Risikobewertung
Mithilfe von Interviews mit der Fachabteilung, mit den Abteilungsleitern oder den Asset-Ownern erhalten Sie die nötigen Informationen, welche Sie benötigen, um die Risiken entsprechend einordnen zu können. Die Risiken sollten hierbei hinsichtlich der Schadensauswirkung und Eintrittswahrscheinlichkeit bewertet werden. Das letztliche Ergebnis können Sie so dann in der Risikomatrix (siehe auch Teil 5 - Was Schwachstellen, Bedrohungen und Risiken ausmachen) einordnen uns sehen dann, ob das Risiko beispielsweise als "Extreme" eingestuft wurde.
Unterstützen Sie die Fachabteilungen bei der Bewertung der Risiken, helfen Sie beispielsweise, die Methodik zu interpretieren, sodass das gleiche Verständnis bei allen Beteiligten vorhanden ist.
Mit der Bewertung der Risiken ordnen Sie den identifizierten Risiken die Priorität der Abarbeitung zu. Es ist deshalb wichtig, dass Sie sich für diesen Schritt die nötige Zeit nehmen und auch die Fachabteilungen dazu einladen - bewerten Sie die Risiken nicht eigenmächtig!
Risikobehandlung
Bei der Risikobehandlung sind ggf. weitere Mitarbeiter oder technische Verantwortliche nötig. In Abhängigkeit der Größe der Institution sollte die Risikobewertung und Risikobehandlung unabhängig voneinander durchgeführt werden, dies vermeidet zu große Termine und ausufernde Diskussionen. Die Termine sollten möglichst zielgruppengerichtet sein, behandeln Sie also beispielsweise nur Themen aus der IT mit den dafür Verantwortlichen.
Bei der Risikobehandlung wird festgelegt, welche mögliche Behandlung durchgeführt werden kann. Bei der Behandlung können auch Lösungen entstehen, welche für die Institution weitere Kosten verursacht. Die Behandlungsmethoden sollten daher gemeinsam mit einem Budgetverantwortlichen für das entsprechende Risiko abgestimmt werden, damit dieses bei Vorlage an die Geschäftsführung eine höhere Akzeptanz findet.
Folgende Behandlungsmöglichkeiten haben Sie bei den Risiken:
-
Vermeiden: Das Risiko wird durch Änderungen am Asset vermieden (Beispiel: Durch Prozessoptimierung können vertrauliche Informationen anderweitig verarbeitet werden, sodass das anfällige System nicht mehr benötigt wird).
-
Reduzieren: Das Risiko wird durch mitigierende Maßnahmen verringert (Beispiel: Das System, welches noch direkt am WAN hängt, kann in eine DMZ verlagert werden).
-
Akzeptieren: Das Risiko wird durch den Risk-Owner akzeptiert (Beispiel: Der Austausch einer Türe im inneren Sicherheitsbereich kostet 10 TEUR, das steht nicht im Kosten- / Nutzenverhältnis).
-
Verlagern: Das Risiko wird an Dienstleister oder eine Versicherung ausgelagert (Beispiel: Ein unternehmenskritischer Prozess kann zu einem IT-Dienstleister ausgelagert werden, welcher eine Georedundanz für diesen anbietet und sich um den vollständigen Betrieb kümmert).
Die getroffenen Entscheidungen werden nun noch im Risikobehandlungsplan dokumentiert und festgehalten. Der Risikobehandlungsplan muss regelmäßig geprüft werden, um den Fortschritt der Abarbeitung zu dokumentieren.
Restrisikoerklärung
Es kann immer Risiken geben, welche nicht vollumfänglich mitigiert werden können, diese können mithilfe der Restrisikoerklärung auch einfach akzeptiert werden. Diese Möglichkeit sollte jedoch immer nur dann gewählt werden, wenn der nötige Aufwand unverhältnismäßig hoch wird und sich die Kosten für die Behebung beispielsweise verfünffachen.
Üblicherweise wird die Leitung der Institution der Empfehlung der Akzeptanz immer folgen, da sich diese darauf verlässt, dass die Fachabteilungen, der Risk-Owner, Asset-Owner und auch der ISB ausführlich darüber unterhalten haben und sich einig sind.
In Ihrer Methodik haben Sie dafür die entsprechenden Grenzen festgelegt und mithilfe des KPI "Risikoappetit" können Sie deren Anzahl überwachen. Achten Sie immer darauf, dass nicht zu viele Risiken akzeptiert werden, denn dies bedeutet immer, dass es noch mögliche Schwachstellen gibt - versuchen Sie diese gänzlich zu vermeiden.
