Schlagwortarchiv für: Risikomanagement

Im vorherigen Beitrag wurde der Zusammenhang zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement aufgezeigt, wobei das Risikomanagement nur kurz angerissen wurde. Wie an dieser Stelle erwähnt wurde, hat der VDA auch zum Risikomanagement ein Whitepaper mit einigen Handreichungen und Vorschlägen herausgegeben.

Wie bei den meisten Methodiken zum Risikomanagement werden auch beim VDA zur Berechnung eines Risikowertes die Eintrittswahrscheinlichkeit und die Schadenshöhe des jeweiligen Risikos miteinander multipliziert. Der VDA unterscheidet hier bei der Schadenshöhe nicht weiter nach spezielleren Schadensarten, wie z.B. Imageschäden oder Personenschäden. Vielmehr orientiert sich der VDA an der Klassifizierung des betroffenen Informationswertes: bei einem Schutzbedarf „sehr hoch“ wird auch von einem „sehr hohen“ Schaden ausgegangen. Ergänzt wird in Anlehnung an die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch die Schutzklasse „niedrig“, sodass sich insgesamt vier mögliche Schadenshöhen ergeben.

Priorisierung und Behandlungsoptionen

Sinn eines Risikomanagements ist es, die betrachteten Risiken sortieren zu können. Die „wichtigsten“ Risiken sollen natürlich zuerst behandelt werden – das sind solche, bei denen das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe am größten ist, die also häufig eintreten und bei jedem Eintreten einen sehr hohen Schaden verursachen. Andere Risiken, bei denen das Produkt kleiner ist (die also entweder seltener eintreten oder aber geringere Schäden hervorrufen), werden natürlich ebenfalls betrachtet. Die Übersicht über alle Risiken, die betrachtet wurden, kann nach dem Ergebnis der Risikoberechnung sortiert werden und liefert so gleich die Reihenfolge der Behandlung der einzelnen Risiken.

Rein intuitiv nehmen die meisten Menschen an, dass es bei der Behandlung eines Risikos zwingend um die Verminderung des Risikos gehen muss, sprich: dass entweder Eintrittswahrscheinlichkeit oder Schadenshöhe verringert werden müssen. Die meisten Risikomethodiken sehen jedoch neben der Verminderung eines Risikos noch weitere sogenannte Behandlungsoptionen vor: Risikovermeidung, Risikotransfer und Risikoakzeptanz. Die Bezeichnungen für diese vier Behandlungsoptionen variieren in den verschiedenen Methodiken zum Risikomanagement zumeist, die zugrundeliegende Idee ist aber ähnlich.

Natürlich kann und muss die genutzte Risikomethodik in einem ISMS an das jeweilige Unternehmen angepasst werden. Der VDA ISA Katalog, der für eine Prüfung nach TISAX® genutzt wird, stellt nur allgemeine Anforderungen an ein Risikomanagement. Allerdings bietet es sich an, bei einer angestrebten Konformität die Handreichungen des VDA zum Risikomanagement zumindest in Betracht zu ziehen.

Neben den großen Themen Asset Management, Risikomanagement und Klassifizierungsschema finden sich noch viele weitere Elemente eines ISMS im VDA ISA Katalog. Einige dieser Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

TISAX® – Informationssicherheit in der Automobilindustrie

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Ein effektives Notfallmanagement ist in der heutigen digitalen Welt unerlässlich, um die Betriebskontinuität von Unternehmen sicherzustellen. Insbesondere in der IT, wo Ausfälle und Sicherheitsverletzungen häufig auftreten oder auch Angriffe von außen immer mehr zu nehmen, ist es von entscheidender Bedeutung, über die richtigen Vorkehrungen und Erkenntnisse zu verfügen, um auf Notfälle angemessen reagieren zu können.

Ein Unternehmen sollte sein Notfallmanagement aufbauen, indem es die folgenden Schritte beachtet:

  1. Risikoanalyse: Identifizieren Sie potenzielle Risiken und Bedrohungen, denen Ihr Unternehmen ausgesetzt sein könnte
  2. Notfallplanung: Entwickeln Sie einen umfassenden Notfallplan, der klare Anweisungen und Verantwortlichkeiten für den Umgang mit verschiedenen Arten von Notfällen enthält.
  3. Kommunikation: Stellen Sie sicher, dass alle Mitarbeiter über den Notfallplan informiert sind und wissen, wie sie im Falle eines Notfalls handeln sollen.
  4. Ressourcenmanagement: Identifizieren Sie die notwendigen Ressourcen, die für den Umgang mit Notfällen benötigt werden
  5. Schulung und Übung: Führen Sie regelmäßige Schulungen und Übungen durch, um sicherzustellen, dass Ihre Mitarbeiter mit dem Notfallplan vertraut sind und wissen, wie sie in einem Notfall reagieren sollen.
  6. Bewertung und Verbesserung: Überprüfen Sie regelmäßig Ihr Notfallmanagement und führen Sie Bewertungen durch, um festzustellen, ob Verbesserungen möglich sind.

Wichtig ist dabei zu beachten, dass jedes Unternehmen individuelle Risiken und Bedürfnisse hat. Es ist daher sinnvoll, sich externe Unterstützung zu holen.

Durchaus ratsam sind auch einige grundlegende Vorkehrungen zu treffen, um im Notfall weiterarbeiten zu können.

Erfahren Sie in unserem BCM Seminar anhand von konkreten Beispielen und Übungen, die zu Ihrem Unternehmen passen, wie Sie effektive Notfallpläne erstellen, Schwachstellen in Ihrer aktuellen Notfallvorsorge erkennen und Gegenmaßnahmen einleiten.

Was Sie noch interessieren könnte…

Seminar:

“BUSINESS CONTINUITY MANAGEMENT (BCM) NACH ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken bergen können. Aber reicht es, diese Controls einfach abzuarbeiten? Und wie schafft man es bei der Fülle an Risiken nicht zu verzweifeln?

In unserer Folge „Die Risikoanalyse im ISMS – identifizieren, beurteilen, behandeln“ gehen wir auf folgende Aspekte ein:

  • Normvorgaben der ISO 27001
  • Wie werden Unternehmensrisiken gesammelt?
  • Wie werden Risiken priorisiert und Maßnahmen geplant?
  • Hilfestellungen aus dem IT-Grundschutz
  • Die Wichtigkeit von Asset-Owner und der Führung bei der Risikoanalyse

Hier ein Paar Links zum Thema Risikoanalyse im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Business Continuity Management (BCM) bezieht sich auf den Prozess der Identifizierung potenzieller Bedrohungen für ein Unternehmen und die Entwicklung eines Rahmens, um sicherzustellen, dass wesentliche Geschäftsfunktionen im Falle einer Störung fortgesetzt werden können.

Das Ziel von BCM ist es, einen Plan zu erstellen, der es dem Unternehmen ermöglicht, schnell auf eine Krise zu reagieren, die Auswirkungen der Krise zu minimieren und sich letztendlich davon zu erholen. Dies beinhaltet die Identifizierung kritischer Geschäftsfunktionen, die Bewertung der Risiken, die diese Funktionen stören könnten, und die Entwicklung von Strategien zur Minderung dieser Risiken.

Ein BCM-Plan umfasst in der Regel einen umfassenden Satz von Verfahren und Protokollen, die im Falle einer Störung, z. B. einer Naturkatastrophe, eines Cyberangriffs oder einer anderen Krise, aktiviert werden können. Der Plan kann Verfahren für die Evakuierung von Mitarbeitern, die Einrichtung von Kommunikationskanälen mit Stakeholdern, die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie das Management von Lieferkettenunterbrechungen umfassen.

Ein effektiver BCM-Plan kann Unternehmen helfen, ihren Ruf zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren. Es kann Unternehmen auch dabei helfen, regulatorische Anforderungen und Industriestandards einzuhalten.

BCM ist ein fortlaufender Prozess, der regelmäßige Überprüfungen und Aktualisierungen erfordert, um sicherzustellen, dass er relevant und effektiv bleibt. Für Unternehmen ist es wichtig, ihre Risiken und Schwachstellen kontinuierlich zu bewerten und ihre BCM-Pläne entsprechend anzupassen.

Ein Beispiel zur Anwendung des Business Continuity Management

Business Continuity Management (BCM) hätte beispielsweise eine wichtige Rolle dabei gespielt, die türkische Bevölkerung bei der Vorbereitung, Reaktion auf und die Erholung von Erdbeben zu unterstützen. Die Türkei ist ein Land, das sich in einer seismisch aktiven Region befindet und in der Vergangenheit zahlreiche Erdbeben erlebt hat, darunter verheerende Erdbeben in den Jahren 1999 und 2020. Hier sind einige Möglichkeiten, wie BCM der türkischen Bevölkerung bei Erdbeben helfen kann:

  1. Bereitschaft: Ein BCM-Plan kann Unternehmen und Organisationen in der Türkei helfen, sich auf Erdbeben vorzubereiten, indem potenzielle Risiken und Schwachstellen identifiziert und Strategien zu deren Eindämmung entwickelt werden. Dies kann die Durchführung regelmäßiger Erdbebenübungen, die Einrichtung von Kommunikationsprotokollen und die Sicherstellung umfassen, dass wichtige Vorräte und Ausrüstung leicht verfügbar sind.
  2. Reaktion: Wenn ein Erdbeben eintritt, kann BCM Unternehmen und Organisationen helfen, schnell und effektiv zu reagieren. Dies kann die Aktivierung von Notfallverfahren, die Evakuierung von Gebäuden und die Einrichtung von Kommunikationskanälen mit den Stakeholdern umfassen. BCM kann auch dazu beitragen, dass kritische Geschäftsfunktionen auch im Katastrophenfall weiter funktionieren.
  3. Wiederherstellung: Nach einem Erdbeben kann BCM Unternehmen und Organisationen in der Türkei helfen, sich so schnell wie möglich zu erholen und den normalen Betrieb wieder aufzunehmen. Dies kann die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie die Entwicklung von Strategien zum Management von Lieferkettenunterbrechungen umfassen. BCM kann auch dazu beitragen, den Ruf von Unternehmen und Organisationen zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren.

Insgesamt kann BCM der Bevölkerung helfen, sich besser auf Naturkatastrophen vorzubereiten, effektiv zu reagieren, wenn sie auftreten, und sich schneller und effizienter zu erholen. Es kann auch dazu beitragen, Leben zu retten, Eigentum zu schützen und die Auswirkungen von Naturkatastrophen auf Unternehmen und Gemeinden zu minimieren.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 2 Teile gewidmet. Alle Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website..

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Zum besseren Schutz unternehmenseigener Werte und Informationen ist die Einführung eines Informationssicherheits-Managementsystems ratsam. Dieses kann nach unterschiedlichsten Standards aufgebaut und zertifiziert werden, die wohl am weitest verbreiteten in Deutschland sind die Implementierung eines ISMS nach ISO 27001 oder nach IT-Grundschutz vom BSI.

In unserer Folge „IT-Grundschutz vs. ISO 27001“ gehen wir auf folgende Aspekte ein:

  • Inhaltliche Unterschiede zwischen der ISO 27001 und dem IT Grundschutz
  • Vorgehensweisen der jeweiligen Standards
  • Externe und interne Faktoren für die Entscheidung
  • Zertifizierbarkeit der Verfahren

Hier ein Paar Links zum Thema Aufgaben des Informationssicherheitsbeauftragten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Beurteilung von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. In diesem dritten Teil soll es um die Informationssicherheitsrisikobeurteilung gehen.

Zunächst muss man feststellen, dass die Begrifflichkeiten im Risikomanagement nicht einheitlich verwendet werden. In der ISO 27001:2013 finden sich unter dem Kapitel 6.1.2 “Informationssicherheitsbeurteilung” die Aspekte

  • Identifikation von Informationssicherheitsrisiken,
  • Analyse von Informationssicherheitsrisiken und
  • Bewertung von Informationssicherheitsrisiken.

Im deutschen Sprachraum werden diese Punkte häufig zusammen als Risikoanalyse bezeichnet, so etwa in den Standards des BSI IT-Grundschutzes. In diesem Text wollen wir uns an den Sprachgebrauch der ISO 27001:2013 halten. Nachdem wir die Identifikation von Informationssicherheitsrisiken bereits im letzten Artikel betrachtet haben, soll es nun also um die Analyse und Bewertung der identifizierten Risiken gehen.

Analyse von Informationssicherheitsrisiken

In der Analyse werden die Eintrittswahrscheinlichkeit und die potenzielle Schadenshöhe eines Risikos betrachtet.

Bei der Eintrittswahrscheinlichkeit fehlen uns meist belastbare Zahlen. Entweder gibt es keine Statistiken, sie sind nicht frei zugänglich oder nicht auf das eigene Unternehmen übertragbar. Daher müssen wir uns mit qualitativen Abschätzungen begnügen. Drei bis fünf Stufen sind dabei in der Praxis üblich, beispielsweise “sehr unwahrscheinlich”, “eher unwahrscheinlich”, “eher wahrscheinlich”, “sehr wahrscheinlich”. Eine gerade Anzahl von Kategorien beugt bei der Einschätzung dem “Tendenz-zur-Mitte-Effekt” vor.

Zur Schadenshöhe können oft bessere Angaben gemacht werden. Produktionsausfälle, Kosten zur Wiederbeschaffung oder Wiederinbetriebnahme eines Unternehmenswertes etc. sind einigermaßen gut abzuschätzen. Neben rein monetären Aspekten können weitere Aspekte (Schadensszenarien im BSI IT-Grundschutz) einbezogen werden. Dies können beispielsweise sein:

  • Verstöße gegen rechtliche Anforderungen (gesetzliche, regulatorische oder vertragliche)
  • Beeinträchtigung des informationellen Selbstbestimmungsrechts
  • Beeinträchtigung der persönlichen Unversehrtheit (physisch oder psychisch)
  • Beeinträchtigung der Aufgabenerfüllung (z.B. bei Non-Profit-Organisationen oder Unternehmen mit Versorgungsauftrag und Kritischen Infrastrukturen / Kritis)
  • Reputation

Dabei kann es Überschneidungen geben, z.B. bei Datenschutzverstößen. Das kann zu einer unbeabsichtigten Übergewichtung einzelner Risiken führen. Dies ist bei der Definition der Aspekte und der Beschreibung, wie der “Gesamtschaden” hieraus gebildet wird, zu berücksichtigen.

Anschließend werden die Risiken den Risikoniveaus (Risikokategorien im BSI IT-Grundschutz) zugeordnet. Dieses ergibt sich aus den ermittelten Werten für die potenzielle Schadenshöhe und die Eintrittswahrscheinlichkeit. Das wird oft in einer Matrix dargestellt und die Niveaus farblich, meist in Ampelfarben gekennzeichnet. In der Praxis üblich sind wiederum drei bis fünf Niveaus. Sie beschreiben die Anzahl der Reaktionsmuster, die im Unternehmen zur weiteren Behandlung der Risiken festgelegt wurden.

Bewertung von Informationssicherheitsrisiken

Nach der Analyse der Risiken werden diese mit den im Vorwege festgelegten Kriterien verglichen. Das Wichtigste hierbei dürfte das Kriterium der Risikoakzeptanz sein. Die Risikoakzeptanzschwelle bezeichnet das Niveau, unterhalb dessen keine Risikobehandlung notwendig ist. Hierbei handelt es sich um eine willkürliche Entscheidung des Unternehmens, die den unternehmenseigenen Risikoappetit reflektiert.

Ein weiteres Kriterium könnte die “Quick-Win-Schwelle” sein. Risiken unterhalb dieser Schwelle sollen auf alle Fälle und möglichst früh bearbeitet werden, weil bei ihnen eine zügige Verbesserung der Risikosituation mit sehr geringen Aufwand erwartet wird.

Das Ergebnis des Abgleichs ist eine priorisierte Risikoliste. Die Priorisierung erfolgt dabei in Hinblick auf die Behandlung. Der Informationssicherheitsrisikobehandlung widmen wir uns dann in der nächsten Folge dieser Reihe.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ziel aller Unternehmen ist es die Produktivität, die Wettbewerbsfähigkeit und damit den Fortbestand des Unternehmens zu sichern. Damit die Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen bestmöglich aufrecht erhalten bleibt, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

In unserem Podcast zum Thema BCM befassen wir uns in 2 Folgen damit, wie ein BCM aufgebaut werden sollte, was es alles zu beachten gilt und geben auch kleine Tipps und Denkanstöße, um bestmöglich auf Störungen vorbereitet zu sein.

In der Folge 1 „die ersten Schritte“ geben wir einen groben Überblick über alles was beim BCM bedacht werden muss.

Dabei gehen wir auf folgende Aspekte ein:

  • Was bedeutet BCM und welche Vorgaben gibt es?
  • Wie fängt man an ein BCM aufzubauen?
  • Die Business Impact Analyse als Teil des BCM
  • Dokumentieren aller Informationen – in welcher Form?
  • Regelmäßiges Überprüfen und Verbessern ist Pflicht

In der Folge 2 „jetzt aber richtig“ steigen wir tiefer in das Thema BCM ein – wo liegen Stolperfallen, wie sinnvoll sind Übungen und welche Aufgaben und Verantwortlichkeiten hat das BCM Team.

Hier beleuchten wir folgende Aspekte:

  • Wie definiert man Störungen, die für das Unternehmen zutreffen können?
  • Was muss bei Dienstleistern und Lieferanten beachtet werden?
  • Üben und Verbessern – wie geht man am sinnvollsten vor?
  • Wie entwickelt sich das BCM weiter?
  • Ein BCM unterstützt bei allen Prozessen, nicht nur im Fall der Fälle

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Wie alle Managementsysteme kann auch das BCM an eine ISO Norm gekoppelt werden, dabei gibt die Norm dann die Anleitung wie die Abläufe und Prozesse optimiert werden und welche Schritte und Dokumentationen dafür notwendig sind.

Um die grundlegende Geschäftstätigkeit und damit die Existenz des Unternehmens auch im Angesicht von Notfällen und Krisen aufrecht zu erhalten, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

Welche Gründe haben Unternehmen ein BCM-System einzuführen?

Die Aufrechterhaltung des Geschäftsbetriebes ggf. auch vorübergehend nur in einer rudimentären Form, sowie die anschließende Wiederherstellung hat für Unternehmen oberste Priorität.

Darüber hinaus gibt es auch nationale, rechtliche Anforderungen an ein betriebliches Krisenmanagement. Dabei können unterschiedliche gesetzliche Anforderungen gelten. Die Gesetze fordern eine aktive Auseinandersetzung mit möglichen Szenarien deren Eintritt den Geschäftsbetrieb so weit, beeinträchtigen das es als Notfall oder Krise definiert und somit nicht innerhalb eines tolerierbaren Zeitraums wiederhergestellt werden kann. Dabei sind unterschiedliche Kriterien, Szenarien und Prozesse zu berücksichtigen. Insbesondere an KRITIS-Unternehmen stellt der Gesetzgeber aufgrund ihrer Bedeutung für das Gemeinwesen besondere Anforderungen.

Oft ergeben sich aber auch von anderer Seite Anforderungen an die Implementierung eines BCM z.B. durch Versicherungen, Kunden oder Geschäftspartner.

Welche Bereiche umfasst ein BCM?

Analyse:

Welche Prozesse, Anlagen oder Dienstleistung ist kritisch? Dabei kann unabhängig von möglichen Szenarien analysiert werden welche Wertschöpfungsprozesse für das eigene Unternehmen als kritisch gelten. Im zweiten Schritt wird dann auch abhängig von Szenarien (z.B. Hochwasser, Stromausfall etc.) nochmal eine Bewertung durchgeführt um z.B. Schadenshöhen, Eintrittswahrscheinlichkeiten und maximale Ausfallzeiten anhand des konkreten Szenarios zu definieren.

Bewertung:

Wie ein Notfall zu bewerten ist, welche Auswirkungen dieser auf das Unternehmen hat und wie darauf zu reagieren ist muss jedes Unternehmen für sich bestimmen. Es gibt aber Methoden, die bei der Bewertung helfen können.

Übungen:

Mit unterschiedlichen Arten von Übungen können dann die identifizierten Szenarien geübt und die Wiederherstellungsplanung oder das Krisenmanagement überprüft und verbessert werden.

Wie wird ein BCM aufgebaut?

Die Norm ISO 22301 gibt hier eine Anleitung, aber auch die Empfehlungen z.B. des Amtes für Bevölkerungsschutz, das BSI oder die UP-Kritis Kooperation geben hier eine erste Hilfestellung.

Welche Fragen sollte man sich vor der Einführung stellen?

  • Gibt es einen von der Geschäftsführung unterzeichneten, verbindlichen BCM Leistungsauftrag mit konkreten messbaren BCM Leistungszielen?
  • Ist eine Zertifizierung nach ISO 22301 das Ziel?
  • In welchen Zyklen sollten die Pläne und Vorgehensweisen geübt und überprüft werden
  • Wie setzt man die notwendigen Regeln und Dokumentationen erfolgreich durch?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wenn es ein Thema schafft, in der Tagesschau, auf fast allen Nachrichtenseiten und auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) präsent zu sein, muss es sich schon um etwas Besonderes handeln – die Schwachstelle in der weit verbreiteten Javabibliothek „log4j“ hat dieses Kunststück geschafft.

Schwachstellen in Softwareprodukten sind keine Seltenheit. Sie werden entdeckt, meist schließt der Hersteller der Software die Lücke und stellt ein Update zur Verfügung, „business as usual“. Doch im Fall von „log4j“ ist es leider nicht so einfach …

Es beginnt damit, dass Java-Anwendungen meist als Paket bereitgestellt werden – und die problematische Bibliothek vom Hersteller in dem Paket mitgeliefert wird. Ein Update des betreffenden Betriebssystems allein reicht meist nicht, da die Java-Anwendung die mitgelieferte, problematische Version von log4j weiterhin nutzt und nicht etwa die aktualisierte Version des Betriebssystems. Mit anderen Worten: Betriebssystem aktualisieren allein reicht oft nicht aus, auch der Hersteller der Java-Anwendung muss eine Aktualisierung liefern.

… und zwar jeder Hersteller von Anwendungssoftware, die auf Java basiert und die „log4j“ einsetzt. Java ist weit verbreitet, und oftmals ist es für einen Anwender nicht einfach zu erkennen, ob diese Programmiersprache eingesetzt wird. Bei der enormen Masse an weltweit existierenden Anwendungen ist es schwer einzuschätzen, in wie vielen Produkten diese Schwachstelle schlummert. Und dann sind da ja noch die selbst entwickelten Java-Anwendungen, die man im Unternehmen einsetzt, … Viel Arbeit für die IT-Abteilungen.

Wenn es einem Angreifer gelingt, die Protokollinformationen auf seinen eigenen Server verweisen zu lassen, kann er bei der Interpretation des Protokolleintrags schädliche Informationen an die Java-Anwendung zurück liefern, welche dann ungefragt ausgeführt werden – und die Infektion ist geschehen. Ja, wirklich: Ohne Rückfrage, einfach so. Und vermutlich existiert diese Schwachstelle seit ca. 2016.

Was kann man gegen Log4j tun?

  • Sich informieren. Das BSI stellt den aktuellen Erkenntnisstand auf seiner Webseite zur Verfügung. Mittlerweile gibt es auch ständig wachsende Übersichten, ob oder ob nicht populäre Produkte betroffen sind. Hier mal die von Github.
  • Aufmerksam bleiben. Wir halten es für denkbar, dass die Berichterstattung und Paketaktualisierungen auch für Angriffe über Social Engineering und Phishing genutzt werden.
  • Aktualisieren. Und zwar sowohl das Betriebssystem als auch die Java-Anwendungen, die eingesetzt werden – dazu muss der Hersteller der Java-Anwendung allerdings aktiv werden.
  • Künftig die Risiken bei komplexen Softwarekonstellationen gründlicher abwägen. Aber das ist ein anderes Thema …

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Schlagwortarchiv für: Risikomanagement