Risikomanagement für die Informationssicherheit: Ein schrittweiser Leitfaden für einen klaren Prozess

Das Risikomanagement der Informationssicherheit ist ein grundlegender Bestandteil jeder erfolgreichen Cybersicherheitsstrategie.

Im Kern ist das Risikomanagement der Informationssicherheit der Prozess der Identifizierung, Bewertung, Behandlung und Überwachung von Risiken. Ziel ist es, einen klaren Prozess zu haben, der dazu führt, die größten Risiken zu finden und die eigenen Ressourcen effizient einzusetzen, um sie zu verringern.

Der Prozess besteht aus vier Schritten: Identifizierung, Bewertung, Behandlung und Überwachung. Zunächst ermitteln Sie, womit Sie es zu tun haben. Dann analysiert man die Risiken (insbesondere ihre Wahrscheinlichkeit und ihre Auswirkungen), um sie in eine Rangfolge zu bringen. Dann entscheidet man sich für die Behandlung einer kontrollierbaren Menge der höchsten Risiken, d. h. in der Regel für zusätzliche Sicherheitsmaßnahmen, um die Wahrscheinlichkeit oder die Auswirkungen des Risikos zu verringern. Sobald die Maßnahmen umgesetzt sind, sind diese Risiken erst einmal behandelt. Möglicherweise möchten Sie noch das Restrisiko bewerten und dann mit der Behandlung der nächsthöheren Risiken fortfahren.

Auf diese Weise klingt der Prozess vielleicht nicht allzu entmutigend. Aber in einem Unternehmen gibt es viele Gesichtspunkte zu berücksichtigen: viele verschiedene Arten von Risiken, verschiedene wichtige Vermögenswerte, für die Sie Risiken speziell ermitteln möchten, oder verschiedene Teams von Personen, die in den Prozess einbezogen werden müssen.

Als Nächstes werden wir die wichtigsten Erfolgsfaktoren für diese Schritte des Risikomanagementprozesses näher beleuchten. Denken Sie daran, dass ein gut umgesetzter Risikomanagementprozess die Wahrscheinlichkeit und die Auswirkungen eines größeren Sicherheitsverstoßes erheblich verringern kann.

Was sind einige Beispiele für Informationssicherheitsrisiken?

Risiken für die Informationssicherheit gibt es in vielen Formen. Auf die eine oder andere Art und Weise gefährden sie die Vertraulichkeit, Integrität und Verfügbarkeit der Informationsbestände eines Unternehmens. Hier sind einige gängige Beispiele:

• Datensystembezogene Risiken: Zum Beispiel Ransomware-Angriffe, Angriffe zur Übernahme von Konten, z. B. aufgrund schlechter Passwortpraktiken, unkontrollierter Zugangsverwaltungspraktiken oder technischer Schwachstellen.  
• Risiken im Zusammenhang mit Fernarbeit und mobilen Geräten: Diese können von Man-in-the-Middle-Angriffen bis hin zu verlorenen Geräten oder Abhörmaßnahmen reichen.
• Personalbezogene Risiken: Beispiele hierfür sind das Eindringen von Bedrohungsakteuren in das Personal, betrügerische Ex-Mitarbeiter, menschliche Fehler durch unwissende Mitarbeiter oder Datenverluste durch Insider.
• Physische Sicherheitsrisiken: Zum Beispiel Vandalismus, Diebstahl, unbefugter physischer Zugang zu kritischen Geräten oder Versagen der Zugangskontrolle im Allgemeinen.
• Vorfallsbezogene Risiken: Diese können von einer langsamen Reaktion auf Sicherheitsvorfälle, technischen Schwachstellen, die dem Unternehmen nicht bekannt sind, bis hin zu Sanktionen durch nicht gemeldete Sicherheitsverstöße reichen.
• Entwicklungsbezogene Risiken: Beispiele sind nicht verwaltete oder identifizierte technische Schwachstellen, unkontrollierte Abhängigkeiten von Dritten,
• Partnerbezogene Risiken: Zum Beispiel partnerbedingte Ausfälle in unseren Prozessen, Angriffe auf die Lieferkette, unzureichende Überwachung der Sicherheitskapazitäten kritischer Partner, Probleme mit der Kontinuität des Partners (z. B. Konkurs).  
• E-Mail- und Phishing-Risiken: Diese können von allgemeinen Phishing-Angriffen bis hin zu Speer-Phishing, Kontoübernahmen, Passwortlecks, unbemerkten Datenschutzverletzungen und Kompromittierung von Geschäfts-E-Mails reichen, die unsere wichtigsten Mitarbeiter betreffen.
• Technische Cybersicherheitsrisiken: Beispiele hierfür sind fehlende Sicherheitsupdates, unzureichende Protokollierung und Unfähigkeit, Verstöße zu untersuchen, unkontrollierte Änderungen an Diensten, Zerstörung von Backups.
• Datenschutzbezogene Risiken: Zum Beispiel unklare Datenschutzmitteilungen, Strafen für unzureichenden Schutz personenbezogener Daten, Untersuchungen aufgrund von Beschwerden betroffener Personen, Strafen für unzureichende Datenschutzberichte.  

Die Bewältigung dieser Risiken erfordert ein umfassendes Informationssicherheitsprogramm, das technische, organisatorische und personelle Maßnahmen umfasst. Die Maßnahmen sollten ständig aktualisiert werden, um auf die sich entwickelnde Bedrohungslandschaft zu reagieren.

Vorbereitende Schritte: Welche Art von Informationssicherheitsarbeit sollte geleistet werden, bevor man sich mit den Risiken befasst?

In diesem ersten Schritt des Risikomanagements geht es darum, sich Gedanken darüber zu machen, was alles schief gehen könnte. Sie müssen über mögliche Bedrohungen und damit verbundene Schwachstellen nachdenken, die Ihre Informationssicherheit gefährden könnten.

Vorläufiger Schritt: Identifizieren und dokumentieren Sie Ihre Informationsbestände

Ein wesentlicher erster Schritt im Risikomanagement für die Informationssicherheit besteht darin, dass Sie Ihre Informationswerte klar identifizieren und dokumentieren. Dazu gehören wertvolle Daten und Dokumente (z. B. Kundendatensätze, Mitarbeiterdaten, Finanzinformationen, geistiges Eigentum) und die Software, die zu deren Verarbeitung verwendet wird (z. B. CRM-Systeme, HR-Systeme, Produktionssysteme, ERP-Systeme). Aber denken Sie daran, dass es nicht nur um digitale Daten geht. Wichtig sind auch die physischen Standorte (z. B. Büros, Rechenzentren) und die physischen Anlagen (z. B. Server, Computer und andere wichtige Hardware), die den Zugang zu diesen digitalen Daten ermöglichen.

Neben den Vermögenswerten ist es von entscheidender Bedeutung, die Akteure zu verstehen, die für deren Verwaltung benötigt werden. Wie sind z.B. wichtige Datensystemanbieter oder Verarbeiter von personenbezogenen Daten? Auch Ihre eigenen Mitarbeiter, insbesondere die verschiedenen Abteilungen mit wichtigen Datenverarbeitungsaufgaben, sind wichtige Aktivposten für die Informationssicherheit Ihres Unternehmens.

Schließlich wird die übersichtliche Dokumentation der Vermögenswerte Ihren Risikomanagementprozess rationalisieren. Diese Dokumentation sollte dynamisch sein, d. h. sie sollte aktualisiert werden, wenn neue Bestände hinzukommen oder alte ausgemustert werden. Einige Unternehmen fahren auch damit fort, die Standorte und Informationsflüsse abzubilden, um potenzielle Schwachstellen aufzudecken, aber das ist schon etwas fortgeschrittener.

Vorläufiger Schritt: Identifizieren und dokumentieren Sie Ihre aktuellen Sicherheitsmaßnahmen

Für ein erfolgreiches Risikomanagement im Bereich der Informationssicherheit müssen Sie verstehen, was Sie schützen wollen (die Vermögenswerte) und wie Sie den Schutz derzeit umsetzen (Sicherheitsmaßnahmen).

Zu Ihren aktuellen Sicherheitsmaßnahmen gehören mit Sicherheit technische Maßnahmen wie Intrusion Detection oder Endpoint Protection Software, organisatorische Maßnahmen wie Unternehmensrichtlinien zur Passwortstärke und zur Gewährung von Benutzerzugriffsrechten sowie personenbezogene Maßnahmen wie Regeln für sichere Remote-Arbeit oder die Nutzung mobiler Geräte. Bevor Sie nicht einen umfassenden Blick auf alle derzeit bestehenden Schutzmaßnahmen werfen, können Sie die Risiken nicht erfolgreich bewerten und miteinander vergleichen.

Die Dokumentation Ihrer Vermögenswerte und aktuellen Sicherheitsmaßnahmen bildet die Grundlage für Ihr ISMS (Informationssicherheitsmanagementsystem). Dabei können Sie bereits feststellen, dass einige Standard-Best-Practices fehlen, die Sie bereits ohne den Risikomanagementprozess beheben können. Aber nachdem Sie Ihre aktuellen Maßnahmen inventarisiert und dokumentiert haben und mit ihnen relativ zufrieden sind, werden Sie den größten Nutzen aus dem robusten Risikomanagementprozess ziehen, indem Sie sich noch weiter verbessern.

Zu wissen, wo Ihre Cybersicherheit heute steht, ist ein entscheidender Schritt, um eine widerstandsfähigere Zukunft zu schaffen.

Schritt 1: Ermittlung der Risiken - welche Ereignisse könnten uns schaden?

In diesem ersten Schritt des Risikomanagements geht es darum, sich Gedanken darüber zu machen, was alles schief gehen könnte. Sie müssen über mögliche Bedrohungen und damit verbundene Schwachstellen nachdenken, die Ihre Informationssicherheit gefährden könnten.

Risiken für die Informationssicherheit haben viele Gesichter, und Sie können sicherlich Beispiellisten verwenden, um Ihre Überlegungen zu unterstützen. Technische Schwachstellen im Code, abtrünnige Ex-Mitarbeiter oder schlecht geführte Partnerunternehmen sind unterschiedliche, aber allesamt relevante Quellen für Informationssicherheitsrisiken.

Sowohl technische als auch organisatorische Kenntnisse sind für die Identifizierung von Risiken wichtig. Ein Auge auf die aktuellen Sicherheitsnachrichten ist auch eine Möglichkeit, sich über die neuesten Bedrohungsvektoren auf dem Laufenden zu halten und zu sehen, welche Art von Risiken in benachbarten Unternehmen realisiert wurden.

Die Dynamik der Technologie und der Bedrohungen sowie die Komplexität der Systeme stellen oft eine Herausforderung dar. Eine systematische Risikoermittlung legt jedoch den Grundstein für die nächsten Schritte der Risikobewertung und -behandlung. Es ist ein Prozess, den Sie eine Zeit lang durchlaufen müssen, um die besten Methoden für Ihr Unternehmen zu finden.

Tipps für eine erfolgreiche Risikoidentifizierung:

• Definieren Sie die verwendeten Methoden zur Risikoermittlung. Führen Sie Workshops durch? Verwenden Sie Beispiel-Risikolisten? Verwenden Sie automatisierte Tools zur Risikoidentifizierung? Führen Sie Penetrationstests durch? Oder wie stellen Sie sicher, dass eine angemessene Anzahl relevanter Informationssicherheitsrisiken kontinuierlich ermittelt wird?
• Definieren Sie die verwendeten Gesichtspunkte. Ermitteln Sie die Risiken generell aus der Sicht des gesamten Unternehmens? Oder nehmen Sie eine anlagenbezogene Perspektive ein, um Risiken z. B. aus der Sicht eines einzelnen Datensystems, Prozesses oder einer Änderung zu ermitteln? Beide Ansätze sind gültig und sollten oft kombiniert werden, um optimale Ergebnisse zu erzielen.
• Setzen Sie auf Qualität, nicht auf Quantität. Der Hauptnutzen der Risikoermittlung ist ein besseres Verständnis Ihrer Sicherheitsumgebung. Es könnte von Vorteil sein, auch Risiken zu ermitteln, die nicht allzu schwerwiegend oder wahrscheinlich sind, aber nicht eine Menge davon. In den nächsten Schritten werden Sie sich ohnehin zunächst auf die dringendsten Risiken konzentrieren. Weitere Risiken können Sie auch später noch ermitteln. Zu viele offene Risiken bringen Ihren Prozess nur ins Stocken.

Intelligente ISMS-Tools können automatisch einige allgemeine Risiken identifizieren und diese sogar nach Ihren Maßnahmen ordnen

Schritt 2: Bewerten Sie die Risiken, um ihnen die richtige Priorität zu geben

Bei der Risikobewertung werden die ermittelten Risiken in eine Reihenfolge gebracht. Bewertung bedeutet, klare Werte für die Auswirkung und Wahrscheinlichkeit des Risikos zu finden und so den Risikograd zu ermitteln. Für jedes Risiko sollten Sie mögliche Risikoszenarien, deren Wahrscheinlichkeit und mögliche Auswirkungen untersuchen.

Es geht darum, herauszufinden, auf welche Risiken man sich jetzt dringend konzentrieren muss. Nur bei den Risiken mit der höchsten Priorität ist es sinnvoll, mit den nächsten Schritten zur Behandlung fortzufahren, d. h. Maßnahmen zur Verringerung der Risikoauswirkungen oder -wahrscheinlichkeit zu definieren.

Zur Analyse und Bestimmung des Risikowahrscheinlichkeitswerts sollten Sie sich Gedanken über die möglichen Ereignisszenarien machen, die zur Realisierung des Risikos führen. Durch die Auflistung der Szenarien können Sie schließlich z. B. die Wahrscheinlichkeit (%) des Eintretens des Risikos in einem Jahr abschätzen und dann in einen Risikowert umwandeln (z. B. 10 % = moderat).

Aspekte wie die Tatsache, dass die betreffende Tätigkeit sehr selten ist, gute bestehende Sicherheitskontrollen oder umfassende Anleitungen für die betreffenden Mitarbeiter könnten das Risiko in Ihrer Bewertung weniger wahrscheinlich machen.

Um den Wert der Risikoauswirkungen zu analysieren und zu bestimmen, sollten Sie sich Gedanken über die Folgen des Risikos machen. Die Auswirkungen eines Risikos sollten weit gefasst werden - sie können finanzielle Auswirkungen, Reputationsschäden, rechtliche Konsequenzen, Unterbrechungen von Dienstleistungen und damit Geschäftseinbußen oder verlorene Wettbewerbsvorteile (und manchmal sogar direkte Bedrohungen für die Gesundheit von Menschen) umfassen. Wenn Sie die verschiedenen Folgen durchdenken, sollten Sie in der Lage sein, die monetären Auswirkungen (in €) des Risikos abzuschätzen und diese dann in einen Risikowert umzuwandeln (z. B. können 100 000 € in einigen Unternehmen sehr hoch sein).

Aspekte wie die geringe Menge an verbundenen Vermögenswerten, die Tatsache, dass die verbundene Aktivität nur eine begrenzte Bedeutung für Ihr Unternehmen hat, oder starke bestehende Sicherheitskontrollen könnten die Risikoauswirkungen bei Ihren Bewertungen verringern.

Tipps für eine erfolgreiche Risikobewertung:

• Seien Sie bei den Bewertungsskalen sehr klar. Verwenden Sie eine Skala von 1-3? Oder 1-5? Oder feinere Werte? Wie auch immer Sie sich entscheiden, wichtig ist, dass jeder Teilnehmer im Detail versteht, was es bedeutet, wenn die Risikoauswirkung 2 - gering oder 5 - kritisch ist. Sie müssen klare Beschreibungen für die verschiedenen Stufen verfassen. Eine geringe Auswirkung kann für eine Organisation einen Schaden von weniger als 20 000 € bedeuten, eine hohe Wahrscheinlichkeit, dass das Risiko schätzungsweise einmal alle 2 Jahre eintritt.
• Definieren Sie ein akzeptables Risikoniveau. Normalerweise ist Risikoniveau = Auswirkung x Wahrscheinlichkeit. Durch die Festlegung eines akzeptablen Risikoniveaus (z. B. 8) können Sie sich auf Ihre Risikoarbeit konzentrieren. Wenn Sie Zeit aufwenden, um ein Risiko zu bewerten oder auch nur zu diskutieren, das ohnehin unter dem akzeptablen Risikoniveau liegt, dann handeln Sie im Grunde genommen unklug.

Schritt 3: Behandlung der größten Risiken - wie kann man ihr Niveau senken?

Nach den ersten beiden Schritten sollten Sie eine klar nach Prioritäten geordnete Liste der verschiedenen Informationssicherheitsrisiken erstellt haben. Bei der Risikobehandlung planen und implementieren Sie Maßnahmen zur Verringerung der höchsten Risiken. Einige Risiken können Sie vielleicht teilen oder beseitigen, aber in der Regel setzen Sie in der Informationssicherheit neue Schutzmaßnahmen ein, um die Auswirkungen oder die Wahrscheinlichkeit des Risikos zu verringern.

Konkret könnte die Behandlung eines bestimmten Risikos darin bestehen, bessere organisatorische Kontrollen zu schaffen (z. B. klarere Überwachungsprozesse, strengere Verträge, Richtlinien für Mitarbeiter), bessere technologische Schutzmaßnahmen zu implementieren (z. B. Verschlüsselungssoftware, Alarmsysteme, Schwachstellen-Scans) oder die Richtlinien und Anweisungen für Mitarbeiter zu verbessern (z. B. über Fernarbeit, die Verwendung von Passwörtern, die Verarbeitung personenbezogener Daten).

Die Erstellung von Behandlungsplänen für Risiken kann von der Zusammenarbeit und dem Fachwissen mehrerer Bereiche profitieren. Ihre Aufgabe ist es, den besten Weg zu finden, um das Risikoniveau mit einem Minimum an erforderlichen Investitionen zu senken.

Tipps für eine erfolgreiche Risikobewertung:

• Definieren Sie Ihr Limit für "Risiken in der Behandlung". Jede Organisation verfügt über begrenzte Ressourcen für die Informationssicherheit. Je nach dem Umfang Ihrer Aktivitäten sollten Sie sich einige Grenzen setzen. Sie können z.B. max. 10 Risiken auf einmal in Behandlung haben. Dann können Sie diese Risiken regelmäßig wieder besuchen und sich auf den Abschluss der Behandlung konzentrieren. Dann gehen Sie zur Behandlung der nächsten Risiken über. Auf diese Weise können Sie den Prozess klar und systematisch gestalten.
• Gehen Sie regelmäßig auf "Risiken in der Behandlung" ein. Wenn Sie einen monatlichen Risikomanagement-Workshop veranstalten, was machen Sie dann zuerst? Sie sollten wahrscheinlich die Risiken besuchen, für die es bereits Behandlungspläne gibt. Wurden sie durchgeführt? Wenn dies bei einigen der Fall ist, ist es an der Zeit, weitere Risiken von ganz oben in die Behandlung zu nehmen.

Schritt 4: Bewährte Verfahren für die Risikoüberwachung

Mit den ersten drei wichtigen Schritten des Risikomanagements im Bereich der Informationssicherheit haben Sie im Grunde schon einen Großteil der Arbeit erledigt.

Bei der Risikoüberwachung geht es darum , sicherzustellen, dass Sie in bestimmten Abständen auf relevante Risiken zurückkommen. Dinge ändern sich - entweder um Ihr Unternehmen herum oder innerhalb des Unternehmens. Die Bedrohungen für die Cybersicherheit entwickeln sich weiter, neue Vorschriften kommen auf, und vielleicht nehmen Sie große organisatorische Veränderungen vor (z. B. viele neue Mitarbeiter, Einführung neuer Produkte usw.). Derartige Änderungen müssen sich möglicherweise auf Ihre Risikobewertungen auswirken.

Wenn sich ein Risiko erheblich verändert, kann es sein, dass es nicht mehr innerhalb akzeptabler Grenzen liegt. Dies steht auch in engem Zusammenhang mit der Bewertung des Restrisikos.

Das Restrisiko bezieht sich auf das Risiko, das nach einer Risikobehandlung verbleibt. Das Risiko wird also grundsätzlich nach den gleichen Kriterien wie vor der Behandlung neu bewertet. Die Bewertung dieses Restrisikos stellt sicher, dass Sie sich des verbleibenden Risikos bewusst sind, obwohl es im Grunde genommen akzeptiert wurde.

• Verstehen der größten Restrisiken. Die Mitteilung der größten Restrisiken an die oberste Leitung der Organisation oder andere Interessengruppen könnte von Bedeutung sein. Auf diese Weise können Sie offen darauf hinweisen, dass zwar Risiken ermittelt und Maßnahmen ergriffen wurden, aber z. B. mit den derzeitigen Ressourcen noch spürbare Risiken verbleiben.
• Automatisieren Sie die Risikoüberwachung. Intelligente Tools können Funktionen wie jährliche Erinnerungen für Risikoeigentümer anbieten, um entweder einfach zu bestätigen, dass keine wesentlichen Änderungen in Bezug auf das Risiko eingetreten sind, oder um Bewertungen zu aktualisieren und das Risiko wieder in den aktiven Zustand zu versetzen, wenn es sich nicht mehr in einem akzeptablen Bereich befindet.

Spezial: Verknüpfung von anlagenbezogener Risikoermittlung mit allgemeiner Risikobewertung

Ihre Schlüsselressourcen beziehen sich auf die wichtigsten Komponenten in der Datenverarbeitungsumgebung Ihres Unternehmens. Sie sind das Herzstück, das Sie mit Ihren Sicherheitsmaßnahmen zu schützen versuchen. Einige Beispiele für Schlüsselressourcen sind z. B.:

• Wichtige Datenspeicher: Zweifellos eines der wertvollsten Güter, die ein Unternehmen besitzt. Dabei kann es sich um sensible Benutzerinformationen, Datenbanken mit Kunden- und Eigentümerdaten, Produktdetails, Finanzstatistiken oder geschützte Forschungsergebnisse handeln.
• Wichtige Datensysteme/Software: Die Anwendungen und Systeme, die Ihre Prozesse am Laufen halten. Zu wertvoller Software gehören z. B. Tools für das Kundenbeziehungsmanagement, Datenbanksysteme oder individuell entwickelte Anwendungen.
• Wichtige Prozesse: Ihre Prozesse müssen weiterlaufen, um die Geschäftskontinuität zu gewährleisten.
• Wichtige Partner: Unersetzliche Partner, deren Probleme auch die Kontinuität Ihres Betriebs verhindern würden.
• Hauptstandorte: Ihre physischen Standorte, die für den Betrieb Ihres Unternehmens wichtig sind.

Die Identifizierung von Risiken auf der Grundlage von Vermögenswerten in Verbindung mit allgemeineren Risikobewertungen ist eine großartige Möglichkeit, um noch bessere Ergebnisse aus Ihren Risikomanagementbemühungen zu erzielen.

Die Identifizierung von Risiken auf der Grundlage von Vermögenswerten wird Ihnen helfen:

• Übertragung der Verantwortung für die Risikoermittlung und -bewertung an die Eigentümer der Anlagen
• Identifizierung detaillierterer Risiken, die oft auch einfacher zu behandeln sind
  
• Sicherstellen, dass bei der Durchführung von Risikobewertungen die Sichtweisen der wichtigsten Vermögenswerte nicht vergessen werden

Intelligente ISMS-Systeme können die Eigentümer Ihrer wichtigsten Anlagen dazu zwingen, Arbeitsabläufe zur Risikoerkennung zu durchlaufen.

Schlussfolgerung

In jedem soliden Informationssicherheitsprogramm ist ein systematisches Risikomanagement eine Möglichkeit zur kontinuierlichen Verbesserung der Informationssicherheit. Mit einem strukturierten Ansatz zur Identifizierung, Bewertung, Behandlung und Überwachung der Informationssicherheitsrisiken Ihres Unternehmens sind Sie für den Erfolg gut gerüstet.

Aus unseren Diskussionen über die Risikoidentifizierung, Risikobewertung, Risikobehandlung und -überwachung haben Sie gelernt, dass es sich bei diesem Prozess um einen Zyklus handelt und nicht um einen einmaligen Aufwand. Durch die kontinuierliche Neubewertung Ihrer Sicherheitslage anhand der Risiken wird Ihr Unternehmen immer auf das nächste Risiko vorbereitet sein.

Sie sollten sich jedoch nicht direkt in das Risikomanagement stürzen. Die Dokumentation Ihrer Informationsbestände und aktuellen Schutzmaßnahmen bildet die Grundlage für ein wirksames Risikomanagement. Die Einbeziehung wichtiger Interessengruppen, eine offene Kommunikation, robuste Analysen und eine effektive Zusammenarbeit sind weitere Elemente, die ein erfolgreiches Risikomanagementprogramm ausmachen.

Informationssicherheit ist kein Luxus - sie ist eine Notwendigkeit. Es ist jetzt an der Zeit, ein robustes Verfahren zur Verwaltung der Informationssicherheitsrisiken Ihres Unternehmens zu entwickeln.

‍