• Konzepte - kein Aktionismus

    Konzepte - kein Aktionismus

  • Lösungen - statt neuer Probleme

    Lösungen - statt neuer Probleme

  • 1
  • 2

IT-Risikomanagement

Das IT-Risikomanagement ist ein wesentliches Kernelement eines ISMS. Denn wie sollen auch sinnvolle Schutzmaßnahmen abgeleitet werden, wenn man die Risiken gar nicht erkannt und bewertet hat?

Schritt 1 : Methodik festlegen

Jedes Unternehmen ist verschieden. Für einige Unternehmen ist ein fünfstelliger Schaden Kleinkram, für andere existenzbedrohend. Auch die Risikobereitschaft der Geschäftsführer kann je nach Branche sehr unterschiedlich ausfallen. Diese zentralen Faktoren fließen in die angewendete Methodik zur IT-Risikoanalyse ein. Gibt es bereits ein unternehmensweites Risikomanagement (z.B. nach ISO9001) wird das IT-Risikomanagement idealerweise dort integriert.

Schritt 2: Risiken Aufnehmen - Szenarien bilden

Hier ist viel Erfahrung gefragt. Die üblichen Verdächtigen à la "Brand im Serverraum" oder "Festplattenschaden" sind schnell gefunden. Aber auch eine starke Abhängigkeit von einem Dienstleister oder eine fehlende IT-Dokumentation sind als Risiken aufzunehmen. Und welcher IT-Admin nimmt schon gerne die IT-Dokumentation in eine Todo-Liste auf?

Schritt 3: Risiken bewerten

  • Wie groß wäre der Schaden bei einem Brand im Serverraum?
  • Welche Geschäftsprozesse kommen zum Stillstand, wenn der Switch im Lager ausfällt?
  • Wie groß ist überhaupt die Wahrscheinlichkeit, dass ein Heizungsrohr im EDV-Raum bricht?

Schritt 4: Risiken behandeln

Die wichtigste Aufgabe zum Schluss: Können wir akzeptieren, dass mit einer mittleren Eintrittswahrscheinlichkeit die Logistikprozesse zum erliegen kommen? Wenn Nein - welche Maßmahmen setzen wir an, um das Risiko zu mindern? Vielleicht macht auch eine Versicherung für Cyber-Schäden Sinn, so dass wir wenigstens nicht auf den Kosten sitzen bleiben.

 

Drucken E-Mail