false
Splunk-Blogs
Splunk-Blogs
Splunk-Blogs
Learn
12. März 2024
 | 
13 Minuten Lesedauer

Risikomanagement-Frameworks: Grundlagen, Vergleich & Implementierung

Von Shanika Wickramasinghe

Geschäftsumgebungen verändern sich tagtäglich. Ein Risikomanagement-Framework (RMF) ist daher für Unternehmen absolut unerlässlich, denn es hilft im Umgang mit Bedrohungen, die leider zum Geschäftsalltag dazugehören.

Unternehmen mit soliden RMFs können schneller auf unerwartete Ereignisse reagieren. Sie sind somit resilienter und besser auf ein erfolgreiches Arbeiten unter den unwägbaren Bedingungen der heutigen Zeit vorbereitet.

In diesem Artikel stellen wir euch RMFs vor und erläutern, warum ihr im Unternehmen eines verwenden solltet. Behandelt werden u. a. folgende Themen:

  • Die wichtigsten Komponenten von RMFs
  • Herausragende RMFs mit weltweiter Bedeutung
  • Vorteile von RMFs

Was ist ein Risikomanagement-Framework (RMF)?

Ein Risikomanagement-Framework (RMF) enthält Grundsätze und Richtlinien, die ein Unternehmen einhalten muss, um Risiken effektiv handhaben zu können. Ohne ein RMF ist das Risikomanagement ineffizient oder schlimmstenfalls sogar inexistent.

Bei der Abwägung von Schwachstellen, Bedrohungen und Risiken versteht man unter „Risiko“ das Verlust- und Schadenspotenzial, wenn sich eine bestimmte Bedrohung tatsächlich materialisiert. Ein RMF umfasst im Allgemeinen die Aspekte Risikoidentifikation, Risikobeurteilung, Risikominimierung und Risikoüberwachung. Weiter unten gehen wir näher auf diese Aspekte ein.

Das Cybersecurity Framework des National Institute of Standards and Technology (NIST), einer US-Bundesbehörde, ist das erste RMF, das zur Minimierung von Risiken im Zusammenhang mit Informationssystemen entwickelt wurde. Heute kommen RMFs zum Einsatz, um Risiken bei allen kritischen Unternehmensaktivitäten – insbesondere Geschäftsbetrieb, Finanzen, Rechtsstreitigkeiten, Compliance und Informationssysteme – zu bewältigen. 

Je nach Art des Risikos, das ihr zu bewältigen versucht, kann es verschiedene Outputs und Outcomes geben. Hier erfahrt ihr mehr über das Management bestimmter Risikotypen:

Warum Risikomanagement-Frameworks so wichtig sind

In der dynamischen Geschäftsumgebung von heute sehen sich Unternehmen mit zahlreichen Risiken konfrontiert, darunter:

  • Cyberrisiken
  • Regulatorische Änderungen
  • Risikobehaftete Veränderungen im wirtschaftlichen Umfeld

Ein gewisses kalkuliertes Risiko gehört natürlich zum Geschäftsalltag dazu. Doch zu viele Risiken können für Unternehmen gefährlich werden, vor allem wenn sie zu Reputationsschäden oder finanziellen Verlusten führen. 

Langfristig kann es sich keine Organisation leisten, auf ein effektives Management aller relevanten Risiken zu verzichten. Und wer seine Risiken systematisch und abteilungsübergreifend in den Griff bekommen will, kommt an einem RMF nicht vorbei.

Wichtige Merkmale und Komponenten von RMFs

Viele RMFs folgen einer allgemeinen Strategie für den Umgang mit Unternehmensrisiken. Typische Komponenten eines RMF sind Risikoidentifikation, -beurteilung, -minimierung, -überwachung und Berichterstattung sowie Risiko-Governance. Sehen wir uns die einzelnen Punkte kurz genauer an.

Risikoidentifikation

Der erste Schritt eines RMF ist das Identifizieren von Bedrohungen und Schwachstellen. Dabei kann es sowohl um Unternehmenswerte gehen, die anfällig für Bedrohungen sind, als auch um die Auswirkungen solcher Bedrohungen auf Geschäftsziele. Da kein Unternehmen statisch ist, muss die Risikoidentifikation immer ein kontinuierlicher Prozess sein.

Risikobewertung

In diesem zweiten Schritt geht es darum, den Schweregrad von Bedrohungen zu messen und entsprechende Prioritäten zu setzen. Die Auswirkungen erkannter Bedrohungen können finanzieller oder nicht finanzieller Natur sein. Zur Priorisierung nach Schweregrad nutzen Unternehmen oft quantitative und qualitative Ansätze. 

(Erfahrt mehr über Schweregrade von Sicherheitsvorfällen und die Priorisierung gängiger Schwachstellen und Risiken nach dem Schweregrad.)

Risikominimierung

Gegenstand der Risikominimierung sind Methoden, um die identifizierten Risiken zu beseitigen oder zumindest zu vermindern. Dies kann beispielsweise folgende Schritte umfassen:

  • Umsetzung erforderlicher Sicherheitskontrollen
  • Verbesserung vorhandener Sicherheitsmaßnahmen
  • Einhaltung von Best Practices für ein effektiveres Risikomanagement

Ein mögliches Ergebnis wäre, dass Unternehmen ihre allgemeinen Berichtsprozesse umstellen oder die Belegschaft umstrukturieren, um dadurch Risiken zu minimieren. 

Risikoüberwachung und Berichterstattung

Hier geht es um eine regelmäßige Überwachung der aktuellen Risiken und eine Abschätzung, wie wirksam die vorhandenen Strategien zur Risikominimierung sind. Berichte können beispielsweise darlegen, wie hoch das Risikoniveau aktuell ist oder mit welchen Anpassungen sich die bislang angewandte Risikomanagement-Strategie verbessern ließe.

(Mit Splunk setzt ihr auf umfassende Transparenz und starkes Security-Monitoring für euer SOC..)

Überwachung und Berichterstattung sind ein wichtiger Baustein für Unternehmen, die die Wirksamkeit ihrer Strategien gegen Bedrohungen in einem dynamischen Umfeld sicherstellen wollen. 

Risiko-Governance

Risiko-Governance sorgt dafür, dass Mitarbeiter über die Risikominimierungsmaßnahmen ihres Unternehmens genau Bescheid wissen und sich danach richten. Risiko ist ein Teil des GRC-Frameworks, das Risiko, Governance und Compliance zusammendenkt.

Ihr wisst nun, was alles zu einem RMF gehört. Als Nächstes sehen wir uns die verbreitetsten Frameworks an.

Die wichtigsten modernen Risikomanagement-Frameworks

Die folgenden RMFs kommen weltweit zum Einsatz. Wir präsentieren euch die wichtigsten Vorteile und Unterschiede, damit ihr entscheiden könnt, welches RMF für euch am ehesten infrage kommt.

NIST Cybersecurity Framework

Das Cybersecurity Framework des National Institute of Standards and Technology wurde mit Blick auf Cyberrisiken für Organisationen entwickelt. Ursprünglich auf US-Bundesbehörden ausgelegt, umfasst es sechs Schritte für das Management von Risiken hinsichtlich Informationssicherheit und Datenschutz. Übrigens hat NIST inzwischen auch ein nagelneues RMF für KI entwickelt.

Doch zurück zum Cybersecurity Framework: Die darin enthaltenen Richtlinien zur Implementierung von Risikomanagementsystemen entsprechen dem Federal Information Security Modernization Act (FISMA), einem US-Bundesgesetz zur Stärkung der Informationssicherheit.  

Hier die sechs Schritte des NIST Cybersecurity Framework im Einzelnen: 

  1. Kategorisieren: Klassifiziert euer System und die darin verarbeiteten, gespeicherten und übertragenen Daten anhand einer Folgenabschätzung.
  2. Auswählen: Führt Risikobeurteilungen durch, um den Schutzbedarf eures Systems zu ermitteln, und wählt dann geeignete NIST-Schutzmaßnahmen aus.
  3. Implementieren: Setzt die Maßnahmen um und dokumentiert den Bereitstellungsprozess.
  4. Beurteilen: Bewertet, ob die umgesetzten Maßnahmen wie vorgesehen funktionieren und zu den gewünschten Ergebnissen führen.
  5. Autorisieren: Eine Führungskraft entscheidet risikobasiert, ob das System freigegeben und in Betrieb genommen wird.
  6. Überwachen: Überwacht regelmäßig die Ausführung der Maßnahmen und potenzielle Risiken für das System.

(Als Alternative zu den NIST-Maßnahmen könnten auch die spezifischeren CIS-Maßnahmen in der Version 8 infrage kommen.)

ISO 31000

ISO 31000 ist eine Norm der Internationalen Organisation für Normung (ISO), die häufige Grundsätze und Richtlinien für das Risikomanagement in Unternehmen enthält. Es handelt sich um ein allgemeines, nicht branchenspezifisches RMF, das für Organisationen und Sektoren aller Art geeignet ist.

ISO 31000 fördert die Integration des Risikomanagements in Governance- und Entscheidungsfindungsprozesse. Die Norm versetzt größere und kleinere Unternehmen verschiedenster Branchen in die Lage, ein firmenweites Framework mit einheitlicher Terminologie umzusetzen.

Einfach gesagt verbessert ISO 31000 die Qualität der Entscheidungsfindung und hilft Unternehmen dabei, ihre strategischen Ziele zu erreichen und gleichzeitig potenzielle Risiken und Unwägbarkeiten zu minimieren. 

(Damit verwandt ist die Norm ISO/IEC 27001, die sich auf Informationssicherheit bezieht.)

COBIT 5

Control Objectives for Information and Related Technology, kurz COBIT, ist ein Framework, das von der Information Systems Audit and Control Association (ISACA) entwickelt wurde. Es war ursprünglich für Finanzprüfer vorgesehen. Die aktuelle COBIT-Version 5 hilft Unternehmen, auf allen Ebenen Lücken zwischen Folgendem zu schließen:

  • Technischen Probleme
  • Geschäftlichen Risiken
  • Kontrollanforderungen

Mit diesem robusten Framework können Organisationen alle ihre IT-Assets, IT-Verfahren und den IT-Betrieb effizient überblicken und kontrollieren. 

COBIT 5 beschreibt grundlegende Prozesse des Risikomanagements, mit denen Unternehmen bestimmte risikobezogene Ergebnisse erzielen können, nämlich:

  • Eine Risikomanagement-Strategie
  • Einen Kommunikationsplan für das Risikomanagement
  • Die zur Risikominimierung erforderlichen finanziellen Ressourcen

FAIR

Das Framework Factor Analysis of Information Risk (FAIR) ermöglicht es Organisationen, Cyberrisiken zu bewerten und zu analysieren. Es beinhaltet Standards und Best Practices für die Risikobewertung, das Risikomanagement und die Berichterstattung. 

FAIR unterscheidet sich von herkömmlichen Risikobeurteilungs-Frameworks, die sich vor allem auf qualitative Methoden stützen. Stattdessen richtet es den Fokus auf quantitative Aspekte, anhand derer ihr Cyber- und betriebliche Risiken leichter verstehen, beurteilen und messen könnt. 

FAIR bietet eine einheitliche Terminologie zur Vermittlung von Risiken in Unternehmen, was die Kommunikation zwischen technischen und sonstigen Abteilungen vereinfacht. Außerdem umfasst FAIR ein Risikomodell, das die Quantifizierung u. a. mit folgenden Tools erleichtert:

  • Einem Framework für die Datenerfassung
  • Integrationen für Engines zur Risikoberechnung
  • Modellierungsansätzen für komplexe Risiken

OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) ist ein weiteres RMF, das Unternehmen dabei helfen soll, Informations- und Sicherheitsrisiken zu erkennen, zu analysieren und zu bewältigen. Es wurde 1999 vom Software Engineering Institute (SEI) der Carnegie Mellon University veröffentlicht. 

OCTAVE bietet einen ganzheitlichen Ansatz zur Identifikation folgender kritischer Informationen:

  • Kritische Informationsbestände für das Unternehmen
  • Potenzielle Bedrohungen für diese Bestände
  • Schwachstellen, die mit Blick auf diese Bestände ausgenutzt werden könnten

Anhand dieser drei Aspekte können Unternehmen leichter nachvollziehen, welche Informationen potenziell gefährdet sind. Ausgehend davon lassen sich dann Mechanismen entwickeln und umsetzen, um das Gesamtrisiko für die kritischen Informationsbestände auf ein Minimum zu reduzieren.

TARA

Threat Assessment and Remediation Analysis (TARA) gehört zu den Praktiken der MITRE Corporation für das Systems Security Engineering (SSE). Es enthält einen Ansatz zur Erkennung und Bewertung von Cyberschwachstellen sowie zur Auswahl geeigneter Maßnahmen, um diese Schwachstellen zu beheben.

TARA besteht im Wesentlichen aus drei Komponenten:

  • Die Threat Agent Library (TAL) definiert häufige Bedrohungsakteure.
  • Die Methods and Objectives Library (MOL) beschreibt, welche Ziele die Bedrohungsakteure verfolgen und welche Methoden sie dabei anwenden.
  • Die Common Exposure Library (CEL) ist eine Wissensdatenbank zu bekannten Schwachstellen und Angriffspunkten im Bereich Informationssicherheit.

Aufbauend auf diesen drei Komponenten beschreibt TARA sechs Schritte, um mögliche Bedrohungen und Angriffspunkte aufzudecken: 

  1. Aktuelle Risiken identifizieren
  2. Basisrisiko festlegen
  3. Ziele der Bedrohungsakteure identifizieren
  4. Methoden der Bedrohungsakteure identifizieren
  5. Angriffsflächen ermitteln
  6. Strategie zur Informationssicherheit entsprechend anpassen

(Lest hier weiter, wenn ihr MITRE ATT&CK, ein weit verbreitetes Cybersecurity-Framework, kennenlernen möchtet.)

Vorteile effektiver RMFs

Effektive RMFs haben enorme Vorteile für Unternehmen und helfen euch, folgende Ergebnisse zu erzielen:

  • Gute Vorbereitung auf potenzielle Bedrohungen: Unternehmen, die ihre potenziellen Risiken im Voraus identifiziert haben, können Notfallpläne und -strategien aufstellen, um die Auswirkungen einzudämmen.
  • Verbesserte Unternehmensreputation:Ein proaktives Risikomanagement trägt dazu bei, die Unternehmensreputation zu schützen, da es Sicherheitsvorfällen vorbeugt und deren Auswirkungen auf die Kundschaft gering hält.
  • Optimierte Entscheidungsfindung: Ein RMF enthält eine Komponente zur Risikobeurteilung, auf deren Grundlage kluge Priorisierungsentscheidungen getroffen werden können. Darüber hinaus können Unternehmen mithilfe eines RMF optimale Risikominimierungsstrategien auswählen.
  • Höhere Resilienz: Mit einem RMF können Unternehmen Business Continuity sicherstellen, indem sie Risiken für ihren Geschäftsbetrieb identifizieren und die Wiederherstellung beschleunigen. 
  • Verbesserte Compliance: In vielen Branchen gelten strenge gesetzliche Vorgaben. RMFs helfen dabei, diese einzuhalten und so rechtliche Risiken zu senken.
  • Fokus auf Innovation: Unternehmen, die ihre Risiken im Griff haben, können sich voll und ganz auf ihre innovative Tätigkeit konzentrieren. 

Fazit

Risikomanagement-Frameworks sind heutzutage unverzichtbar für Unternehmen, die ihre vielfältigen Risiken in den Griff bekommen wollen. In diesem Artikel haben wir einige der gängigsten RMFs vorgestellt, nämlich NIST, ISO 31000, COBIT 5, FAIR, OCTAVE und TARA. Sie alle bieten strukturierte Ansätze, um Risiken zu erkennen, einzuordnen, einzudämmen und im Auge zu behalten, egal in welcher Branche.

Typische Komponenten eines RMF sind Risikoidentifikation, -beurteilung, -minimierung, -überwachung und Berichterstattung sowie Risiko-Governance. Die Vorteile, die sich aus der Umsetzung eines RMF ergeben, sind vielfältig. RMFs helfen Unternehmen dabei, durch Cyberangriffe, regulatorische Änderungen und wirtschaftliche Unwägbarkeiten bedingte Risiken besser zu bewältigen. Ein effektives Risikomanagement schützt zudem die Reputation und fördert Innovationen, damit sich Unternehmen voll und ganz auf die Zukunft konzentrieren können.

 

Ihr habt einen Fehler entdeckt oder eine Anregung? Bitte lasst es uns wissen und schreibt eine E-Mail an ssg-blogs@splunk.com.

 

Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.

 
Shanika Wickramasinghe Picture
Shanika Wickramasinghe

Shanika Wickramasinghe is a software engineer by profession and a graduate in Information Technology. Her specialties are Web and Mobile Development. Shanika considers writing the best medium to learn and share her knowledge. She is passionate about everything she does, loves to travel and enjoys nature whenever she takes a break from her busy work schedule. She also writes for her Medium blog sometimes. You can connect with her on LinkedIn.

Ähnliche Artikel

Learn 15 Minuten Lesedauer

IT-Event-Korrelation: Software, Techniken und Vorteile
Entdeckt die Leistungsfähigkeit der Ereigniskorrelation im IT-Betrieb. Deckt verborgene Erkenntnisse auf, erkennt Probleme und steigert die Effizienz durch aussagekräftige Ereignisanalyse. Erfahrt mehr.
Learn 16 Minuten Lesedauer

Das industrielle Internet der Dinge: Eine Einführung
In diesem Blogbeitrag werfen wir einen Blick auf das Industrial Internet of Things und wie es sich zum umfassenderen Internet of Things und verwandten Technologien verhält
Learn 23 Minuten Lesedauer

Was ist Verfügbarkeit?
In diesem Blogbeitrag betrachten wir Verfügbarkeit, Verfügbarkeitsüberwachung und die geschäftskritische Bedeutung von Hochverfügbarkeit genauer.

Über Splunk

Weltweit führende Unternehmen verlassen sich auf Splunk, ein Cisco-Unternehmen, um mit unserer Plattform für einheitliche Sicherheit und Observability, die auf branchenführender KI basiert, kontinuierlich ihre digitale Resilienz zu stärken.

 

Unsere Kunden vertrauen auf die preisgekrönten Security- und Observability-Lösungen von Splunk, um ihre komplexen digitalen Umgebungen ungeachtet ihrer Größenordnung zuverlässig zu sichern und verbessern.
Wiedergabe Light
Erfahrt hier mehr über Splunk
UNTERNEHMEN
UNTERNEHMEN
PRODUKTE
PRODUKTE
SITES
SITES
KONTAKT
KONTAKT
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS

© 2005 - 2025 Splunk LLC All rights reserved.

Rechtliche Hinweise
Datenschutz
Sitemap
Cookies
Nutzungsbedingungen

© 2005 - 2025 Splunk LLC All rights reserved.