durchführen. Tatsächlich nutzen wir diese Vorlage, um vielen Organisationen zu helfen, die die Risiken im Zusammenhang mit der Informationssicherheit ihrer IT-Werte besser verstehen wollen. Wenn Sie Hilfe bei der Aufstellung Ihrer Risikoanalyse haben wollen, unterhalten wir uns gerne mit Ihnen. Laden Sie hier unsere Vorlage herunter und kontaktieren Sie uns über info@cyberpilot.io.

Smart CTA Risk DE