icon

Risiken und Schutzbedarf analysieren

Die Schutzbedarfsanalyse

Anhand einer Schutzbedarfsanalyse wird ermittelt, welcher Schutz für Informationswerte und für die Informationstechnik in einem Unternehmen ausreichend und angemessen ist. Eine Schutzbedarfsanalyse ist auf die ganz individuelle Risikosituation eines Unternehmens abgestimmt. Sie erfasst alle Risiken, die das Unternehmen treffen können. Die Identifikation von Risiken im IT-Bereich umfasst dabei alle Unternehmensbereiche, also zum Beispiel Personal, Infrastruktur, sämtliche IT-Systeme und Anwendungen, Datenübertragung und Kommunikation sowie weitere Bereiche, die für die jeweilige Firma relevant sind (beispielsweise Produktion, Lager usw.).


Für jede Anwendung und die mit ihr verarbeiteten Informationen werden die möglichen Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität entstehen können. Diese vier Begriffe bezeichnen die IT-Sicherheitsgrundwerte:

 

  • Vertraulichkeit: Der Zugang zu vertraulichen Informationen darf nur den Befugten ermöglicht werden.
  • Integrität: Geschäfts- und Kundendaten sind stets manipulationsgesichert, das heißt, Informationen können nicht unbefugt oder unbemerkt verändert werden           
  • Verfügbarkeit: Informationen und Daten sind genau zum geforderten Zeitpunkt im vorgegebenen Zeitrahmen und Umfang verfügbar.
  • Authentizität: Bei sämtlichen innerhalb des Unternehmens verarbeiteten Informationen ist nachvollziehbar, wer welche Daten erstellt, geändert und gesendet hat.


Wichtig ist auch eine realistische Einschätzung möglicher Folgeschäden. Der Schutzbedarf aller Informationswerte (und damit auch der Geräte, auf denen diese Werte erstellt oder aufbewahrt werden) wird in Schutzbedarfskategorien eingeteilt, zum Beispiel in „niedrig bis mittel“, „hoch“ und „sehr hoch“. Abhängig von den individuellen Anforderungen innerhalb eines Unternehmens werden meist drei bis fünf solcher Kategorien festgelegt. Hinsichtlich der Vertraulichkeit wird häufig auch Kategorisierung in „öffentlich“, „intern“ und „geheim“ verwendet.
Der Schutzbedarf für einen Geschäftsprozess orientiert sich an den Informationen, die darin verarbeitet bzw. dafür genutzt werden. Die IT-Anwendungen, die den jeweiligen Geschäftsprozess unterstützen, werden mit dem Schutzbedarf ausgestattet, den der gesamte Prozess zugewiesen bekommen hat.
In der Schutzbedarfsanalyse werden die möglichen Angriffsszenarien definiert, welche die Sicherheitsgrundwerte beeinträchtigen könnten, falls keine Gegenmaßnahmen ergriffen werden.

Die Risikoanalyse

Die Risikoanalyse folgt der Schutzbedarfsanalyse. In der Risikoanalyse wird neben den Auswirkungen eines Risikos auch die Wahrscheinlichkeit berücksichtigt und erfasst, mit der ein Schaden eintritt. In der Risikoanalyse wird aufgeführt, welches tatsächliche Restrisiko noch besteht. Es wird also bewertet, wie gut die Sicherheitsmaßnahmen greifen.


Die Risikoanalyse liefert die Informationsbasis für die weiteren Prozessschritte des Risikomanagements, insbesondere für die Risikosteuerung.

  • Sie beinhaltet die qualitative Bewertung und quantitative Messung von Einzelrisiken einschließlich ihrer Wirkungszusammenhänge.
  • Risikoanalyse umfasst ferner Szenario- und Sensitivitätsanalysen.
  • Anhand ihrer Ergebnisse lässt sich das Risikoportfolio des Unternehmens abbilden.
  • Die regelmäßige und kontinuierliche Erfassung der Analyseergebnisse im Zeitablauf sowie eine entsprechende Berichterstattung sind Voraussetzung für eine erfolgreiche Risikosteuerung.