Die ISMS Risikoanalyse

Hier werden nun die praktische Umsetzung des ISMS und Risikoanalyse genauer vorgestellt und die wichtigsten Punkte erklärt. Die Risikoanalyse wird im ISMS angewandt, um das bestehende Risiko für die Informationssicherheit genau zu beleuchten und zu analysieren. Nur wenn man das Risiko ganz genau im Vorfeld untersucht hat, kann man auch sicher sein, dass sämtliche potentielle Gefahrenquellen erkannt wurden und Maßnahmen ergriffen wurden, welche diese Gefahrenquellen bannen.

GRATIS VORLAGE: Mit dieser gratis Vorlage Verfahrensanweisung Risikomanagement ISO 27001  bauen Sie ein dokumentiertes ISMS- Managementsystem auf.

Was versteht man unter einem ” Risiko “?

Zunächst müssen wir uns fragen, was man eigentlich genau unter Risiko versteht. Risiko ist ein weiter Begriff. Dieser Begriff muss auch in den Kontext Informationssicherheit gesetzt werden.

Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance). Unter Risiko versteht man auch die nach Häufigkeit (Eintrittserwartung) und Auswirkung eingeschätzte, konkrete Bedrohung eines Systems bzw. einer Organisation. Das Risiko beschreibt zudem die unerwartete Abweichung von Zielen oder die Konsequenzen der Nicht-Erfüllung von Anforderungen.

Was verlangt ISO 27001 in Bezug auf Risiko Management und Risikoanalyse?

Die ISO IEC 27001 stellt eine Grundanforderung an die Vorgehensweise. So muss jede Risikoanalyse systematisch und reproduzierbar dokumentiert sein. Die ISO 27001 fordert ebenfalls die Identifizierung einer Vorgehensweise für die Risikoeinschätzung. So muss eine Methode der Risikoanalyse gewählt werden und Akzeptanzkriterien für die Informationssicherheits- Risiken festgelegt werden.  Die klare Identifikation des Risikos steht natürlich im Mittelpunkt. Hierbei müssen systematisch die bedrohten Werte und deren Eigentümer aufgezeigt werden.

Ebenfalls muss die Bedrohung selbst genau skizziert werden. Zuletzt müssen die Schwachstellen offengelegt werden und welche Auswirkungen das konkrete Eintreten einer Bedrohung für die Informationssicherheit haben kann.  Aus der ISO IEC 27001 geht selbst die Forderung einer ISMS Risikoanalyse und Risikobewertung hervor. So muss eine Analyse der Auswirkungen des Risiko durchgeführt werden. Ebenfalls muss die Wahrscheinlichkeit vom Risiko abgeschätzt werden. Zuletzt fordert die ISO IEC 27001 noch eine Abschätzung des Niveaus vom Risiko. Abschließend ist eine weitere zentrale Forderung der ISO IEC 27001 für ISMS die Optionen zur Behandlung vom Risiko. Hierzu gehört die Identifikation und Evaluation angemessener Risikomanagement Maßnahmen. 

Zum Seitenanfang

Risikoanalyse und Risk Management in der ISO IEC 27005

Die ISO 27005 liefert eine ausführliche Anleitung zum Risik Management und zur Risikoanalyse.
Die ISO 27005 ist dabei durch Verweise eng verwoben mit der ISO 27001 und liefert:

• Eine Beschreibung des Risikomanagement Prozess als Ganzes.
• Eine detaillierte Beschreibung aller Schritte des Risikomanagement und der Risikoanalyse.
• Anhänge mit hilfreichen Informationen für die Umsetzung eines Risk Management zur Erfüllung der Forderungen der ISO 27001.

Wie sieht die Risiko Einschätzung / Risikoanalyse im ISMS-Projekt genau aus?

Die Herausforderung bei der Risikoanalyse im Zuge der Einführung eines Informationssicherheitsmanagementsystem ist, sich nicht im Detail zu verlieren! Deshalb sollen folgende Empfehlungen beim Aufbau eines Risk Management und zur Durchführung einer Risikoanalyse gegeben werden:

• Werte nach Eigentümer gruppieren
• Mit nur ca. 10 Wertegruppen beginnen
• Mit nur ca. 10 allgemeinen Bedrohungen beginnen
• Szenarien ableiten, entsprechende Wissensträger beiziehen
• Nur große Risiken betrachten (Annahme: alltägliche Risiken haben wir im Griff)

Im Zuge der Risikoanalyse nach ISO 27005 erfolgt eine Abschätzung der Wahrscheinlichkeit vom Risiko in 3 Stufen:
• Häufig (mehrmals jährlich möglich)
• Selten (alle paar Jahre)
• Sehr selten (alle paar Jahrzehnte)

Die Abschätzung der Schadenshöhe im Zuge der Risikoanalyse nach ISO 27005 erfolgt ebenfalls in 3 Stufen:
• Erheblich (weniger als 10% des Gewinns)
• Kritisch (z.B. 10-50% des Gewinns)
• Katastrophal (gefährdet das Unternehmen)

AUSBILDUNG: Mit der Ausbildung ISMS Beauftragter – ISO/IEC 27001 – Informationssicherheitsmanagement betreuen Sie Ihr ISMS erfolgreich.

Zum Seitenanfang

Methoden für die ISMS Risikoeinschätzung / Risikoanalyse

Für die ISMS Risikoanalyse gibt es verschiedene Methoden und Modelle:

• Mathematische Modelle (Versicherungen, Banken!)
• Integrierte Ansätze im Controlling (Budget, Planrechnungen etc.)
• Suva-Methode
• FMEA (Failure Mode and Effect Analysis)
• Fehlerbaum- und Ereignisablauf-Analyse
• Future Value Card, Balanced Score Card

… und ganz pragmatisch auch etliche qualitativ-heuristische Methoden mit dem Ziel eines möglichst geringen Aufwands der Risikoanalyse. So können oft auch verständlichere Aussagen getroffen und auf dieser Grundlage passende Maßnahmen zur Verbesserung der Informationssicherheit geplant und umgesetzt werden.