Veröffentlichungsdatum: 1. November 2019
Risikomanagement ist die Praxis, proaktiv zu analysieren, an welchen Stellen Ihr Unternehmen anfällig für Bedrohungen ist, und diese Bedrohungen dann zu bewerten und zu entschärfen.
Das Risikomanagement umfasst mehrere Richtlinien und Prozesse zum Erkennen, Bewerten und Kontrollieren einer Vielzahl potenzieller Risiken für Unternehmen – dazu zählen finanzielle Ungewissheit, rechtliche Verpflichtungen, strategische Managementfehler, Unfälle, Naturkatastrophen und Cyberangriffe. Letztendlich ermöglicht das Risikomanagement den Unternehmen, von einem abwartenden zu einem proaktiven und präventiven Ansatz überzugehen.
Angesichts der zunehmenden Verbreitung hochentwickelter und tückischer Malware und zahlreicher strenger gesetzlicher Anforderungen wie der europäischen Datenschutz-Grundverordnung (DSGVO), die bei Nichteinhaltung empfindliche Geldstrafen nach sich ziehen können, haben Risikomanagement-Instrumente und -Strategien für Unternehmen massiv an Relevanz gewonnen. Daher ist es keine Überraschung, dass mehr und mehr Unternehmen umfassende Risikomanagementpläne entwickeln, in denen die Prozesse erfasst sind, mit denen sie Bedrohungen für ihre gesamten digitalen Assets erkennen und kontrollieren. Darunter fallen geheime, geschützte oder anderweitig sensible Unternehmensdaten, geistiges Eigentum und personenbezogene Kundendaten.
In diesem Artikel werden unterschiedliche Risikoarten beleuchtet. Außerdem gehen wir darauf ein, warum es wichtig ist, Ihre geschäftlichen Risiken zu kennen, und zeigen mehrere Techniken zur Reaktion auf Risiken und zur allgemeinen Risikoeindämmung auf.
Warum ist es wichtig, die Risiken in Ihrem Unternehmen richtig einzuschätzen?
Für Unternehmen ist es absolut entscheidend, die eigenen Geschäftsrisiken richtig einzuschätzen, um einen besseren Einblick in eine Vielzahl von Faktoren und Variablen zu gewinnen – die möglicherweise zu schweren, kostenintensiven und langfristigen Schäden führen können – und diese damit besser unter Kontrolle zu bekommen. Wer sich über bestimmte Risikofaktoren im Klaren ist, kann nicht nur potenzielle Bedrohungen, Verluste und Störungen vorzeitig erkennen, sondern auch angemessen auf Bedrohungen reagieren und geeignete Ressourcen und Infrastruktur zuweisen, um schwere Verluste zu minimieren oder ganz zu vermeiden.
Welche unterschiedlichen Risikoarten gibt es?
Unternehmen sehen sich mit zahlreichen unterschiedlichen Geschäftsrisiken konfrontiert, zu den häufigsten zählen operative, finanzielle, Compliance-, Reputations- und Sicherheitsrisiken.
- Operatives Risiko: Das operative Risiko umfasst unerwartete Ausfälle oder Störungen im Tagesgeschäft Ihres Unternehmens, die von technischen Ausfällen, wie einem Stromausfall, bis hin zu Mitarbeiterfehlern, Betrug oder fehlgeschlagenen Verfahren und Richtlinien reichen.
- Finanzielles Risiko: Das finanzielle Risiko bezieht sich auf alle Aspekte, die eine Bedrohung für die ein- und ausgehenden Geldströme eines Unternehmens darstellen.
- Compliance-Risiko: Da sich die Compliance-Gesetze regelmäßig ändern, sind Unternehmen ständig dem Risiko ausgesetzt, unwissentlich gegen Vorschriften zu verstoßen und sich hohe Bußgelder und andere geschäftsschädigende Strafen einzuhandeln.
- Reputationsrisiko: Als Reputationsrisiko wird alles bezeichnet, was der Marke oder dem Ruf eines Unternehmens weitreichenden, langfristigen Schaden zufügen kann, z. B. ein größerer Rechtsstreit, ein Produktrückruf, Skandale oder andere negative Publicity oder öffentlichkeitswirksame Kritik an Produkten oder Services.
- Strategisches Risiko: Ein strategisches Risiko führt dazu, dass ein Unternehmen Schwierigkeiten hat, seine gewünschten Metriken oder Ziele zu erreichen, oder dass die Unternehmensstrategie aufgrund eines Technologiewandels, eines neuen Mitbewerbers, geänderter Verbrauchernachfrage, rasch ansteigender Gemein- oder Rohstoffkosten oder anderer groß angelegter Veränderungen weniger wirksam ist.
- Sicherheitsrisiko: Das Sicherheitsrisiko ist das potentielle Risiko eines Unternehmens, einen Verlust, eine Beschädigung oder Zerstörung seiner Assets zu erleiden, wenn Malware, nicht autorisierte Benutzer oder andere Bedrohungen das System infizieren, Schwachstellen ausnutzen oder Daten stehlen oder kompromittieren.
Was versteht man unter Risikokosten (Total Cost of Risk, TCoR)?
Die Risikokosten sind eine quantifizierbare, kontrollierbare Zahl, welche die Summe aller Aspekte der Geschäftstätigkeit eines Unternehmens darstellt, die sich auf das Risikomanagement und erlittene Verluste beziehen. Diese Gleichung beinhaltet unter anderem Faktoren wie Versicherungsprämien, Selbstbehalte, nicht versicherte Schäden und damit verbundene Aufwendungen für die Schadenregulierung, aufsichtsrechtliche Bußgelder, interne und externe Risikokontrollkosten, Verwaltungskosten sowie Steuern und Gebühren. Die Fähigkeit, die TCoR Ihres Unternehmens zu berechnen, spielt eine wesentliche Rolle bei der Risikoeinschätzung.
Wo liegen die Ursachen für Sicherheitsrisiken?
Sicherheitsrisiken können von Menschen ausgehen, z.B. von unzufriedenen, unvorsichtigen oder schlecht informierten Mitarbeitern oder Drittanbietern. Das Risiko kann auch auf fehlerhafte oder anfällige Geräte und Anwendungen zurückzuführen sein, wie mobile Geräte, die möglicherweise Unternehmensdaten an unbefugte Benutzer preisgeben, ungepatchte oder stark veraltete Geräte und Systeme sowie anfällige öffentliche Cloud-Anwendungen oder unzureichende Sicherheitsrichtlinien.
Wie wirkt sich ein Sicherheitsverstoß auf das Risiko aus?
Sicherheitsverstöße haben ernste und oftmals langfristige Folgen für die betroffenen Unternehmen und wirken sich auf einige Risikoarten aus.
Eine Datenschutzverletzung oder ein erfolgreicher Cyberangriff erhöht mit ziemlicher Sicherheit das finanzielle Risiko eines Unternehmens. Zu den offensichtlichen Kosten, die mit einer Datenschutzverletzung einhergehen, gehören die finanzielle Entschädigung der Opfer oder der Ersatz des gestohlenen Geldes. Darüber hinaus drohen Unternehmen, die von einem Sicherheitsverstoß betroffen sind, hohe Bußgelder von Regierungs- und Aufsichtsbehörden. Unter der DSGVO können Geldbußen in Höhe von 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Außerdem werden Unternehmen, die von einer Datenschutzverletzung betroffen sind, unweigerlich mit einem sinkenden Aktienwert konfrontiert und sind gleichzeitig gezwungen, höhere Versicherungsprämien zu zahlen, um sich für den Fall einer erneuten Datenschutzverletzung abzusichern.
Zusätzlich zu den zahlreichen unmittelbar anfallenden Kosten haben Sicherheitsverletzungen auch langfristige Folgen für Unternehmen. Nach einer Datenschutzverletzung muss sich das betroffene Unternehmen mit längerfristigen Reputationsschäden auseinandersetzen, zu denen sinkendes Kundenvertrauen, Kundenabwanderung und der Verlust von Marktanteilen an die Konkurrenz gehören. Da die Opfer von Datenschutzverletzungen dem Risiko eines Identitätsdiebstahls ausgesetzt sind, wenn ihre personenbezogenen oder Finanzdaten kompromittiert wurden, könnte das betroffene Unternehmen auch noch Monate oder Jahre später mit Klagen und Vergleichen konfrontiert werden.
Welche Schritte sind beim Risikomanagement zu befolgen?
Das Riskmanagement besteht in der Regel aus drei Schritten: Risikobewertung, Risikoanalyse und Risikominimierung.
- Risikobewertung ist der Prozess, mit dem Sie Schwachstellen innerhalb Ihrer IT-Infrastruktur und Ihres Netzwerks aufdecken, die zu Datenverlusten, Umsatzeinbußen, Ausfallzeiten/Unverfügbarkeit oder Compliance-Strafen führen könnten. Dabei geht es vor allem darum, zu bestimmen, welche Assets des Unternehmens am ehesten kompromittiert werden können und wie.
- Risikoanalyse ist der Prozess, in dem ermittelt wird, wie wahrscheinlich es ist, dass sich ein IT-Security-Event negativ auf Ihr Unternehmen auswirkt. Dieser Schritt umfasst in der Regel die Suche nach Bedrohungen und Penetrationstests, um Schwachstellen aufzudecken, erfordert aber auch einen ehrlichen Blick auf die aktuellen Schutzmaßnahmen und eine Bewertung der Auswirkungen dieser Bedrohungen auf das Unternehmen.
- Risikominimierung ist der Prozess, in dem Maßnahmen zur Eindämmung von Bedrohungen und deren Auswirkungen auf die Sicherheit geplant und umgesetzt werden. Dies kann die Festlegung von unternehmensweiten Richtlinien und Verfahren, die Einstellung neuer oder die Schulung vorhandener Mitarbeiter, die Einrichtung neuer Kontrollmechanismen oder die Einführung neuer Technologien umfassen. Außerdem müssen Sie Ihre Sicherheitsprioritäten festlegen, beschreiben, wie das Problem gelöst werden soll und Abhilfemaßnahmen einführen.
Wie wird das Sicherheitsrisiko verringert?
Einer der wichtigsten Aspekte beim Mindern von Sicherheitsrisiken ist die Fähigkeit, Schwachstellen aufzudecken und Verstöße zu erkennen, die Sie anfällig für Angriffe machen. Regelmäßige Bewertungen von Cyberbedrohungen können zu einer frühzeitigen Risikoerkennung und -minderung beitragen, denn so können Anwendungsschwachstellen aufgedeckt, Malware und Botnets erkannt und veraltete oder gefährdete Geräte ausfindig gemacht werden. Darüber hinaus können Bewertungen Ihnen helfen, die Benutzerproduktivität zu analysieren und festzustellen, welche Apps auf dem System ausgeführt werden. Außerdem bieten sie Einblicke in die Netzwerkauslastung und -leistung, einschließlich der Bandbreitennutzung, sodass verdächtige Auslastungsspitzen im Datenverkehr erkannt werden können, bevor es zu schädlichen Störungen kommt.
- Sicherheitsverstöße erkennen: Indikatoren für Sicherheitsverstöße hängen natürlich größtenteils von der Art des Angriffs ab, es gibt jedoch einige allgemeine Anzeichen. Dinge wie ungewöhnliche Anmeldezeiten, überraschende Neustarts, verlängerte Netzwerklatenz oder anderweitig unerklärlich hoher Datenverkehr, die Verwendung ungewöhnlicher Software oder fehlerhaft arbeitende Sicherheitsanwendungen sowie das Vorhandensein unbekannter IPs können darauf hindeuten, dass ein Sicherheitsverstoß stattfinden könnte oder bereits stattgefunden hat.
- Schwachstellen aufdecken: Ungepatchte und veraltete Geräte enthalten oft Schwachstellen, die Angreifern Tür und Tor öffnen. Viele Formen fortschrittlicher Malware können auf unbestimmte Zeit inaktiv bleiben und erst dann ausgelöst werden, wenn das System am anfälligsten ist, z. B. während eines Neustarts oder eines Updates. Sie zielen dann auf ungepatchte Sicherheitslücken ab, um Daten zu stehlen, Cyberspionage zu betreiben oder das System anderweitig zu stören.
Wie kann Automatisierung zur Risikominderung beitragen?
Automatisierung bietet Unternehmen eine Möglichkeit, die Risikominderung umfassend anzugehen und die Bedrohungserkennung und Incident-Behebung effizienter und strukturierter zu gestalten. Kritische Systeme wie IT-Betrieb, Bedrohungs- und Schwachstellenmanagement, Konfiguration, Compliance-Auditing und Identity-Governance können im Rahmen des Risikomanagements automatisiert werden. Betriebs- und Security-Incidents, die in diesen Systemen auftreten, lassen sich IT-Risiko-Repositorys zuordnen, sodass Incident-Response-Teams den Grad des Risikos, das sie für das Unternehmen darstellen, bewerten können.
Details über eine neu erkannte Schwachstelle können beispielsweise automatisch in die Risikomanagementlösung heruntergeladen werden. Diese kann dann eine Untersuchung des Incidents auslösen und den Incident anhand vorgegebener Kriterien bezüglich seines Risiko- und Schweregrads einstufen. Nach der Einstufung kann das automatisierte System den erforderlichen Maßnahmenplan auslösen. Falls die Schwachstelle sich zu einer Bedrohung entwickelt, kann die Lösung auch den Risikobewertungsprozess einleiten und die CVE-Nummer der Bedrohung verwenden, um ein proaktives Patch-Management zu starten.
Wie gehen die verschiedenen Branchen mit Risiken um?
Branchen wie das Gesundheitswesen, Finanzdienstleister und Behörden sind durch unterschiedliche Kundenkreise, Compliance-Vorschriften, Ziele und Assets gekennzeichnet und verfolgen daher bei der Risikovermeidung, bei den Plänen zur Risikominderung und bei den entsprechenden Investitionsentscheidungen ganz unterschiedliche Ansätze. Beispiele:
- Gesundheitswesen: In der Vergangenheit haben sich Unternehmen des Gesundheitswesens auf die Patientensicherheit konzentriert, mittlerweile ist das Risikomanagement in dieser Branche jedoch wesentlich komplexer geworden. Dies ist unter anderem auf folgende Faktoren zurückzuführen: die wachsende Rolle von Gesundheitstechnologien und Gesundheitsnetzwerken, zunehmende Bedrohungen der Cybersicherheit und immer neue Vorschriften sowie die rechtliche und politische Landschaft. Zu den größten Risikofaktoren im Gesundheitswesen gehören Compliance-Vorschriften wie das US-Gesetz HIPAA (Health Insurance Portability and Accountability Act), Risiken im Zusammenhang mit medizinischen Fehlern, die sich schnell entwickelnde Gesundheitspolitik und immer ausgefeiltere Cybersicherheits-Bedrohungen, die auf den Diebstahl oder die Kompromittierung von Patientendaten abzielen.
- Finanzdienstleistungen: Das Risikomanagement in der Finanzdienstleistungsbranche dreht sich um Betriebsrisiken, Kredit- und Marktrisiken, Wechselkursrisiken, Geschäftsrisiken, rechtliche Risiken, Reputationsrisiken und Sicherheitsrisiken. Dabei spielt das Reputationsrisiko im Vergleich zu anderen Branchen eine besonders große Rolle, insbesondere nach einer Reihe von Sicherheitsverletzungen und Skandalen, die von der Erstellung von Hunderten Millionen falscher Kundenkonten bis hin zu Geldwäsche und Betrug mit Bankgebühren reichen.
- Behörden: Die Bedrohungen für den Geschäftsbetrieb von Behörden reichen von Naturkatastrophen oder vom Menschen verursachten Katastrophen und Technologieausfällen bis hin zu Cyberspionage und Security-Incidents. Da viele Behördendienste für die öffentliche Gesundheit und Sicherheit unerlässlich sind, sind hier Risikomanagementstrategien erforderlich, die alle Störungen minimieren – von vorübergehenden Beeinträchtigungen bis hin zu Ausfällen von kritischer Infrastruktur.
Was ist das Risikomanagement-Framework (RMF)?
Das Risikomanagement-Framework (RMF), eine Reihe von Richtlinien, die vorschreiben, wie die IT-Systeme der US-Regierung aufgebaut, überwacht und gesichert werden sollen, versetzt Regierungsbehörden in die Lage, konsistente, wiederholbare und zuverlässige Standards für die IT-Infrastruktur und -Sicherheit zu schaffen.
Diese Risikomanagement-Standards wurden entwickelt, um Risiken zu erkennen, die den Betrieb beeinträchtigen könnten, und enthalten unter anderem Richtlinien des US-Verteidigungsministeriums sowie des National Institute of Standards and Technology (NIST).
- DoD Risk Management Framework: Dieses Framework wurde 2014 vom US-Verteidigungsministerium (Department of Defense, DoD) herausgegeben und definiert einen sechsstufigen Prozess (kategorisieren, auswählen, implementieren, bewerten, autorisieren und überwachen), den Behörden und Auftragnehmer einhalten müssen, um IT-Sicherheitsrisiken zu vermeiden.
- NIST Risk Management Framework: NIST, das National Institute of Standards and Technology, ist eine nicht-regulative Bundesbehörde innerhalb des US-Handelsministeriums, die Organisationen bei der Anwendung von Risikomanagementprinzipien und Best Practices zur Optimierung der Sicherheit und Resilienz kritischer Infrastrukturen unterstützt. Das NIST hat auch das freiwillige „Cybersecurity Framework“ herausgegeben, das Standards, Richtlinien und Best Practices für das Management von cybersicherheitsbezogenen Risiken in allen Organisationen, nicht nur in Regierungsbehörden, bereitstellt.
- Framework for Improving Critical Infrastructure Cybersecurity: Dieses Framework bietet einen risikobasierten Ansatz und greift unterschiedliche Branchenstandards und Best Practices für ein besseres Management von Cybersicherheitsrisiken bei kritischer Infrastruktur auf. Das Framework kann zur Stärkung eines bestehenden Risikomanagementprogramms oder als Leitfaden für die Einrichtung eines neuen Programms verwendet werden.
- COSO-Framework: Dieses 1992 vom COSO (Committee of Sponsoring Organizations of the Treadway Commission) geschaffene und weit verbreitete Framework wurde entwickelt, um interne Kontrollmechanismen zu bewerten, hauptsächlich im Bereich der Finanz-Compliance. Es besteht aus fünf Komponenten, nämlich Organisationskultur, Risikobewertung, Kontrollaktivitäten, Information und Kommunikation sowie Monitoring.
- Enterprise Risk Management (ERM): Das ERM Council der Risk Management Association definiert ERM als die „Fähigkeit, alle Geschäftsrisiken zu kontrollieren und dabei immer akzeptable Erträge im Blick zu haben“. ERM geht also über den reinen Sicherheitsgedanken hinaus und betrachtet das Unternehmen als Ganzes. Dieses Framework hilft Unternehmen dabei, zu entscheiden, ob sie Risiken eingehen sollten, um eine neue, strategische Richtung einzuschlagen.
Risikomanagement ist unerlässlich für den Schutz von Vermögenswerten
Die Daten, Assets und der Ruf von Unternehmen sind bekanntermaßen immer größeren Risiken ausgesetzt, die von immer strengeren Compliance-Vorschriften bis hin zu weit verbreiteten und zerstörerischen Cybersicherheits-Bedrohungen reichen. Daher ist ein wirksames Risikomanagement heute ein wesentlicher Bestandteil der Unternehmenstätigkeit.
Unternehmen, die ein umfassendes Risikomanagementprogramm implementieren, profitieren von weitreichenden Vorteilen, da sie es Sicherheitsverantwortlichen, Administratoren und Entscheidungsträgern ermöglichen:
- IT-Security unter Anwendung einer logischen, systematischen Methode kontinuierlich zu verbessern
- Folgenschwere Risiken für das Unternehmen zu bestimmen und sowohl Daten als auch Assets zu schützen
- Entsprechende Risiken proaktiv zu ermitteln und zu entschärfen, bevor Cyberangriffe weitreichenden Schaden anrichten können
- Effizient zu arbeiten und gleichzeitig Ressourcen und Fachkräfte sinnvoll zuzuweisen
- Vorausschauend zu planen und sicherzustellen, dass das Unternehmen oder die Behörde für die Bewältigung von Security-Incidents gerüstet ist und den Normalzustand schneller und einfacher wiederherstellen kann
Ein umfassender Risikomanagementplan hilft Sicherheitsverantwortlichen und -experten, all diese Verpflichtungen zu erfüllen. CIOs, Sicherheitsanalysten und Administratoren können kontinuierliche Verbesserungen im Unternehmen umsetzen, und zwar sowohl in sicherheitstechnischer als auch in operativer Hinsicht. All dies leistet einen Beitrag zur Minimierung und Bewältigung kostenintensiver Sicherheits- und Compliance-Risiken, die sich negativ auf das Unternehmen und letztendlich auch auf das Geschäftsergebnis auswirken können.
