<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content

Wie kann man IT Risiken bewerten?

Wie kann man IT Risiken bewerten?

In unserem Artikel „Wie kann man IT Risiken klassifizieren?“ haben Sie schon einige Merkmale kennengelernt, anhand derer Sie IT Risiken klassifizieren können. Aber um diese Klassifizierung sinnvoll nutzen zu können, sollten Sie die Risiken dann auch bewerten. Somit erhalten Sie eine Übersicht über Ihre aktuellen Risiken im Unternehmen, können diese nach ihrer Dringlichkeit ordnen und wissen genau, wie Sie die vorhandenen Probleme behandeln können.

 

Bewertung anhand der Schadenshöhe

Der erste wichtige Punkt, wenn Sie IT Risiken bewerten, ist die Schadenshöhe. Eine grobe Einschätzung des potenziellen Schadens, gibt Aufschluss darüber, wie mit dem jeweiligen Risiko umzugehen ist. Ist das Schadenspotenzial hoch, so sollte das Risiko so schnell wie möglich behandelt werden.

Ein Beispiel für ein IT Risiko mit einem hohen Schadenspotenzial ist die Verschlüsselung der Unternehmensdaten auf dem zentralen Fileserver durch einen Krypto-Trojaner. Denn dies führt oftmals zu einem kompletten Betriebsstillstand, der im Regelfall den größten Schaden verursacht.

»Lesetipp:

Sie möchten wissen, wie ein Krypto-Trojaner einen solchen Betriebsstillstand verursachen kann? Dann lesen Sie unser Szenario "So runiniert ein Hackerangriff ein Unternehmen".

 

Fällt hingegen der Webshop aus, weil dieser Ziel eines Hackerangriffs (Denial of Service Angriff) geworden ist, muss man lediglich Umsatzeinbußen in Kauf nehmen. Der Betrieb kann aber normalerweise weiterlaufen, da andere Vertriebswege weiter aktiv sind.

Beachten Sie hierbei jedoch, dass nicht unbedingt nur die absoluten Zahlen zählen. Es sollte auch die finanzielle Leistungsfähigkeit (Liquidität) und damit der zu verkraftende Schaden miteinbezogen werden! Fünfstellige Schadensbeträge können ein kleines und am Rande des Kontokorrentkredits agierendes Unternehmen schnell in Existenznöte bringen, wohingegen hohe fünfstellige Beträge bei finanziell solide aufgestellten Unternehmen durchaus zu verkraften sind.

 

Jetzt kostenfreies IT-Sicherheitskonzept downloaden!

 

Bewertung anhand der Eintrittswahrscheinlichkeit

Weiterhin gilt es, die Eintrittswahrscheinlichkeit zu betrachten. Denn Risiken mit einer hohen Eintrittswahrscheinlichkeit sind anders zu behandeln als Risiken mit einer geringen Eintrittswahrscheinlichkeit.

Wieder zwei kurze Beispiele:

Es ist eher unwahrscheinlich, dass ein mutmaßlicher Hacker ein Unternehmen gezielt aufsucht und zum Beispiel auf dem Parkplatz infizierte USB-Sticks verteilt. Er setzt dabei darauf, dass ungeschulte bzw. unachtsame Mitarbeiter einen dieser USB-Sticks leichtfertig in einen Unternehmens-PC stecken. Die menschliche Neugierde tut dann den Rest. Die Angriffsmethode über USB Sticks ist sehr erfolgsversprechend und vor allem schnell, setzt aber die physische Anwesenheit des Hackers voraus. Die Gefahr, dabei entdeckt zu werden, ist vielen Hackern allerdings zu groß.

Anders sieht es mit dem E-Mail Postfach der Personalabteilung für Bewerbungen aus. Dort hat man es grundsätzlich mit unbekannten Absendern zu tun und geht daher ein gewisses Risiko ein, Opfer von versteckter Malware, zu werden.

 

Jetzt kostenlos downloaden!

 

Fazit: Klassifizierung und Bewertung ergeben Handlungsempfehlungen

Ziel des ganzen Prozesses der Klassifizierung und Bewertung von IT Risiken ist, dass Sie einen Überblick über Ihre Problemfelder erhalten und gleichzeitig erkennen können wie und wann Sie diese behandeln sollten.

Grundsätzlich gelten folgende Regeln:

  • Der technische Risikofaktor lässt sich mit Technik & Technologie behandeln.
  • Der menschliche Risikofaktor lässt sich mit Schulung bzw. entsprechenden Verhaltensrichtlinien behandeln.
  • Jetzt über das myBIT Managed IT-Security Training informieren!

 

  • Der rechtliche Risikofaktor lässt sich mit Organisation behandeln.
  • Hohes Schadenspotenzial bedeutet dringende und rasche Behandlung.
  • Hohe Eintrittswahrscheinlichkeit bedeutet dringende und schnelle Behandlung.

Wenn Sie also ein IT Risiko identifiziert haben, können Sie es klassifizieren und anschließend bewerten. Damit haben Sie sofort eine Vorstellung von den Dimensionen des Risikos und von den anstehenden Maßnahmen.

Es sei allerdings noch gesagt, dass nicht jedes Risiko unbedingt behandelt werden muss. Denn manche Risiken kann man in Kauf nehmen, wenn dafür gesorgt ist, dass die potenziellen Schäden verkraftbar sind (z.B. abgedeckt durch eine Versicherung). Nur ist es fatal, seine IT Risiken nicht zu kennen und daher nicht zu behandeln!

Wenn Sie bei all den für Laien doch recht komplizierten Themen Hilfe benötigen, hilft Ihnen der BRANDMAUER IT-Sicherheitsbeauftragte gerne weiter. Unsere IT Sicherheitsbeauftragten erstellen zusammen mit Ihnen eine auf Ihren Betrieb zugeschnittene Risikobewertung, die Sie dann als Grundlage für Ihr weiteres Handeln im Risikomanagement verwenden können.