IT-Risiken bewerten | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

So bewerten Sie Ihre IT-Risiken

Das Thema IT-Risikoanalyse wird im Geschäftsumfeld immer wichtiger, denn ohne IT und vor allem ohne internetfähige Geräte ist heute kaum eine Firma denkbar. Die Nutzung digitaler Infrastruktur birgt bei allen Vorteilen jedoch einige Risiken, welche schlimmstenfalls sogar das Geschäft bedrohen können. Neben Cyberattacken wie DDos, Malware und Phishing oder einem einfachen Stromausfall im Datencenter besteht auch ein Risiko durch Anwendungen, die von Dritten gewartet werden. Und genauso gefährlich ist die unsachgemässe Bedienung der Geräte seitens der Mitarbeitenden – der sogenannte «Faktor Mensch». 

Zum Fachartikel: Was bedeutet der «Faktor Mensch» für die IT-Sicherheit?

IT-Sicherheit: Vorsicht ist besser als Nachsicht

IT-Sicherheit ist ein zentraler Baustein jedes Geschäftserfolgs. Wird dieser Punkt jedoch nur als Kostenfaktor betrachtet, läuft das Unternehmen schnell Gefahr, den Risiken zu wenig Aufmerksamkeit zu schenken. Mögliche Folgen sind Datenverlust, Angriffe auf kritische Infrastruktur und Geschäftsausfälle. Ein professioneller Umgang mit dem Thema IT-Risikoanalyse sollte daher integraler Bestandteil jeder modernen Geschäftsstrategie sein. Als Grundsatz dafür gilt: «Jederzeit auf das schlimmste vorbereitet sein». 

IT-Risikoanalyse: Schritt für Schritt

Schritt 1: Risiken erkennen

Damit Sie Risiken vermindern können, müssen Sie diese zuerst erkennen. Erfassen Sie dafür die IT Ihres Unternehmens schematisch und beachten Sie dabei auch die sogenannte «Schatten IT». Dabei handelt es sich um halboffiziell verwendete Geräte, Workarounds und andere Anpassungen, die von Mitarbeitenden vorgenommen werden. Nicht vergessen sollten Sie ausserdem den Update-Status der Geräte und andere mögliche Sicherheitslücken.

Bei IT-Risiken gilt: Die Kette ist nur so stark ist, wie ihr schwächstes Glied. Deshalb sollten Sie die schwachen Glieder in der Folge identifizieren. Gehen Sie alle Systeme und Datenflüsse durch und notieren Sie jedes Risiko. So erhalten Sie schnell ein Bild darüber, wo die grössten Schwachstellen liegen. Risiken können hierbei unterschiedlicher Natur sein:

  • Technische Risiken: alte Geräte oder Betriebssysteme mit Sicherheitslücken

  • Physische Risiken: Wasserschaden im Rechenzentrum oder Vandalismus

  • Prozessuale Risiken: menschliches Fehlverhalten oder zu geringes Bewusstsein für Risikomanagement

Schritt 2: Risiken strukturieren

Sie werden vermutlich erstaunt sein darüber, wie viele Risiken Sie identifizieren. Das ist jedoch völlig normal. In einem nächsten Schritt geht es nun darum, diese zu strukturieren. Dabei sind zwei Skalen wichtig:

  1. Wie gross ist der mögliche Schaden?

  2. Wie hoch ist die Eintrittswahrscheinlichkeit?

Es gibt Risiken, welche die Existenz des Unternehmens bedrohen und solche, deren Eintreten geringe Auswirkungen hätte. Die Verwendung von Privatgeräten im Firmen-WLAN ist beispielsweise ein grosses Risiko. Ist ein solches Gerät unsicher, kann es Angreifern im Extremfall Zugriff auf sämtliche Kundendaten des Unternehmens ermöglich. Die zweite Skala bewertet die Eintrittswahrscheinlichkeit. Dass ein Server durch einen Sandsturm beschädigt wird ist zum Beispiel deutlich unwahrscheinlicher, als dass ein Mitarbeitender versehentlich eine Schadsoftware herunterlädt.

Schritt 3: Risiken priorisieren

Nachdem Sie Risiken erkannt und strukturiert haben, müssen diese priorisiert werden. Hierfür eignet sich zum Beispiel ein Punktesystem. Als Faustregel gilt: Ein Risiko mit hohem Schadenspotenzial und hoher Eintrittswahrscheinlichkeit ist weit oben in der Prioritätenlist.

In die Beurteilung sollte jedoch auch noch ein weiterer Aspekt einfliessen: Einige Risiken lassen sich einfach beheben, andere fast gar nicht. So ist zum Beispiel ein Softwareupdate schnell gemacht, ein altes Kernsystem kann man hingegen nicht ohne Ersatz und strategische Planung auswechseln. Die angepasste Faustregel lautet somit: Auch wenn ein Risiko unwahrscheinlich ist und nur geringen Schaden anrichten kann, wenn es in 10 Minuten behoben werden kann, sollte man dies tun.

Schritt 4: Massnahmen definieren

Nach der Priorisierung folgt die Definition konkreter Massnahmen und Prozesse sowie des Zeitplans. Auch wenn es anfänglich am sinnvollsten erscheint, sich direkt um die hoch priorisierten und schnell lösbaren Risiken zu kümmern, sollte eine gute Planung jedoch immer kurz-, mittel und langfristige Elemente enthalten. Vergessen Sie auch nicht, dass viele Risiken wiederkehrende Aktionen wie Softwareupdates verlangen.

Definieren Sie neben Massnahmen auch Prozesse und integrieren Sie diese in die bestehende Prozesslandschaft. Schulen Sie alle Mitarbeitenden und teilen Sie das Thema IT-Sicherheit nicht isoliert einer Abteilung zu. Denn je mehr Mitarbeitende ein Bewusstsein für das Thema haben, desto besser ist Ihr Unternehmen geschützt.

Schritt 5: Notfallplan erstellen

Vergessen Sie nicht, einen Notfallplan zu erstellen. Risiken lassen sich zwar minimieren, aber häufig nicht ganz vermeiden. Für diesen Fall sollten Sie Notfallpläne und Backup-Systeme bereit haben. Denn tritt ein solches Ereignis erst einmal ein, ist strukturiertes Handeln oft nicht mehr möglich. Deshalb gilt es vorher zu klären, wie das Unternehmen in einer solchen Phase weiterlaufen oder wie die Infrastruktur und Geschäftstätigkeit wiederhergestellt werden kann.

Trotz aller Planung und gelebten Sicherheitskultur: Achten Sie darauf, nicht ineffizient zu werden und wichtige Unternehmensprozesse zu lähmen. IT-Sicherheit sollte ein organischer Teil Ihrer Aktivität sein und von allen Mitarbeitenden gelebt werden – und nicht ein lästiger Aspekt, der jeden Prozess verkompliziert.

Digitale Zertifikate.

Für maximale Sicherheit.

Zum Webshop