<img src="https://d5nxst8fruw4z.cloudfront.net/atrk.gif?account=JtC/o1IWx810bm" style="display:none" height="1" width="1" alt="">
Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Wie kann man IT Risiken bewerten?

Volker Bentz | 05.12.2017 17:37:31 | Lesezeit ca. 3,5 Minuten

In unserem Artikel „Wie kann man IT Risiken klassifizieren?“ haben Sie schon einige Merkmale kennengelernt, anhand derer Sie IT Risiken klassifizieren können. Aber um diese Klassifizierung sinnvoll nutzen zu können, sollten Sie die Risiken dann auch bewerten. Somit erhalten Sie eine Übersicht über Ihre aktuellen Risiken im Unternehmen, können diese nach ihrer Dringlichkeit ordnen und wissen genau, wie Sie die vorhandenen Probleme behandeln können.

 

Bewertung anhand der Schadenshöhe

Der erste wichtige Punkt, wenn Sie IT Risiken bewerten, ist die Schadenshöhe. Eine grobe Einschätzung des potenziellen Schadens, gibt Aufschluss darüber, wie mit dem jeweiligen Risiko umzugehen ist. Ist das Schadenspotenzial hoch, so sollte das Risiko so schnell wie möglich behandelt werden.

Ein Beispiel für ein IT Risiko mit einem hohen Schadenspotenzial ist die Verschlüsselung der Unternehmensdaten auf dem zentralen Fileserver durch einen Krypto-Trojaner. Denn dies führt oftmals zu einem kompletten Betriebsstillstand, der im Regelfall den größten Schaden verursacht.

»Lesetipp:

Sie möchten wissen, wie ein Krypto-Trojaner einen solchen Betriebsstillstand verursachen kann? Dann lesen Sie unser Szenario "So runiniert ein Hackerangriff ein Unternehmen".

 

Fällt hingegen der Webshop aus, weil dieser Ziel eines Hackerangriffs (Denial of Service Angriff) geworden ist, muss man lediglich Umsatzeinbußen in Kauf nehmen. Der Betrieb kann aber normalerweise weiterlaufen, da andere Vertriebswege weiter aktiv sind.

Beachten Sie hierbei jedoch, dass nicht unbedingt nur die absoluten Zahlen zählen. Es sollte auch die finanzielle Leistungsfähigkeit (Liquidität) und damit der zu verkraftende Schaden miteinbezogen werden! Fünfstellige Schadensbeträge können ein kleines und am Rande des Kontokorrentkredits agierendes Unternehmen schnell in Existenznöte bringen, wohingegen hohe fünfstellige Beträge bei finanziell solide aufgestellten Unternehmen durchaus zu verkraften sind.

 

Machen auch Sie den Quick Check und lassen Sie sich kostenfrei berechnen, was ein IT-Ausfall in Ihrem Unternehmen kosten würde:

IT-Ausfallkosten jetzt berechnen

 

Bewertung anhand der Eintrittswahrscheinlichkeit

Weiterhin gilt es, die Eintrittswahrscheinlichkeit zu betrachten. Denn Risiken mit einer hohen Eintrittswahrscheinlichkeit sind anders zu behandeln als Risiken mit einer geringen Eintrittswahrscheinlichkeit.

Wieder zwei kurze Beispiele:

Es ist eher unwahrscheinlich, dass ein mutmaßlicher Hacker ein Unternehmen gezielt aufsucht und zum Beispiel auf dem Parkplatz infizierte USB-Sticks verteilt. Er setzt dabei darauf, dass ungeschulte bzw. unachtsame Mitarbeiter einen dieser USB-Sticks leichtfertig in einen Unternehmens-PC stecken. Die menschliche Neugierde tut dann den Rest. Die Angriffsmethode über USB Sticks ist sehr erfolgsversprechend und vor allem schnell, setzt aber die physische Anwesenheit des Hackers voraus. Die Gefahr, dabei entdeckt zu werden, ist vielen Hackern allerdings zu groß.

Anders sieht es mit dem E-Mail Postfach der Personalabteilung für Bewerbungen aus. Dort hat man es grundsätzlich mit unbekannten Absendern zu tun und geht daher ein gewisses Risiko ein, Opfer von versteckter Malware, zu werden.

 

Neuer Call-to-Action (CTA)

 

Fazit: Klassifizierung und Bewertung ergeben Handlungsempfehlungen

Ziel des ganzen Prozesses der Klassifizierung und Bewertung von IT Risiken ist, dass Sie einen Überblick über Ihre Problemfelder erhalten und gleichzeitig erkennen können wie und wann Sie diese behandeln sollten.

Grundsätzlich gelten folgende Regeln:

  • Der technische Risikofaktor lässt sich mit Technik & Technologie behandeln.
  • Der menschliche Risikofaktor lässt sich mit Schulung bzw. entsprechenden Verhaltensrichtlinien behandeln.

IT Security Awareness Training: Jetzt informieren

  • Der rechtliche Risikofaktor lässt sich mit Organisation behandeln.
  • Hohes Schadenspotenzial bedeutet dringende und rasche Behandlung.
  • Hohe Eintrittswahrscheinlichkeit bedeutet dringende und schnelle Behandlung.

Wenn Sie also ein IT Risiko identifiziert haben, können Sie es klassifizieren und anschließend bewerten. Damit haben Sie sofort eine Vorstellung von den Dimensionen des Risikos und von den anstehenden Maßnahmen.

Es sei allerdings noch gesagt, dass nicht jedes Risiko unbedingt behandelt werden muss. Denn manche Risiken kann man in Kauf nehmen, wenn dafür gesorgt ist, dass die potenziellen Schäden verkraftbar sind (z.B. abgedeckt durch eine Versicherung). Nur ist es fatal, seine IT Risiken nicht zu kennen und daher nicht zu behandeln!

Wenn Sie bei all den für Laien doch recht komplizierten Themen Hilfe benötigen, hilft Ihnen der BRANDMAUER IT-Sicherheitsbeauftragte gerne weiter. Unsere IT Sicherheitsbeauftragten erstellen zusammen mit Ihnen eine auf Ihren Betrieb zugeschnittene Risikobewertung, die Sie dann als Grundlage für Ihr weiteres Handeln im Risikomanagement verwenden können.

 

BRANDMAUER IT Sicherheitscheck

Themen: IT Sicherheit, Risikomanagement

Autor: Volker Bentz

Volker Bentz ist seit 1989 im IT-Business tätig. Als Gründer und Gesellschafter prägt er seit über 25 Jahren die Geschicke der BRANDMAUER IT GmbH. Der IT-Experte berät, erstellt und implementiert IT-Lösungen für Unternehmen und Organisationen. Seine langjährigen Erfahrungen im Bereich des IT-Outsourcings und der IT Security machen Ihn zu einem Kenner der Thematik und ersten Ansprechpartner.

Telefon: (+49) 7272 92975 200
E-Mail: v.bentz@brandmauer.de

Aktuellste Beiträge

Gratis Downloads für Ihre IT Sicherheit

Blog abonnieren

7 WERKZEUGE FÜR IHRE IT SICHERHEIT
IT Sicherheits-Quickcheck
IT Sicherheits-Quickcheck BRANDMAUER IT
Mehr erfahren
IT Sicherheits-Basisprüfung
IT Sicherheits-Basisprüfung BRANDMAUER IT
Mehr erfahren
IT-Sicherheitsbeauftragter
IT-Sicherheitsbeauftragter BRANDMAUER IT
Mehr erfahren
Schwachstellen-Scanning
Schwachstellen-Scanning BRANDMAUER IT
Mehr erfahren
Penetrationstest
Penetrationstest BRANDMAUER IT
Mehr erfahren
Social Hacking
Social Hacking BRANDMAUER IT
Mehr erfahren
Security Training
IT Security Awareness Training BRANDMAUER IT
Mehr erfahren