Wirksames Risikomanagement

Was ist der Beitrag der IT zu einer widerstandsfähigen Unternehmung? Ein paar, sicher nicht abschliessende, Überlegungen von Stefan angelehnt an die Maslowsche Bedürfnispyramide. Im ersten Teil haben wir die Grundbedürfnisse adressiert, jetzt widmen wir uns in zwei Artikeln den Sicherheitsbedürfnissen.

Ausgangspunkt jeder Initiative im Bereich IT-Sicherheit sollte die Etablierung eines systematischen Risikomanagements sein. Jeder weiss, dass es keine absolute Sicherheit gibt. Es bestehen Restrisiken und Ressourcen sind immer begrenzt. Entsprechend wichtig ist es, sich eine möglichst vollständige Sicht über die Risiken zu erarbeiten und dann die richtigen Risiken wirklich zu adressieren.

“Wer seine Risiken jetzt nicht kennt, dürfte sie früher oder später unter unerfreulichen Umständen kennenlernen“

Binsenwahrheit? Ja, sicher. Die Probleme liegen nach meiner Einschätzung auch nicht darin, dass die Leute nicht wüssten, dass Risikomanagement wichtig ist. Es hapert in der Umsetzung. Neuralgisch sind aus meiner Sicht primär zwei Stellen.

Erstens: wichtige Risiken gehen vergessen

Bei der Identifizierung von Risiken sollte man in erster Linie nicht zu schnell zufrieden sein. Eine erste Risikoliste ist immer schnell zur Hand, jeder verschriftlicht seine Lieblingsthemen und „Steckenpferde„ in der Regel ganz einfach. Es ist aber wesentlich besser, sehr viele Risiken zu kennen und diese dann per Management-Entscheid ohne Gegenmassnahme zu akzeptieren als auf Ignorance is Bliss zu setzen. Natürlich ist das für das Management manchmal auch etwas ungemütlicher, da dies zu einer direkten Accountability für diese Entscheide führt. Und ja, die Sachverhalte können komplex sein. Doch dazu sollten die einzelnen Entscheide sauber vorbereitet und begründet werden. Jeder Entscheid ist eine Kosten-/Nutzen-Betrachtung. Etwas bewusst nicht zu tun ist definitiv ein wesentlich umsichtigeres Handeln als nicht alles adäquate unternommen zu haben, um diese Risiken überhaupt zu erkennen.

Idealerweise initialisiert man die Risikoliste initial in einem themenübergreifenden Security Management Review. In diesem Rahmen kann für die verschiedenen Geschäftsprozesse einer erste Aufnahme von Sicherheitsrisiken und deren Bearbeitungsstand sowie der allgemeine Reifegrad hinsichtlich Security aufgenommen werden. Konkrete Gegenmassnahmen lassen sich danach auf der Basis der identifizierten und bewerteten Risiken planen und ergreifen.

Doch wieso gehen denn relevante Risiken einfach vergessen? Ein Grund ist sicherlich, dass die Welt schlicht nicht stillsteht. Auch wenn ich mit dem Fall nicht direkt vetraut bin: der Konkurs des Fensterbauers Swisswindows AG veranschaulicht dies recht gut. Angreifer verschlüsselten die Daten der Firma und verlangten ein Lösegeld für die Herausgabe des Schlüssels für die Entschlüsselung. Die Firma sah sich in der IT zwar gut aufgestellt, aber da die Backups im selben Netzwerk aufbewahrt wurden, waren auch diese am Ende nicht mehr nutzbar. Ein GAU. Die Produktion steht still. Es ist der Todesstoss für die Firma mit 170 Mitarbeitern.

Ransomware ist heute Big Business. Viele Firmen bezahlen am Ende horrende Lösegelder, weil sie schlicht ungenügend darauf vorbereitet waren. Was sollten wir daraus lernen? Ja, auch Ransomware gehört auf eine Risikoliste. Aber vielleicht noch wichtiger: nur weil dies in den Medien nun oft erwähnt wird, ist es nicht das einzige Risiko auf der Welt. Risiken müssen breit und laufend identifiziert werden. Kein Risikokatalog ist je vollständig. Die Maxime lautet, wachsam zu sein. Und ab und zu ein frischer Blick eines Aussenstehenden kann auch helfen.

Zweitens: die Umsetzung von Gegenmassnahmen stockt

Wir haben die wichtigen Risiken erkannt und Gegenmassnahmen beschlossen! Erledigt? Oft ist es erstaunlich schwierig, diese wirklich umgesetzt zu kriegen. Nicht immer kann alles selbst umgesetzt werden und es sind Investitionen nötig. Manchmal beginnt es schon damit, dass es gar nicht einfach ist, eine Management-gerechte Grundlage für den Investitionsentscheid zu erstellen und die notwendigen Ressourcen werden nicht freigegeben. Hier sind die Antragsteller gefordert, die Zusammenhänge und Variantenwahl nachvollziehbar aufzubereiten. Glücklicherweise liegt es in der Natur der Sache, dass sich Sicherheitsanliegen bezüglich möglichem Schadensausmass anschaulich darstellen lassen. Dagegen sind Menschen ganz Allgemein bezüglich der Einschätzung von Wahrscheinlichkeiten inhärent schwach und brauchen in der Regel etwas Daten-basierte Unterstützung um diese Realistisch beurteilen zu können.

Und dann sind da immer auch die üblichen Prioritäten - und manchmal auch einfach Ablenkungen - des Tagesgeschäfts. Und hinkt der Geschäftsbereich dem Gewinnziel hinterher, werden alle vermeidbare Kosten möglichst hinausgezögert um das Budget zu retten. Es gibt viele Gründe, weshalb die beschlossene Umsetzung manchmal für lange Zeit keine Realität wird. Die einzige wirklich wirksame Abhilfe ist wohl: nach dem Beschluss dranbleiben und Resultate einfordern. Der Owner eines Risikos ist nicht bereits mit dem Entscheid etwas zu tun aus der Pflicht entlassen, sondern erst, wenn die beschlossenen Gegenmassnahmen umgesetzt sind. Es ist sicher nicht die Pflicht des Managements, das Notwendige selbst auszuführen. Aber dafür zu sorgen. In diesem wichtigen Bereich, der ohne dediziert dafür zuständige Mitarbeiter vergessen gehen kann, tut ein wenig mehr Kontrolle durchaus gut.

Möchtet ihr ein systematisches und zeitgemässes Risikomanagement etablieren? Kontaktiert uns für eine zielgerichtete und an wirtschaftlichen Kriterien orientierte externe Unterstützung.

--

Über den Autor

Stefan ist Managing Partner bei linkyard. Seit über einem Jahrzehnt beschäftigt er sich als Auditor mit Qualitätsmanagement und Informationssicherheit. Nebenamtlich ist er als Dozent Informationssicherheits- und Projektmanagement an einer Fachhochschule tätig und unterstützt auch euch gerne zum Thema Risikomanagement.
stefan.haller@linkyard.ch | +41 78 746 51 16