Risikomanagement nach ISO 27005

Risiken finden und behandeln nach Standard

Die ISO/IEC 27005 enthält Leitlinien für ein systematisches und prozessorientiertes Risikomanagement, das die Einhaltung der Anforderungen an das Risikomanagements nach ISO/IEC 27001 unterstützt. In diesem Beitrag will ich einen Euch einen kleinen Einblick geben.

RisikomanagementBlogThema

Der Risikomanagementprozess nach ISO 27005
Der Risikomanagementprozess nach ISO 27005

Die ISO 27005 definiert ein Informationssicherheitsrisiko als Gefahr, dass eine Bedrohung (Hacker, Ausfall Stromversorgung, usw.) eine Schwachstelle eines Unternehmenswertes (Software, Hardware, usw.) ausnutzt und dadurch zu einem Schaden führt (Finanziell, Image, usw.). Der Standard beschreibt einen Prozess zur systematischen Identifikation, Bewertung und Behandlung von Risiken, mit Ziel einer Priorisierung der Risiken. Diese können dann gezielt verfolgt werden.

Beim Management von Informationssicherheitsrisiken werde folgende Schritte durchgeführt:

  • Definition der Rahmenbedingungen
    Hier werden die Kriterien zur Bewertung und Akzeptanz von Risiken, die Abgrenzung des Betrachtungsbereiches sowie die Implementierung einer Organisation für das Risikomanagement festgelegt.
  • Identifizierung von Risiken
    Um Risiken zu identifizieren, müssen alle Unternehmenswerte (Assets) im Betrachtungsbereich erfasst. Wie schon erwähnt können Unternehmenswerte Hardware, Software aber auch Geschäftsprozesse und Informationen beinhalten.
    Des Weiteren müssen alle relevanten Bedrohungen sowie Schwachstellen ermittelt werden.
    Darauf folgt die Zusammenstellung aller bestehenden oder bereits geplanten Sicherheitsmaßnahmen (siehe ISO 27001 Anhang A). Maßnahmen können Risiken beeinflussen, indem sie Eintrittswahrscheinlichkeiten oder den möglichen Schaden reduzieren.
    Über das Durchspielen von Schadensszenarien sollten mögliche Konsequenzen von der Bedrohung über Schwachstelle bis zum Asset ermittelt werden.
  • Abschätzung von Risiken
    Bewertung eines Risikos erfolgt auf der Grundlage verschiedener Einflussgrößen wie Kritikalität, Ausmaß von Schwachstellen oder Auswirkungen von Vorfälle. Diese Bewertung kann quantitativ z.B. als Prozentwert angegeben werden, besser ist eine qualitative Darstellung, wie niedrig, hoch, sehr hoch. In jedem Fall sollte eine Bewertung mit einer nachvollziehbaren Aussagekraft verbunden sein. Das kann zum Beispiel über eine Risikomatrix aus Eintrittswahrscheinlichkeit und Sicherheitsausmaß geschehen.
  • Auswertung von Risiken
    Auf Basis z.B. einer Risikomatrix wird Priorisierung der Risiken zusammengestellt und im nachfolgenden Schritt behandelt.
  • Behandlung von Risiken
    Risiken können behandelt werden, in dem sie reduziert, akzeptiert, vermieden oder übertragen werden. Nach der Behandlung von Risiken verbleiben oft Restrisiken, die zur Entscheidung führen, ob diese akzeptiert werden können oder besser durch Umstrukturierung eher vermieden werden kann. Natürlich besteht die Möglichkeit durch Abschluß einer Versicherung Risiken zu übertragen. Hier sollte beachtet werden, dass eine Versicherung nicht alle Schäden abdecken kann.
  • Akzeptanz von Risiken
    Mit der Risikobehandlung wird für jedes Risiko ein Plan von Handlungsempfehlungen aufzeigt. Im Falle der Akzeptanz von Risiko kann die Leitungsebene einer Organisation entscheiden, ob diese Risiken zu akzeptieren sind. Werden Akzeptanzkriterien nicht erfüllt, ist eine formelle Risikoübernahme zu fordern.
  • Kommunikation von Risiken
    Entscheidungsträger wie Risk-Owner sollten über Risiken informiert werden. Auch im Rahmen der weiteren Behandlung dieser Risiken sollten auf eine Aktualisierung der Informationen geachtet werden.

Überwachung von Risiken und Risikomanagement

Die bisherigen Betrachtungen sind Momentaufnahmen von Risiken. Ein Unternehmen, seine geschäftliche Anforderungen und verwendete Technologien unterliegen einem ständigen Änderungsprozess. Hier ist einem PDCA-Zyklus zu folgen, der ständig Risiken, Bedrohungen, Schwachstellen und weitere Einflussgrößen auf Änderungen verfolgt und diese berücksichtigt.

Nicht zu vergessen sind Aspekte der Wirtschaftlichkeit und Angemessenheit des verfolgten Ansatzes für das gewählte Risikomanagement. Wenn das Risikomanagement zu komplex oder zu teuer wird, wird ein Unternehmen sich nicht in der Lage sehen, ihre Risiken zu behandeln. Ob die Unternehmensleitung dann noch ruhig schlafen kann, darf angezweifelt werden.