BRANDMAUER_IT_SECURITY_Verlauf_1920x800px_200707

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Wie geht Risikoanalyse im IT-Sicherheitskonzept?

Volker Bentz | 20.04.2022 13:34:37 | Lesezeit ca. 3,5 Minuten

Ein IT Sicherheitskonzept dient als Leitfaden zur Erreichung einer guten IT Sicherheit. Im IT Sicherheitskonzept wird schriftlich festgehalten in welchen Bereichen IT Sicherheit durch welche Maßnahmen erreicht werden kann. Allerdings gehört zu einem guten IT Sicherheitskonzept mehr als nur die Auflistung der verschiedenen Bereiche und Maßnahmen, sondern auch eine Risikoanalyse. Warum eine Risikoanalyse Teil Ihres IT Sicherheitskonzeptes sein sollte und welchen entscheidenden Vorteil das bringt, erfahren Sie in diesem Artikel.

 

Was ist die Risikoanalyse im IT Sicherheitskonzept?

Unter der Risikoanalyse oder auch Risikobewertung im Rahmen des IT Sicherheitskonzeptes versteht man die Einschätzung des Risikos, das einzelne Bereiche bergen. Das bedeutet, dass zu jedem Punkt bzw. Bereich im IT Sicherheitskonzept ermittelt werden sollte, welches Risiko ein Unternehmen eingeht, wenn dieser Punkt nicht abgearbeitet und damit die potenzielle Schwachstelle nicht geschlossen ist. Im Grunde bietet die Risikobewertung also zusätzliche Informationen zu jedem Punkt im IT Sicherheitskonzept, die helfen sollen bessere Entscheidungen zu treffen.

 

Warum ist eine Risikoanalyse im IT Sicherheitskonzept so wichtig?

Es gibt mehrere Gründe, die dafür sprechen das IT Sicherheitskonzept um eine Risikoanalyse zu erweitern:

  1. Man kann die größten Schwachstellen identifizieren und zeitnah schließen. Wenn alle Punkte im IT Sicherheitskonzept mit „gleichem Risiko“ bewertet würden, lässt sich nur schwer feststellen, wo die größten Schwachstellen sind. So kann es beispielsweise sein, dass in einem Bereich einige Punkte nicht erfüllt sind, diese aber an sich nur ein geringes Risiko bergen, weil das jeweilige Bedrohungsszenario nur selten eintritt. Trotzdem sollten mit der Zeit natürlich auch solche Schwachstellen geschlossen werden, zunächst kann der Punkt aber zurückgestellt werden. Man bearbeitet im IT-Sicherheitskonzept immer die Schwachstellen mit dem größten Risiko zuerst.
  2. Man kann Prioritäten setzen. Aus Punkt 1 ergibt sich natürlich auch, dass man bewerten kann, welche Maßnahmen zurzeit die höchste Priorität haben. Punkte mit geringem Risiko können im Zweifel vorerst zurückgestellt werden, während Punkte mit hohem Risiko möglichst zeitnah abgearbeitet werden sollten. Indem Sie so die für den Moment wichtigsten Maßnahmen auswählen, können Sie schnell größere Schwachstellen schließen.
  3. In Kombination mit dem Risikolevel welches man in Punkten oder Zählern ausdrücken kann, ist es möglich das Gesamtrisiko für das Unternehmen zu ermitteln bzw. sichtbar zu machen. Macht man das regelmäßig lässt sich erkennen ob die Risiken abnehmen oder zulegen.

So gestalten Sie eine gute Risikoanalyse in der IT-Sicherheit

Wie genau können Sie die Risikobewertung für einzelne Punkte im IT Sicherheitskonzept angehen? Grundsätzlich gibt es zwei wichtige Faktoren, die das Risiko bestimmen. Diese sind die Eintrittswahrscheinlichkeit und der Schaden.

Um die Eintrittswahrscheinlichkeit abschätzen zu können, nimmt man hier am besten die Häufigkeit des entsprechenden Ereignisses. Es geht nicht darum eine Eintrittswahrscheinlichkeit von z.B. genau 16% zu ermitteln. Vielmehr sollten Sie versuchen abzuschätzen, wie oft an einer bestimmten Stelle ein Schadensfall eintritt. Eine mögliche Skala wäre zwischen selten (höchstens alle 5 Jahre), mittel (einmal im Jahr bis einmal alle 5 Jahre), häufig (rund einmal pro Monat) und sehr häufig (mehrmals im Monat) zu unterscheiden.

Um den Schaden abzuschätzen sollten Sie ermitteln, wie gut oder schlecht Ihr Unternehmen mit dem Schaden umgehen kann. Eine mögliche Skala wäre: vernachlässigbar (der Schaden ist sehr gering und kann vernachlässigt werden), begrenzt (geringer Schaden), beträchtlich (der Schaden ist durchaus Ernst zunehmen) und existenzbedrohend (Ihr Unternehmen gerät in ernsthafte Gefahr z.B., weil die Produktion länger stillstehen würde).

Zusammengenommen zeigen Ihnen die beiden Faktoren dann, welches Risiko an einer bestimmten Stelle besteht. Die Risikobewertung kann gerade am Anfang und für Unternehmen mit wenig Erfahrung in Sachen IT Sicherheit herausfordernd sein, lohnt sich aber auf jeden Fall. Schließlich machen Sie Ihr IT Sicherheitskonzept damit wesentlich aussagekräftiger und können gezielt an Ihrer IT Sicherheit arbeiten ohne unnötig Ressourcen zu verschwenden.

 

Fazit

Ein gutes IT Sicherheitskonzept sollte zu jeder Maßnahme eine entsprechende Risikobewertung beinhalten. Damit kann man sicherstellen, dass an den wichtigsten Stellen Zeit und Geld investiert wird und dass nicht blindlings an Stellen gearbeitet wird, die eventuell momentan gar nicht so ein großes Risiko darstellen. Die Risikoanalyse kann anfangs etwas knifflig sein, hilft Ihnen aber auf lange Sicht enorm. Falls Sie dabei Unterstützung benötigen, können wir von BRANDMAUER IT Ihnen natürlich gerne helfen. Unser IT Sicherheitskonzept enthält auch eine Risikobewertung zu jeder Maßnahme und basiert auf langjähriger Erfahrung in der IT Sicherheit. Wenn Sie Interesse an einem IT Sicherheitskonzept oder einer Beratung haben, kontaktieren Sie uns!

Den Einstieg in die Thematik IT-Sicherheitskonzept können Sie mit unserem kostenlosen Ratgeber zum IT-Sicherheitskonzept meistern.

Jetzt kostenfrei downloaden


 

 

Themen: IT-Sicherheitskonzept

Autor: Volker Bentz

Volker Bentz ist seit 1989 im IT-Business tätig. Als Gründer und Gesellschafter prägt er seit über 25 Jahren die Geschichte der BRANDMAUER IT GmbH. Der IT-Experte berät, erstellt und implementiert IT-Lösungen für Unternehmen und Organisationen. Seine langjährigen Erfahrungen im Bereich des IT-Outsourcings und der IT Security machen Ihn zu einem Kenner der Thematik und ersten Ansprechpartner.

Telefon: (+49) 7272 92975 200
E-Mail: v.bentz@brandmauer.de

Ratgeber Sicherheitskonzept

Ihr Einstieg in das Thema IT-Sicherheitskonzept!

Download kostenfreies IT-Sicherheitskonzept

Jetzt kostenfrei downloaden
Neuer Call-to-Action

Schützt vor Hacker-Angriffen!

myBIT IT Security

Mehr erfahren
Sophos Intercept X Advanced

Schützt vor unbekannten Bedrohungen!

Sophos Intercept X

Zum Shop
Sophos Phish Threat

Schützt vor Phishing Angriffen!

Sophos Phish Threat

Zum Shop

Aktuellste Beiträge

Informiert bleiben!

Wir informieren Sie über alle wichtigen Themen rund um IT-Sicherheit, Cyberkriminalität und Datensicherheit.

Jetzt Blog abonnieren!

Gratis Downloads für Ihre IT-Sicherheit!

Jetzt herunterladen!