Vorlage und Beispiel für die Risikoanalyse nach ISO 27001
Die ISO 27001 Norm erfordert von Organisationen, dass man eine Risikoanalyse durchführt. Das sollte Teil des regelmäßigen Risiko Managements sein. Um ein ISO 27001 Zertifizierungsaudit zu überstehen, müssen Unternehmen nachweisen können, dass ihre Risiko Management Methodik systematisch durchgeführt und dokumentiert wird. Um effektiv zu sein, muss man verschiedene Risikoanalysen durchführen. Ziel und Zweck eines Risiko Management muss transparent definiert sein. Dazu kann man sich mit Hilfe des BSI Standard 200-3 verschiedene Methoden zur Risikoanalyse aneignen. Eine weitere Möglichkeit zur Risikoeinschätzung ist die Anwendung der Grundsätze und Leitlinien aus der ISO 31000. Datenintensive Geschäftsmodelle sollten jedoch aufgrund ihrer besonderen digitalen Charakteristika auf die ISO 27005 zurückgreifen. Durch die Abstimmung zwischen ISO 27001 und der ISO 31000 erreichen Sie eine Integration des Informations-Risikomanagements in das Unternehmensrisikomanagement. Wo muss man also beginnen?
Wie führt man eine Risikoanalyse durch?
Am besten erstellen Sie sich eine Liste möglicher Bedrohungen auf. Dabei überlegen sie wer davon profieren würde, ihrer Organisationen einen Schaden zuzuführen. Sie sollten sich nicht auf Hacker, Diebe und durch Spielsucht verschuldete Mitarbeiter beschränken. Im nächsten Schritt überlegen Sie ob diese Gruppen auch die Möglichkeit haben einen solchen Schaden personell und technisch auszuführen. Manche Gefahrenquellen hätten zwar einen finanziellen Vorteil aus dem Diebstahl ihrer Kundenliste, jedoch wären sie technisch gar nicht in der Lage von außen ihre Sicherheitsvorkehrungen auszuschalten. Manche potentielle Tätergruppen hätten zwar die Expertise aber gar kein Interesse an ihren Werten, da sie nicht in ihre strategische Ausrichtung (Beuteschema) passen.
Ermittlung von Schwachstellen
Um Schwachstellen zielgerichtet zu ermitteln, müssen sie eine ISMS Risikoanalyse durchführen. Was aber ist eine Schwachstelle aus sichert der ISO 27001? Eine Schwachstelle ist eine Problemzone eines Geschäftsprozesses, Produkts IT Systems oder Kontrollverfahrens. Ergibt die Risikoanalyse, dass ein Produkt eine Schwachstelle entwickeln kann, so muss man sich überlegen wie diese entstehen kann. Indem Sie eine Philosophie der sicheren Software Entwicklung in der Organisation einbetten, verringern Sie das Risiko von kompromittierter Software in ihren Produkten.
Wie ermittle ich ISO 27001 konform diese Schwachstellen in meiner Organisation? Der erste Schritt ist die Verwendung eines Mindmaps. Tauschen Sie sich dazu mit Kollegen und anderen Fachbereichen ihrer Organisation aus. Dazu führt man sinnvollerweise zielgerichtete Gespräche, um die eventuell für einen persönlich unbekannten Problemzonen zu ermitteln. Dadurch entsteht eine immer größere Liste von potentiellen Gefahren und Schwachstellen, die sich mit Beziehungslinien verbinden lassen. So wird die Abhängigkeit einzelner Punkte klarer. Manche Gefahren können andere Gefahren auslösen. Der Schneeballeffekt potenziert den Schaden für die Gesamtorganisation. Daher sollte man Schwachstellen nie als absolut isoliert angesehen werden. Hacker können den Quellcode (Firmware) manipulieren, der später in Geräte mit ausgeliefert wird. Diese Geräte lösen eine Fahlfunktion aus und verursachen einen erheblichen Versicherungsschaden aus.
Vorhandene Schutzmaßnahmen überprüfen
Es reicht nicht aus Sicherheitsmaßnahmen im ISMS zu formulieren und der Organisation zu kommunizieren. Menschen tendieren gerne Anweisungen und Regeln zu vergessen. Folglich müssen sie die vorhandenen Schutzmaßnahmen auf ihre Wirksamkeit überprüfen. Manchmal werden gut ausgedachte Schutzmaßnahmen von der Belegschaft brav gelebt, die in Wirklichkeit für das Risiko nur ein Placebo-Effekt darstellen. Dadurch kann die Gefahr ungehindert die Organisation mit ihren Werten schädigen. Zudem können manche Schutzvorkehrungen unnötig kostspieliger als das abzuwehrende Schaden sein. Daher müssen Sie stets abwägen, ob das Risiko technisch und organisatorisch zu einem gerechtfertigten wirtschaftlichen Aufwand minimiert werden kann. Manchmal bleibt ihnen nicht anders als das Risiko zu akzeptieren oder an eine Versicherung (oder spezialisierten Dienstleister) auszulagern.
Einordnung mit Hilfe einer Risikomatrix
In vielen Organisationen hat sich die Verwendung einer Risikomatrix bewährt. Wenn unsere Experten im Auftrag von verschiedenen deutschen und europäischen Zertifizierungsstellen (z.B. TÜV Nord) als ISO 27001 Auditoren unterwegs sind, sehen wir verschiedene Arten der Anwendung einer Risikomatrix. Dabei geht es um die Visualisierung der Wahrscheinlichkeit des Eintretens eines Risiko und der damit verbundenen Folgen (Auswirkungen).
Bewertung der Eintrittswahrscheinlichkeit
Die erwartete Wahrscheinlichkeit einer Gefahr muss durch den „Eigentümer eines Wertes“ (z.B. Leiter der Software Entwicklung) bewertet werden. Wie wahrscheinlich ist es, dass ein bestimmtes Ereignis in einem bestimmten Zeitraum auftritt? Um diese Frage zu beantworten, müssen Sie die Gefahrenquelle mit ihrer Motivation und Leistungsfähigkeit aus einem 360° Perspektive beleuchten. Diskutieren Sie auch mit den Kollegen im betroffenen Team wie diese Art der Gefährdung in Erscheinung treten könnte. Hinterfragen Sie die Existenz und Wirksamkeit der vorhandenen Maßnahmen.
Bestimmung und Analyse von Auswirkungen
Damit ein Risikomatrix überhaupt einen Nutzen für die Organisation entfalten kann, müssen Sie die Höhe des Risikos feststellen. Bewerten Sie die negativen Konsequenzen der Schadensereignisse. Berücksichtigen Sie dabei die existierenden Schwachstellen und mögliche unbekannte Schwachstellen. Der zu erwartende Schaden kann die Existenz ihrer Organisation bedrohen.
Wie reduziere ich das Risiko einer Gefährdung?
Definieren Sie geeignete Sicherheitsmaßnahmen um die ermittelten Risiken zu mindern. Risikomaßnahmen dienen dazu Risiken zur vermindern, vermeiden, teilen oder akzeptieren. Unterteilen sie hierzu Maßnahmen in ursachenbezogene sowie wirkungsbezogene Maßnahmen. Das erleichtert ihnen die Erstellung künftiger Listen mit Maßnahmen und Checklisten.
Ursachenbezogene Maßnahmen
Ursachenbezogene Maßnahmen dienen zur Verringerung der Wahrscheinlichkeit des Eintretens und die Reduzierung der Anzahl von Schadensereignissen.
Wirkungsbezogene Maßnahmen
Sie sollten wirkungsbezogene Maßnahmen einsetzen, um das Ausmaß möglicher negativer Auswirkungen von Ereignissen zu minimieren.
Wie gehe ich mit den erkannten Risiken um?
Legen Sie für jedes bei der ISMS Risikoanalyse ermittelte und priorisierte Risiko fest, mit welchen Maßnahmen Sie die Risiken behandeln wollen. Beschreiben Sie wo nötig wie diese Risikobehandlung aussehen soll. Berücksichtigen Sie die zu erwartenden Kosten für die Umsetzung der beschlossenen Maßnahme auf Basis der Risikobewertung. Setzen Sie die Kosten und Wirksamkeit der Maßnahme gegenüber der realistischen Nutzen für die Organisation. Das Top Management (bzw. die Geschäftsleitung) muss die Risiken in Risikogruppen betrachten. Dadurch können Sie im Führungskreis auch die Risiken mit geringer Eintrittswahrscheinlichkeit aber hohem Ausmaß gesondert betrachten.
Ist aus wirtschaftlicher Sicht die Umsetzung eine Maßnahme nicht zu rechtfertigen, so muss man überlegen wie man mit dieser Gefahr anders umgehen kann. Wenn Sie die ernsthafte Absicht haben, ein ISO 27001 Zertifikat zu erwerben, müssen Sie im Betriebe einen dokumentierten Plan aufstellen! Legen Sie in diesem Umsetzungsplan die priorisierte Reihenfolge sowie der Zeitrahmen für die Umsetzung der Maßnahmen fest. Sie sollten Maßnahmen priorisieren anhand der Priorisierung der Risiken. Vergessen Sie dabei nicht, ihre Kosten-Nutzen-Analyse zu berücksichtigen.
Schritt für Schritt zur Risikoanalyse
Folgen Sie den hier vorgegebenen 6 Schritten, um eine wirksamme Risikoanalyse durchzuführen:
1. Methodik zur Risikobewertung nach ISO 27001
2. Risikobewertungs-Implementierung
3. Risikobehandlungs-Implementierung
4. ISMS Risikobewertungsbericht
5. Anwendbarkeitserklärung
6. Risikobehandlungsplan
Wer ist am meisten gefährdet und benötigt ISO 27001?
Unternehmen, die wichtige Infrastruktur für die Bevölkerung bereitstellen, sind einem hohen Risiko ausgesetzt, Opfer krimineller und staatlicher Angriffe zu werden. Nicht nur Unternehmen, die militärische Ausrüstung entwickeln, sind von staatlich geförderter Sabotage und Spionage bedroht. Sogar deutsche Universitäten werden von ausländischen Behörden ins Visier genommen, um Forschungsergebnisse zu stehlen und gefährdete Personen zu identifizieren. Für Universitäten geht es nicht nur um Studierende oder Lehrende, die aus unterdrückten Ländern stammen. Die nationale Sicherheit eines Landes hängt von seinen mutigsten, aber auch von seinen intelligentesten Bürgern ab, die in Zukunft dazu beitragen könnten, die Freiheit des Landes zu schützen.
Dies sind derzeit die am stärksten gefährdeten Unternehmenstypen:
- Universitäten (privat und staatlich)
- Forschungsinstitute
- Verteidigungsunternehmen
- IT-Unternehmen
- ISP- und SaaS-Unternehmen
- Webhoster und Agenturen
- Marketingagenturen und Internetagenturen
- Personalvermittler und Zeitarbeitsfirmen
- Softwareunternehmen
- Versorgungsunternehmen (Wasserwerke, Elektrizitätswerke, Gasbetreiber)
- Transportdienste (ÖPNV, Bahn, Busverbindungen, Fähren)
- Polizei und Gemeindeverwaltungen
- Schulen und Bildungsträger
- Social-Media-Plattformen
- Banken und Venture-Capital-Firmen
- und viele andere