Risikoanalyse

Home  >>  IT-Sicherheit  >>  Risikoanalyse

Die Risikoanalyse ist der Prozess, um Gefährdungen und deren Ursachen zu erkennen sowie deren Risiken qualitativ und quantitativ zu erfassen, unabhängig davon, ob man finanzielle Risiken oder IT-Risiken oder sonstige Risiken erfassen möchte.

 

Vielzählige Risiken

Unternehmen und ihre IT sind heute einer Vielzahl an Risiken ausgesetzt.  Gemeinsam ist ihnen, dass ihr Eintreten das Geschäftsergebnis wesentlich beienflussen kann, bis hin zur Existenzgefährdung. Daher ist es wichtig, dass Unternehmen die Risiken kennen, denen sie ausgesetzt sind. Nur Risiken, die bekannt sind, können auch angemessen bewertet und behandelt werden.

Neben Naturereignissen wie Sturm oder Überschwemmung, die Einsatzfähigkeit von nicht unerheblichen Teilen der Belegschaft bedrohenden Ereignissen wie einer Grippe-Epidemie, denkt man im Bereich der IT natürlich auch schnell an technische Probleme. Neben vielen weiteren Risiken ist der klassische Hackerangriff sicherlich das prominenteste und spektakulärste Risiko.

 

Nicht nur klassische Hacker

Sie stellen sich IT-Hacker als technisch versierte Genies vor, die in abgedunkelten Räumen umringt von Chipstüten, Pizzakartons und unzähligen Getränkedosen sitzen, komplexe Computercodes programmieren, um damit sensible Daten zu stehlen oder Passwörter zu knacken, um in fremde Computernetzwerke einzudringen? Die Realität sieht zumeist ganz anders aus.

Hochprofessionelle Strukturen können heute über das Internet von Jedermann angemietet und genutzt werden. Die Kunden reichen von organisierter Kriminalität bis zu Wettbewerbern , die der Konkurrenz schaden wollen. Die Hacker-Netzwerke agieren dabei wie Wirtschaftsunternehmen und bieten Kreditkartenzahlung bis zum 24×7-Service.

 

Umsichtige Maßnahmenauswahl notwendig

Nach der Bewertung der Risiken müssen Maßnahmen zur Risikobehandlung geplant und umgesetzt werden. Dabei kann versucht werden, Risiken zu vermeiden oder sie zu reduzieren. Die Folgen eines Eintritts können auch ausgelagert werden, indem man z.B. die finanziellen Risiken auf eine Versicherung überträgt. Kommt all dies nicht in Frage, kann man sich ebenfalls dazu entschließen ein Risiko einfach hinzunehmen und es zu tragen. Dies sollte jedoch immer die Folge einer bewussten und faktenbasierten Entscheidung sein.

Wir unterstützen Sie bei der Erstellung einer praxisgerechten, am Standard BSI 100-3 des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) orientierten Risikoanalyse.

 

Links zum Thema: