Heimat der Akademie
Blogs
Informationssicherheits-Risikomanagement in Cyberday: Identifizierung von Risiken, Bewertung, Behandlung und Schließung
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Informationssicherheits-Risikomanagement in Cyberday: Identifizierung von Risiken, Bewertung, Behandlung und Schließung

ISO 27001-Sammlung
Informationssicherheits-Risikomanagement in Cyberday: Identifizierung von Risiken, Bewertung, Behandlung und Schließung
NIS2-Sammlung
Informationssicherheits-Risikomanagement in Cyberday: Identifizierung von Risiken, Bewertung, Behandlung und Schließung
Cyberday Blog
Informationssicherheits-Risikomanagement in Cyberday: Identifizierung von Risiken, Bewertung, Behandlung und Schließung

Risikomanagement ist ein gängiges Schlagwort in der modernen Wirtschaft. Ohne klare Methoden für die Umsetzung und die Verknüpfung mit der täglichen Arbeit besteht jedoch die Gefahr, dass das Risikomanagement ein losgelöstes, scheinbar nutzloses Gebilde für das Unternehmen bleibt.

Das Risikomanagement der Informationssicherheit ist ein Bereich des Risikomanagements, der immer mehr an Bedeutung gewinnt. Vor allem bei stark digitalisierten Organisationen sollte es an vorderster Front des Risikomanagements stehen.

Die Idee dieses Artikels ist es, ein klares Funktionsmodell für das Management von Informationssicherheitsrisiken bereitzustellen, das von der Identifizierung der Risiken bis zu ihrer Schließung, der Einbeziehung verschiedener Personen in unterschiedlichen Rollen und der Überwachung der beschlossenen Maßnahmen bei der Behandlung von Risiken reicht.

Wir betrachten die Angelegenheit hauptsächlich aus dem Blickwinkel der bewährten Praktiken der Informationssicherheitsnorm ISO 27001.

Anforderungen an das Risikomanagement der Informationssicherheit

Im Allgemeinen wird in jeder Norm zur Informationssicherheit oder in den entsprechenden Rechtsvorschriften das Risikomanagement hervorgehoben. ISO 27001 stellt eigene Anforderungen, aber ähnliche Punkte sind z. B. im NIST CSF enthalten.

ISO 27001 enthält klare Anforderungen an das Risikomanagement der Informationssicherheit:

  • 6.1.1: Es muss ein dokumentiertes Verfahren vorhanden sein, nach dem Informationssicherheitsrisiken identifiziert, bewertet und behandelt werden
  • 6.1.3c: Alle in der ISO 27002 aufgeführten Kontrollen werden in der Phase der Risikobehandlung berücksichtigt
  • 6.1.3d: Eine Erklärung zur Anwendbarkeit (Statement of Applicability - SoA) wird erstellt, um die Implementierung von Sicherheitskontrollen zusammenzufassen.

Die erste Anforderung leitet die Organisation dazu an, das Risikomanagement nach einer Reihe von gemeinsamen Grundregeln durchzuführen. Es stellt bereits ein erhebliches Risiko dar, wenn jeder die Risiken auf seine eigene Weise bewertet.

Der zweite Punkt verlangt von der Organisation eine umfassende Überprüfung der in der ISO 27002 aufgeführten Kontrollen. Die Norm bietet daher konkretere Best Practices zur Verringerung der Wahrscheinlichkeit oder der Auswirkungen von Risiken.

Der dritte Punkt verlangt von der Organisation eine klare Zusammenfassung der von ihr eingesetzten Kontrollen: Welche der in ISO 27002 aufgeführten Kontrollen haben wir implementiert und aus welchen Gründen haben wir einige nicht implementiert? Durch die Anwendbarkeitserklärung ist es möglich, sich einen Gesamtüberblick zu verschaffen, auch wenn der eigentliche Risikobewertungsprozess meist aus der Sicht eines einzelnen Risikos durchgeführt wird.

Vorteile eines guten Risikomanagementprozesses

Ein gut eingeführtes Verfahren für das Risikomanagement der Informationssicherheit:

  • Die Arbeit im Bereich der Informationssicherheit wird verbessert, wenn zunächst die Kernaufgaben effektiv erledigt werden und dann mit Hilfe des Risikomanagements die weiteren Fortschritte priorisiert werden.
  • Lenkt Ihre Aufmerksamkeit effektiv auf die besonderen Aspekte der eigenen Organisation im Zusammenhang mit der Informationssicherheitsarbeit.
  • Kann seine Wirksamkeit leicht unter Beweis stellen, wenn die Risikobehandlung zu klaren Maßnahmen mit zugewiesenen Verantwortlichkeiten, Zeitvorgaben und laufender Überwachung von Status und Fortschritt führt.

Es ist jedoch wichtig zu verstehen, dass es nicht ratsam ist, direkt mit dem Risikomanagement zu beginnen, wenn die Grundlagen der Cybersicherheit im Unternehmen nicht vorhanden sind. Es wird schwierig, Risiken zu identifizieren und zu bewerten, wenn es der Organisation an systematischen Verfahren fehlt, um ihre Datenverarbeitungsumgebung zu beschreiben, Vermögenswerte zu dokumentieren, die durch Sicherheitsmaßnahmen geschützt werden müssen, und die bestehenden Sicherheitsmaßnahmen zu verstehen. Aus diesem Grund zielt Cyberday darauf ab, etablierte Rahmen für all diese Bereiche bereitzustellen und empfiehlt, nach der Behandlung der grundlegenden Aspekte zum Risikomanagement überzugehen.

Etappen des Risikomanagementprozesses bei Cyberday

Die Umsetzung des Risikomanagements bei Cyberday wird im Folgenden Schritt für Schritt dargestellt.

Verschiedene Stufen von Cybersicherheitsrisiken.

1. Identifizierung von Risiken

Neue Risiken können beim Cyberday auf folgende Weise identifiziert werden:

Automatisierte Identifizierung von Cybersicherheitsrisiken durch Aktivierung von Informationssicherheitsaufgaben.

Cyberday enthält Hintergrundinformationen über relevante Risiken für jede Aufgabe. Wenn eine Aufgabe in Cyberday aktiviert wird, werden die damit verbundenen Risiken automatisch zum Risikoregister hinzugefügt.

Beim Aktivieren einer Aufgabe werden die damit verbundenen Risiken automatisch erkannt.

Risikoermittlung durch Behandlung von Vorfällen oder Änderungen. Die Prozesse der Organisation zur Behandlung von Vorfällen im Bereich der Informationssicherheit oder von bedeutenden sicherheitsrelevanten Änderungen umfassen eine Risikoanalyse. Ziel ist es, die mit dem spezifischen Ereignis verbundenen Risiken zu ermitteln, die dann in die Phase der Risikobewertung übergehen. Diese Risiken können völlig neu sein oder durch das Ereignis eine Neubewertung erfordern.

Identifizierung von Risiken im Zusammenhang mit kritischen Vermögenswerten. Falls gewünscht, können Risiken immer dann identifiziert werden, wenn Informationswerte (wie ein Informationssystem, ein Datenspeicher oder ein Partner) im Managementsystem als "kritisch" eingestuft werden. Diese Implementierung kann unter der Kontrolle des Eigentümers der Anlage erfolgen. Alle identifizierten Risiken werden über eine Risikodokumentationskarte mit dem entsprechenden Vermögenswert verknüpft.

Workshops mit Beispielen für Risiken von Cyberday. Cyberday enthält eine umfassende Liste von Beispielen für Informationssicherheitsrisiken. Diese Liste wird verwendet, um übersehene Bedrohungen und neue Risiken zu identifizieren. Wir empfehlen, solche Workshops bei Bedarf durchzuführen, z. B. wenn andere hier beschriebene Methoden in den letzten 6 Monaten nicht angewandt wurden.

2. Vorverarbeitungsrisiken

Sobald ein Risiko identifiziert wurde, besteht der erste Schritt darin, einen Risikoverantwortlichen auszuwählen. In Cyberday ist die automatische Standardauswahl für neue Risiken der Eigentümer des Themas "Risikomanagement und Führung". Diese Person sollte dann das Risiko dem Eigentümer der entsprechenden Anlage zuweisen, wenn das Risiko eindeutig mit dieser Anlage verbunden ist, oder dem Eigentümer eines anderen Sicherheitsthemas, wenn das Risiko eindeutig mit diesem Thema verbunden ist. Die Delegation erfolgt durch Zuweisung des entsprechenden Benutzers als Risikoeigentümer auf der Dokumentationskarte.

Die beabsichtigten Maßnahmen eines Risikoeigentümers

  • Identifizierung verwandter Vermögenswerte. Dies ist eine Methode, die die Bewertung und Behandlung von Risiken mit anderen Teilen des ISMS verbindet. Risiken können mit anderen Ressourcen (z. B. einem Datensystem oder einem Partner) im Feld "Verbundene Ressourcen im Managementsystem" auf der Dokumentationskarte verbunden werden. Wenn das Risiko eindeutig mit anderen Ressourcen verbunden ist, die keine eigene Dokumentationskarte im Managementsystem haben, wird dies im Feld "Andere verbundene Ressourcen" beschrieben.
  • Identifizierung der aktuellen Aufgaben zur Bewältigung des Risikos. Hier geht es darum, zu verstehen, inwieweit die Organisation bereits etwas zur Bewältigung dieses Risikos unternimmt. Die Berücksichtigung dieser Aspekte ist in der Phase der Risikobewertung wichtig. Es ist wichtig, dass die Risikobewertung in demselben System stattfindet, in dem auch die Cybersicherheitsmaßnahmen überwacht werden.

3. Risikobewertung

In der Phase der Risikobewertung wird dem Risiko auf der Grundlage seiner potenziellen Auswirkungen und Wahrscheinlichkeit ein numerischer Wert zugewiesen. Die Organisation kann je nach ihren eigenen Präferenzen entweder eine engere (1-3) oder eine breitere (1-5) Bewertungsskala verwenden.

Risikobewertung auf der Dokumentationskarte.

Cyberday soll bei der Risikobewertung helfen, indem er schnelle Antworten liefert, wenn für ein Risiko kein hoher Schweregrad oder keine hohe Wahrscheinlichkeit gewählt wurde. Der Schweregrad des Risikos kann aufgrund der Art der Geschäftstätigkeit der Organisation oder aufgrund der Einführung wirksamer Risikomanagementverfahren reduziert sein.

Auf der Grundlage der Bewertung wird das Risikoniveau für jedes Risiko automatisch berechnet. Die Organisation kann ihr akzeptables Risikoniveau festlegen. Alle Risiken, die dieses Niveau überschreiten, sollten in die Behandlungsphase übergehen, in der verschiedene Maßnahmen zur Verringerung des Risikoniveaus durchgeführt werden.

4. Risikobehandlung

Die bei der Bewertung ermittelte Risikostufe gibt an, ob das Risikomanagement fortgesetzt werden sollte.

Liegt das Risikoniveau innerhalb eines akzeptablen Bereichs oder darunter, kann das Risiko in diesem Stadium akzeptiert werden.

Erforderlichenfalls wird das Risikomanagement in der Behandlungsphase fortgesetzt, in der:

  • Mit Hilfe von Leitlinien wird die geeignete Risikobehandlungsoption ausgewählt.
  • Es werden spezifischere Maßnahmen zur Verringerung des Risikoniveaus festgelegt.

Die häufigste Wahl ist die Verringerung des Risikos durch die Umsetzung zusätzlicher Aufgaben, die die eigenen Cybersicherheitspraktiken der Organisation verbessern. In dieser Phase ist es von entscheidender Bedeutung, die beschlossenen Aufgaben in demselben System aufzulisten, in dem auch das Risikomanagement erfolgt. Dadurch wird sichergestellt, dass das Risikomanagement zu tatsächlichen Ergebnissen führt, die automatisch in denselben Überwachungsprozess einbezogen werden.

Behandlungsplan für ein individuelles Risiko.

Die Zusammenfassung der beschlossenen Maßnahmen auf Organisationsebene wird als Risikobehandlungsplan bezeichnet. Der Eigentümer jedes einzelnen Risikos sollte den erstellten Behandlungsplan für das entsprechende Risiko akzeptieren.

5. Risikoüberwachung und -abschluss

Wenn die geplante Risikobehandlung durchgeführt wurde, d. h. wenn die zugewiesenen Verantwortlichen bestätigt haben, dass die Aufgaben tatsächlich erledigt werden, kann das Risiko abgeschlossen werden. Der Risikomanagementprozess endet somit mit einem klaren Ergebnis.

Ein Risiko kann neu bewertet werden, wenn z. B. ein Sicherheitsvorfall eintritt oder eine wesentliche Änderung in den Abläufen der Organisation erfolgt, die die Auswirkungen oder die Wahrscheinlichkeit des Risikos erhöhen könnte.

Tipps für die Umsetzung des Risikomanagements beim Cyberday

Im Folgenden finden Sie einige Beispiele, die Ihnen bei der Umsetzung des Risikomanagements in Ihrer Organisation helfen können.

  • Schauen Sie sich die Berichtsvorlagen zum Risikomanagement im Cyberday an. Insbesondere die Vorschau der Risikomanagementverfahren und -ergebnisse dient als nützliches Lehrmaterial für alle, die sich mit dem Management von Informationssicherheitsrisiken befassen.
  • Es ist möglich, einen Überprüfungszyklus für die Liste der Cybersicherheitsrisiken zu erstellen. Dadurch kann die Cyberday Teams App die Risikoverantwortlichen daran erinnern, die Liste z.B. alle 6 Monate zu überprüfen. Dies hilft dabei, Risiken zu identifizieren, die sich geändert haben und neu bewertet werden müssen.
  • Erstellen Sie benutzerdefinierte Richtlinien für Risikoeigner. In Cyberday ist es möglich, Richtlinien für bestimmte Einheiten zu erstellen. Eine dieser Einheiten ist die Einheit der Risikoeigner. Sie können dem Leitfaden wichtige Leitlinien hinzufügen und mit Hilfe von Cyberday sicherstellen, dass die Risikoeigner sie regelmäßig lesen.

Möchten Sie mehr über dieses Thema erfahren?

Wenn Sie mehr über die Bewältigung von Cybersicherheitsrisiken erfahren möchten, nehmen Sie an unseren nächsten Webinaren teil oder vereinbaren Sie einen Termin für ein Team-Meeting, damit wir die Diskussion in einem persönlicheren Rahmen fortsetzen können.

Geschrieben von
Matti Lindfors
13.6.2023
@
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

ISMS-Einführung: Vergleich von Dokumenten, Wikis, ISMS-Tools und GRC

Für den Aufbau eines ISMS gibt es verschiedene Ansätze. In diesem Beitrag vergleichen wir diese verschiedenen Methoden und helfen Ihnen zu verstehen, welche für die Anforderungen Ihrer Organisation an das Sicherheitsmanagement am besten geeignet sein könnte.
6.3.2025

Warum ist die Einhaltung von ISO 27001 heute wichtiger denn je?

Jahr für Jahr ist die ISO 27001-Norm einer der wichtigsten Standards für die Informationssicherheit geblieben. Die weltweite Norm ist nach wie vor relevant, aber woher stammt ISO 27001? Und warum wird sie immer beliebter?
27.2.2025

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit