Risikomanagement ist ein weites Feld. Die Gesamt-Risikobewertung eine Unternehmens umfasst Einflussfaktoren, die von externen Risiken wie den politischen Verhältnissen des Landes, in dem ein Unternehmen angesiedelt ist, über dessen finanzielle und wirtschaftliche Situation bis hin zu den internen Risiken reichen. Dabei stehen IT-Self-Verantwortliche in der Pflicht, IT-Risiken zu messen und zu bewerten und diese der Gesamt-Risikobewertung des Unternehmens zuzuführen.
Unter den IT-Risiken werden Bedrohungen zusammengefasst, die sich nachteilig auf den Betrieb und die Verfügbarkeit von Prozessen, eingesetzte Systeme bis hinunter zu den einzelnen Daten und Informationen im Unternehmen auswirken können.
Risiken für die IT
Zu den Bedrohungen, die die Verfügbarkeit von IT-Prozessen und Systemen gefährden oder beeinträchtigen können, zählen Risikofaktoren wie Naturkatastrophen, Fehlfunktionen von Prozessen oder Systemen, Hardwarefehler, Softwarefehler und Betriebsfehler. Auch Benutzerfehler oder ein Fehlverhalten, die zu einem unbeabsichtigten Lahmlegen von Systemressourcen oder zur Beschädigung von Prozessen und Systemen führen, fallen in diese Kategorie. Ebenso wie das absichtliche Beschädigen von Prozessen und Systemen oder ein absichtliches Lahmlegen von Systemressourcen, etwa durch das Einschleusen von Malware oder gezielte Angriffe.
Zu den Bedrohungen, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten und Informationen eines Unternehmens beeinträchtigen können, zählen das Abhören und die Manipulation der internen und externen Kommunikation. Auch der unberechtigte Zugriff auf Daten und Informationen, der unbewusst oder aber absichtlich durch das Vortäuschen einer System-Identität erfolgt, fällt in diese Kategorie. Ebenfalls bedrohlich auswirken können sich das unbewusste Verändern und die absichtliche Manipulation von Daten und Informationen. Darüber hinaus beeinträchtigen der Missbrauch von Systemressourcen und der Diebstahl von Daten und Ressourcen die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten und Informationen eines Unternehmens.
Wer ist zu einem konsequenten IT-Risikomanagement verpflichtet?
Die Annahme, Risikomanagement beträfe nur international operierende Großkonzerne und Unternehmen, die an der New Yorker Börse (NYSE) gelistet sind und damit unter den Sarbanes-Oxley Act (SOX) fallen, ist ein Trugschluss. Unabhängig von der Größe eines Unternehmens und davon, ob es an der Börse notiert ist oder nicht, können diese Anforderungen klammheimlich durch die Hintertür ins Unternehmen kommen. Dazu reicht es aus, weltweiten Handel zu betreiben und Geschäftsbeziehungen mit amerikanischen Unternehmen zu unterhalten, die den SOX Vorgaben entsprechen müssen.
Ist dies der Fall, verlangen amerikanische Unternehmen vielfach von ihren Geschäftspartnern, ebenfalls ein durchgängiges und konsequentes Risikomanagement zu betreiben und damit den Auflagen zu entsprechen. Experten gehen ferner davon aus, dass es auf europäischer Ebene bald ähnliche Regelungen wie SOX geben wird. Somit ist IT-Risikomanagement ein Thema, mit dem sich auch IT-Verantwortliche in kleinen und mittelständischen Unternehmen bereits jetzt vertraut machen sollten.
IT-Risikomanagement als Chance nutzen
Das IT-Risikomanagement darf man nicht nur als Pflicht sondern auch als Chance sehen, denn Erfahrungen zeigen, dass sich das kontinuierliche Messen und Bewerten von IT-Risiken auch auszahlt.
Neben einem höheren Sicherheitsniveau profitieren Unternehmen vielfach von einer Prozessoptimierung in der IT. Durchgängige Sicherheitskonzepte sind ferner dazu geeignet, das Vertrauen von Geschäftspartner und Banken in das eigene Unternehmen zu stärken. Daher ist es an der Zeit, das IT-Risikomanagement auch in deutschen IT-Abteilungen nicht länger als lästige Pflicht zu verdammen, sondern vielmehr als Chance zu begreifen.
Tools für das IT-Risikomanagement
Mittlerweile gibt es eine Vielzahl an Tools am Markt, die Administratoren dabei unterstützen, IT-Risiken zu messen und zu bewerten. Dabei reicht die Bandbreite von Self Assessment Tools, die bei der Selbsteinschätzung helfen, über Security-Information-Management-Konsolen (SIM) bis hin zu Komplett-Suiten, die das gesamte Risikomanagement eines Unternehmens abdecken und das Messen und Bewerten der IT-Risiken mit übernehmen.
Sicherheitsaudits durch externe Dienstleister eignen sich zwar grundsätzlich auch dafür, die Effektivität und Effizienz der vorhandenen Sicherheitsinfrastruktur und der eingesetzten Lösungen zu prüfen. Allerdings liefern sie nur eine Momentaufnahme und müssen für ein vollständiges und zuverlässiges Bild auch kontinuierlich durchgeführt werden. Ist dies nicht der Fall, decken Audits zwar Schwachstellen auf, die kurzfristig behoben werden.
Im Laufe der Zeit können allerdings neue Sicherheitslücken entstehen, die es zu beheben gilt. Darüber hinaus ist kommt es neben den Schwachstellen auch ein effektives Sicherheitsmanagement gefragt. Hier sind organisatorische Abläufe kritisch zu hinterfragen, etwa: Werden Patches und Updates regelmäßig eingespielt? Wie verfährt man mit Störungsmeldungen? Wie begegnet man Restrisiken?
Self Assessment Tools orientieren sich an anerkannten Richtlinien
Sowohl Schwachstellen als auch organisatorische Sicherheitsaspekte lassen sich mit Self Assessment Tools erfassen und bewerten. Sie sind relativ einfach zu handhaben und bieten standardisierte Fragebögen und Checklisten. Mit Hilfe dieser Listen lassen sich kontinuierliche Einschätzungen über den Stand der Sicherheit, die Einhaltung festgelegter Regeln sowie die Überwachung und Steuerung der IT-Prozesse generieren.
Im Idealfall orientieren sie sich dabei an anerkannten Methoden und Richtlinien wie zum Beispiel BS 7799 beziehungsweise ISO 17799, der IT Infrastructure Library (Itil) oder den Control Objectives for Information and Related Technology (CobIT). CobIT ist speziell auf die Sicherheitsbelange von Unternehmen ausgerichtet und beinhaltet auch einen Methodenkatalog für IT-Risiken. Dabei werden insbesondere die Belange international agierender Organisationen berücksichtigt. Itil dagegen konzentriert sich eher auf die Vermeidung von Risiken, indem Themen wie Security Management, Configuration Management und Service Level Agreements (SLAs) beschrieben werden.
Microsoft Security Assessment Tool
Das Microsoft Security Assessment Tool (MSAT) gibt es mittlerweile in Version 2.0. Die kostenlose Software orientiert sich neben ISO 17799 auch am IT-Grundschutz, wie ihn das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert. Es eignet sich laut Hersteller für Unternehmen und Organisationen mit bis zu 1000 Mitarbeitern. Risiken werden anhand von 172 Fragen bewertet. Neben grundlegenden Informationen zum Unternehmen sind Angaben zur Infrastruktursicherheit, zur Anwendungssicherheit, zur Betriebssicherheit, zur physischen und organisatorischen Sicherheit und zur Umgebung einzutragen. Der Schwerpunkt der Analyse liegt hierbei auf den eingesetzten Techniken.
Nachdem alle relevanten Informationen eingetragen wurden, findet die Risikobewertung statt. Anschließend stehen dem Nutzer drei Berichte zur Verfügung, die er ausdrucken, speichern oder für Präsentationen in andere Anwendungen formatieren kann: Die Zusammenfassung gibt einen schnellen Überblick über Risiken und mögliche Verteidigungsmaßnahmen. Der vollständige Bericht liefert eine Bewertung im Detail, eine Zusammenfassung der Ergebnisse für die Geschäftsleitung, Vorschläge und Empfehlungen zu Abhilfemaßnahmen sowie eine Auflistung der dringlichsten Aufgaben, die zur Steigerung des Sicherheitsniveaus umzusetzen sind. Im Vergleichstest schließlich können verschiedene Bewertungen desselben Unternehmens miteinander verglichen, aufeinander bezogen oder auch das eigene Unternehmen an anderen gemessen werden. MSAT und das zugehörige Benutzerhandbuch stehen auf der Microsoft-Website zum Download bereit.
Infosecure Risikomanagemnent und Compliance Tool
Ebenfalls auf einem Fragenkatalog basiert das Infosecure Risikoanalyse- und Compliance Tool (Israc). Es richtet sich sowohl an Mitarbeiter und IT-Verantwortliche als auch an Risiko Manager und Auditoren. In die Bewertung fließen relevante Organisationsstrukturen, Geschäftsprozesse, Prozessplattformen und Netze sowie die Bedeutung der jeweiligen Geschäftsprozesse ein. Mögliche Bedrohungen, deren potenzielle Auswirkungen auf das Unternehmen und ihre Eintrittswahrscheinlichkeit werden ebenso identifiziert und berücksichtigt wie die im Unternehmen bereits eingesetzten Security-Maßnahmen.
Das Tool orientiert sich dabei an ISO 17799 oder ISF-SOGP (Information Security Forum Standard of Good Practice). In der Bewertung werden das gegenwärtige Sicherheitsniveau, jede Maßnahme und jeder Sektor sowie der Gesamtzustand auf einer Skala von 0 bis 10 dargestellt. Ein Maßnahmenplan gibt Orientierung was zu tun ist, um das gewünschte Sicherheitsniveau zu erreichen.
Israc ist plattformunabhängig und steht in einer Business und einer Enterprise Edition zur Verfügung. Bei der Enterprise Version kann der Nutzer zusätzlich zu dem bereits vorhandenen Fragenkatalog eigene Fragen hinzufügen beziehungsweise andere streichen und so das Tool individuell an die jeweiligen Gegebenheiten anpassen.
Weitere Security Management Tools
Auch Unisys bietet mit Beato einen Fragenkatalog aus 69 plus 5 Leistungsindikatoren, die den ISO 17799 Domänen entsprechen und Prozesse, Menschen, Technologien, Regularien, Programme und Strukturen berücksichtigen. Lösungen, die die Selbsteinschätzung der Sicherheitslage unterstützen, bieten auch Riskwatch und Astrum IT.
Während Schwachstellen Scanner etwa von ISS, E-Eye, Nessus oder Symantec feststellen, ob ein System verwundbar ist, gehen Security Information Management (SIM) Konsolen einen Schritt weiter. Sie sammeln und korrelieren Daten und Informationen über Vorfälle und Ereignisse aus Firewalls, Intrusion Detection Systemen und anderen Sicherheitssoftware und –hardware-Komponenten. Dies vereinfacht das Erkennen und Bewerten von Angriffen und Schwachstellen. IBM ist hier mit dem Tivoli Risk Manager vertreten. CA bietet für das zentrale Sicherheitsinformationsmanagement das eTrust Security Command Center r8 an.
Fazit
IT-Risikomanagement ist nicht nur per Gesetz eine lästige Pflicht, sondern sollte vielmehr als Chance begriffen werden, um IT-Prozesse zu optimieren und das Sicherheitsniveau in einem Unternehmen insgesamt zu verbessern.
Es gibt mittlerweile eine Vielzahl an guten Tools am Markt, mit denen auch kleine und mittelständische Unternehmen ohne hohen Personalaufwand und teure Investitionen das Vertrauen von Geschäftspartnern und Banken in das Unternehmen nachhaltig steigern können. (hal)