 |
» |
|
|
|
Schon das morgendliche Aufstehen birgt jede Menge Risiken. Was ist, wenn Sie in der Dusche ausrutschen? Sich den Mund am heißen Kaffee verbrennen? Auf dem Weg zur Arbeit in einen Autounfall verwickelt werden? Wenn wir bewusst über alle Risiken eines ganz normalen Tags nachdächten, würden wohl nur wenige Menschen überhaupt aufstehen. In aller Regel ignorieren wir deshalb diese Risiken, damit wir uns das Leben nicht unnötig schwer machen.
Das ist einer der Gründe, warum ein Unternehmen die alltäglichen Risiken nicht richtig ausloten kann: Es liegt einfach in der menschlichen Natur.
„Die meisten Unternehmen machen sich nicht die Mühe, sämtliche IT-Risiken zu ermitteln. Stattdessen begnügen sie sich damit, die schon vorhandenen Sicherheitsmaßnahmen zu rechtfertigen“, beklagt Peter G. Neumann, leitender Wissenschaftler im Informatiklabor am gemeinnützigen Forschungsinstitut SRI International und Autor des Buches Computer-Related Risks (Addison-Wesley, 1995), eines bahnbrechenden Werks zu diesem Thema.
Um eine effektive Risikobewertung vornehmen zu können, prüfen Sie Ihre Annahmen direkt am Anfang, und beherzigen Sie einige Tipps von Experten.
- Sorgen Sie für ein Gefühl der Dringlichkeit: IT-Sicherheitsrisiken sind sehr real und sind auch jetzt, in dieser Sekunde, in Ihrem Unternehmen vorhanden. Und die Auswirkungen dieser Risiken sind noch realer. Entgangene Geschäfte oder ein Einbruch der Produktivität aufgrund eines Systemausfalls, Haftbarkeit für Sicherheitsverletzungen, durch die die Daten von Kunden oder Geschäftspartnern offengelegt werden, oder Bußgelder für Verstöße gegen gesetzliche Vorschriften können kräftig ins Geld gehen. Nicht zu vergessen die langfristigen Auswirkungen auf den Ruf der Marke und auf den Marktanteil sowie die Gefahr potenzieller Gerichtsverfahren.
- Definieren und formulieren Sie zunächst klar und deutlich Ihre Ziele für die Sicherheit: Viele Risikobewertungen sind schon von vornherein zum Scheitern verurteilt, weil die Anforderungen und Ziele für die Sicherheit nicht gleich zu Beginn festgelegt werden. Bevor Sie die eigentliche Risikobewertung angehen, nehmen Sie sich die Zeit, Ihre Sicherheitsanforderungen zusammen zu stellen. Hierzu sollten nicht nur alle Ihre Sicherheitsbedenken gehören (also physische Einrichtungen, Konto- und Kennwortverwaltung, Virenschutz, Sicherung und Wiederherstellung von Daten), sondern auch Aspekte wie die Systemverfügbarkeit, die Systemleistung und die Einhaltung gesetzlicher Vorschriften.
- Rechnen Sie mit allen Risiken: Eine gründliche Risikobewertung muss alle Möglichkeiten in Betracht ziehen, auch die verrückten und unwahrscheinlichen. Denken Sie daher neben den „normalen“ Bedrohungen (Viren, Hardwaredefekte, Stromausfälle) auch an die weniger offensichtlichen, nicht greifbaren Gefahren. Könnte eine Maus die Kabel annagen? Was ist mit einem Gasleck im Serverraum? Wenn Sie über all die Eventualitäten nachdenken, die einen Ausfall Ihrer IT-Systeme verursachen könnten, entwickeln Sie unter Umständen eine ungeahnte Kreativität. Am besten überlegen Sie sich zunächst eine systematische Methode, die die gesamte Bandbreite Ihrer IT-Ausstattung abdeckt, also unter anderem Hardware, Software, Webanwendungen, Betriebssysteme und Umgebungsbedingungen.
- Denken Sie langfristig: Die IT-Umgebung unterliegt ständigen Veränderungen. Wiederholen Sie die Bewertungen daher in regelmäßigen Abständen, damit Sie mit neuen Bedrohungen Schritt halten können. Und denken Sie auch an die Entwicklungsebene. Die Vorteile, Anwendungen und Systeme schon beim Programmieren mit geballter Sicherheit auszustatten, anstatt nachträglich die aufgedeckten Sicherheitslücken zu flicken, überwiegen spielend sämtliche kurzfristigen Vorteile, die Sie dadurch gewinnen, dass Sie ein System überstürzt in die Produktion geben.
- Denken Sie an den Faktor Mensch: Gehen Sie davon aus, dass es irgendwann einmal zu menschlichem Versagen kommt und führen Sie Prozesse ein, die diese Fehler wieder ausgleichen. Machen Sie auch alle Ihre Mitarbeiter auf die IT-Risiken aufmerksam und verdeutlichen Sie ihnen ihren Anteil an der Verantwortung, die geeigneten Sicherheitsmaßnahmen umzusetzen. Lassen Sie die Mitarbeiter eine Rechenschaftspflicht übernehmen. Führen Sie Sicherheitsschulungen ein. Erklären Sie das Risikomanagement zu einem grundlegenden Unternehmensziel, das von den Mitarbeitern geteilt und von der Geschäftsführung unterstützt wird.
Es gibt keine Patentlösung für die Risikobewertung, aber es gibt gute Ressourcen, mit deren Hilfe Sie Ihr Programm aufstellen können, beispielsweise:
» Risk Management Guide for Information Technology Systems: Recommendations of the National Institute of Standards and Technology (PDF, 478 KB)
» Computer Crime & Security Survey 2007 Webcast, Computer Security Institute (Registrierung erforderlich)
» Inside Risks (Kolumne), Association for Computing Machinery |
|
|
|
|
Druckversion
