In der heutigen digitalen Landschaft ist es für Unternehmen essenziell, ihre Organisation vor Risiken zu schützen. Risiken gibt es dabei in allen Unternehmensbereichen, beispielsweise durch politische Instabilität, Marktvolatilität, welche die Geschäftsstrategie gefährdet oder Produktionsausfälle. Ebenso gibt es je nach aktueller Bedrohungslage, die aktuell vom BSI als sehr hoch eingeschätzt wird, allgegenwärtige Bedrohungen für die IT-Infrastruktur, die die Informationssicherheit im Unternehmen existenzgefährdend bedrohen können.
Risikomanagement umfasst dabei die Identifikation, die Bewertung sowie die Kontrolle von Risiken, die eine negative Auswirkung auf die Informationssicherheit haben können.
Ein Risiko wird dabei als eine mögliche Schwachstelle bezeichnet, die durch eine (Cyber-)Bedrohung ausgenutzt wird und schädliche Auswirkungen auf eine Organisation hat. Ein Beispiel für ein Risiko im Unternehmen könnte dabei die unzureichende Schulung von Mitarbeitern im Bereich Security Awareness sein. Durch fehlende oder unzureichende Trainingsmaßnahmen bei der Sensibilisierung im Umgang mit Cyberbedrohungen – in diesem Fall die Schwachstelle- können Beschäftigte im Arbeitsalltag mögliche Phishing oder Ransomware Angriffe nicht erkennen und fallen einem Angreifer zu Opfer. Die Bedrohung in diesem Beispiel ist der Phishingangriff als potentielles Ereignis, das durch menschliches Versagen ein komplettes System gefährdet.
Als zentrales Mittel bei der Identifikation kritischer Geschäftsprozesse dienst die Business Impact Analyse. Diese zielt auf die Identifikation kritischer Geschäftsprozesse und Ressourcen ab. Zentrales Ziel bei der Business Impact Analyse ist, alle möglichen Risiken zu erkennen, die schädliche Auswirkungen auf die Kontinuität dieser Prozesse haben können.
Bleiben wir beim Phishingbeispiel: Als Folge bzw. Auswirkung eines Ereignisses können finanzielle Schäden oder die Unterbrechung der Businesskontinuität genannt werden. Am Beispiel eines Phishing Angriffs wird dies schnell klar: Öffnet ein Mitarbeiter aufgrund fehlender Sensibilisierungmaßnahmen einen Emailanhang von einer gefälschten Absenderadresse, können mittels Ransomware Kundendaten und Firmengeheimnisse verschlüsselt und gestohlen werden. Ohne Daten und mit kompromittierten Systemen kann der Geschäftsbetrieb oft nicht fortgesetzt werden; oft vergehen bis zur Vollständigen Wiederherstellung des Systembetriebs bis zu 180 Tage. Das dies negative Auswirkungen auf die Umsätze, sowie die Reputation des Unternehmens hat ist selbsterklärend.
Um dieses identifizierte Risiko zu mindern, werden entsprechende Maßnahmen implementiert. Beispielsweise kann das Risiko von Phishing Angriffen mittels regelmäßiger Security Awareness Trainings gemindert werden. Mitarbeiter und Geschäftsführung werden dadurch im Umgang mit Cyberbedrohungen sensibilisiert. Als technische Maßnahme ist beispielsweise ein Endpoint Detection und Response Tool zu implementieren, um das Netzwerk abzusichern und Bedrohungen möglichst schnell zu erkennen und zu beseitigen.
Um die identifizierten Risiken zu bewerten, werden die Eintrittswahrscheinlichkeit eines Risikos in Relation mit den möglichen Auswirkungen für die Organisation gesetzt. Dies bestimmt die Kritikalität eines Risikos. Sind also entsprechende technische und organisatorische Maßnahmen zur Phishing Prävention implementiert, kann die Wahrscheinlichkeit, dass für die Organisation Schaden durch menschliches Versagen entsteht als gering eingestuft werden. Die Auswirkungen, sollte es also trotz entsprechender Maßnahmen zu Vorfällen kommen, werden dennoch als relativ hoch bewertet.
