Warum Sie das Risiko umarmen sollten
- Klaus Thurnhofer
- 9. Sept.
- 2 Min. Lesezeit
Aktualisiert: 11. Sept.
Was soll schon passieren!
Ah geh, das passiert nicht.
Na geh, ich hätt mir nicht gedacht, dass das passiert.
Wem kommen diese Aussagen bekannt vor?
Risiko-basiertes Management bedeutet: bewusst die größten Gefahren und Schwachpunkte in den Blick zu nehmen – und Managemententscheidungen darauf aufzubauen. Einfach “drauf los” arbeiten, „blind“ abarbeiten, das soll vermieden werden.
Ich möchte noch den signifikanten Vorteil herausarbeiten, den dieser Denkansatz speziell im Zusammenhang mit der ISO 27001 hat. Zuvor ordne ich noch die Aussagen dem jeweiligen Prozess-Schritt des Risiko-Managements zu.
Aussage | Risiko-Prozess | Status Quo |
|---|---|---|
Was soll schon passieren!? | Risiko-Identifikation | Eine Risiko-Identifikation hat bisher nicht stattgefunden. |
Ah geh, das passiert nicht. | Risiko-Beurteilung | Die Beurteilung des Risikos entspricht einem „Wegwischen“ und keiner bewussten Auseinandersetzung mit dem Thema. |
Na geh, ich hätte mir nicht gedacht, dass das passiert. | Risiko-Behandlung | Es gab keine Behandlung, dafür gibt es jetzt die große Überraschung, dass dieser Fall doch eintreten kann. |
Wie Sie sich wirklich schützen: Das Risiko-basierte Management
Nehmen wir das Beispiel Ransomware.
„Ah geh, das passiert uns nicht.“
Diesen Satz habe ich schon oft gehört. Vielleicht, weil man glaubt, dass nur große Konzerne betroffen sind. Oder weil man der Meinung ist, die eigenen Daten seien für Angreifer ohnehin uninteressant.
Die Realität sieht anders aus: Ransomware unterscheidet nicht zwischen „groß“ und „klein“. Jeder, der digitale Werte hat, kann Ziel sein. Und spätestens dann, wenn die gesamte IT steht, die Kunden keine Services mehr nutzen können und die Geschäftsführung hektisch Krisensitzungen einberuft, merkt man: Das war ein Risiko, das wir vielleicht zu lange weggeschoben haben.
Risiko-basiertes Management heißt hier:
Identifizieren: Ja, Ransomware ist eine reale Gefahr.
Bewerten: Eintrittswahrscheinlichkeit mittel, Auswirkungen potenziell existenzbedrohend.
Behandeln: Regelmäßige Backups, Netzwerke segmentieren zur Eindämmung eines tatsächlichen Ausbruchs, regelmäßige Restore-Tests um sicherzugehen, dass die Backups auch funktionieren.
Plötzlich verändert sich die Sichtweise. Ransomware ist nicht mehr ein theoretisches „könnte irgendwann vielleicht passieren“, sondern ein kalkulierbares Risiko. Und weil es kalkulierbar ist, kann man auch bewusst entscheiden, welche Maßnahmen man setzt – und wie viel man investiert.
Das Schöne daran: anstatt Angst zu schüren, gibt dieser Ansatz Sicherheit. Man geht nicht mehr davon aus, dass „eh nichts passiert“. Sondern man weiß, was passieren könnte – und ist vorbereitet.
ISO 27001: Von der Pflicht zur Chance
Hier entsteht die Verbindung zur ISO 27001 bzw. ihrem Anhang ISO 27002 (den technischen und organisatorischen Maßnahmen). Die Beschäftigung mit dem Risiko Ransomware führt dazu, dass wir Maßnahmen umsetzen:
Backup und Restore-Tests (8.13 Sicherung von Informationen),
Netzwerksegmentierung (8.22 Trennung von Netzwerken), und vermutlich auch noch
Einsatz von Antivirus oder Endpoint Detection and Resopnse (8.7 Schutz gegen Schadsoftware)
Die bisherige Perspektive war: in der ISO 27001 sind Regeln beschrieben, die es umzusetzen gilt?
Nun entsteht eine neue Betrachtung: die ISO 27001 bietet mit der dazugehörigen ISO 27002 ein Set an technischen und organisatorischen Maßnahmen, aus denen sich schöpfen lässt, um die Risiken zu behandeln.
Der Vorteil liegt nun auf der Hand: während man sich mit einer guten Management-Methodik beschäftigt, um die Geschicke des Unternehmens zu steuern, erledigt man - on the go - einige Norm-Erfordernisse gleich mit.
Kommentare