Sie sind mit der Aufgabe betreut worden, ein Risiko-Management in Ihrem Unternehmen einzuführen. Das erste, was Sie erledigen sollten ist die Geschäftsführung an Board zu bekommen und andere wichtige Stakeholder. Gibt es beispielsweise einen Datenschutzbeauftragten oder einen (Informations)Sicherheitsbeauftragten? Dann involvieren Sie ihn frühzeitig, um Synergien zu nutzen.
Diskutieren Sie mit diesen Stakeholdern die verschiedenen Aspekte Ihres Risikomanagement.
- Welche Risiken wollen Sie betrachten?
- Wieviel Budget haben Sie?
- Dürfen Sie externe mit an Board holen?
- Wie dringend ist das Thema?
Legen Sie zum Abschluss unbedingt fest, wann Sie sich das nächste Mal treffen, um ein Status-Update zu geben. Eventuell eignet sich ein Jour-Fixe.
Risiken gibt es viele und Ihre Aufgabe ist es, die für Ihr Unternehmen relevanten Risiken zu finden und zu managen. Dafür wollen wir zunächst einmal Begrifflichkeiten klären.
Ein Risiko ist die Wahrscheinlichkeit, dass einer Ihre Werte verloren beziehungsweise beeinträchtigt wird. Um dies abzubilden wird häufig von einer Risikowahrscheinlichkeit, also wie Wahrscheinlich ist es, dass ein Risiko eintritt und einer "Schwere" gesprochen, also welche Auswirkungen hätte der Risikoeintritt für Ihr Unternehmen.
Folgende Stufen können für die Eintrittswahrscheinlichkeit verwendet werden:
- Niedrig: weniger als einmal im Jahr
- Mittel: mindestens einmal im Jahr
- Hoch: Monatlich
Folgende Schadensstufen können Sie definieren:
- Niedrig: Finanzielle, rechtliche und Reputationsschäden sind nicht vorhanden
- Mittel: Finanzielle, rechtliche und Reputationsschäden haben geringe Auswirkungen
- Hoch: Finanzielle, rechtliche und Reputationsschäden haben hohe Auswirkungen
- Kritisch: Finanzielle, rechtliche und Reputationsschäden haben existenzbedrohende Auswirkungen
Der Cloudspeicher der Franken-Logistik könnte gehackt werden. Die Eintrittswahrscheinlichkeit ist Niedrig und die Schadensstufe ist Hoch.
Eine Bedrohung ist der Grund, warum ein Risiko eintreten kann. Es kann durchaus mehrere Bedrohungen geben, die ein Risiko betreffen.
Ein unberechtigter Mitarbeiter der Franken Logistik könnte Zugriff zum Cloudspeicher bekommen.
Ein Angreifer aus dem Internet erhählt Zugang aufgrund einer Fehlkonfiguration der Cloud.
Ein Dieb klaut einen mobilen Rechner mit Zugang zur Cloud.
Angst ist immer ein schlechter Berater. Angst ist die Wahrnehmung des Risikos. Die Angst kann helfen Risiken zu entdecken, allerdings limitiert Sie Ihren Blickwinkel auch stark und fokussiert Sie auf die falschen Bedrohungen.
Ich habe Angst, dass Nachrichtendienste oder staatliche Akteure auf unseren Cloudspeicher zugreifen können.
Diese Risiken, Ängste und Bedrohungen gilt es nun also zu entdecken. Hierfür können Sie verschiedene Formate nutzen, beispielsweise einen Workshop, Brainstorming, externe Auditoren, Penetrationstests, Tools und so weiter. Sie sollten diesen Schritt auf keinen Fall alleine durchführen, um ausschließlich eine Sicht zu haben. Heterogenität und Vielfalt zahlt sich an dieser Stelle aus.
Das Ergebnis dieses Schritts ist eine Liste mit verschiedenen Risikoszenarien und den assoziierten Eintrittswahrscheinlichkeiten und Schadensstufen.
Wenn alle Interviews geführt wurden und alles dokumentiert ist, werden die Risiken sortiert. Eine Sortierung von hoher Eintrittswahrscheinlichkeit und hoher Schadensstufe runter zu niedriger Eintrittswahrscheinlichkeit und niedriger Schadensstufe ist das Standardverfahren. Bei Szenarien mit gleichen Eintrittswahrscheinlichkeiten und Schadensstufe sollten Sie eine Sortierung mit der Geschäftsführung vornehmen. Sie können auch eine Risikomatrix erstellen, so sehen Sie direkt, wieviele Risiken Sie akzeptierene, behandeln oder sofort behandeln müssen.
Das Ergebnis ist eine sortierte und priorisierte Ansicht aller Risiken, die Sie behandeln müssen.
Nachdem Sie nun Ihre Risiken priorisiert haben, müssen Sie Gegenmaßnahmen einführen. Eine gute Gegenmaßnahme hat immer Auswirkungen auf mehrere Risiken. So mindert beispielsweise die Verpflichtung und technische Umsetzung von Sperrung und Verschlüsselung eines Laptops, zwei von drei der oben aufgeführten Bedrohungen.
Das Ergebnis dieses Arbeitspakets ist ein Fahrplan zur Verminderung der Risiken, bis zum nächsten Iterationszyklus
Nach dem Spiel ist vor dem Spiel, um in einer Sportmetapher zu sprechen. Sie müssen nach der Einführung von Gegenmaßnahmen wieder an den Anfang zurück und neue Risiken entdecken. Einige Fragen, die Sie sich und Ihren Stakeholdern stellen sollten:
- Was hat sich an der Infrastruktur geändert, seit dem letzten Prozess?
- Was hat sich organisatorisch geändert, seit dem letzten Prozess?
- Gibt es technische Neuerungen, die vorher nicht betrachtet wurden?
- Gibt es neue Bedrohungsszenarien die aktuell aufkommen?
Mit jeder Iteration werden Sie merken, dass Sie mehr in den Fluss kommen und Schritt für Schritt hin zu einem dynamischen und funktionierendem Risikomanagement.