Identifikation von Risiken
Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. In diesem zweiten Teil soll es um die Risikoidentifikation gehen.
Grundlage der Risikoidentifikation sind die Werte bzw. die Informationswerte des Unternehmens. Ihre Inventarisierung ist ein Muss. Nun gilt es, Gefährdungen für diese Werte zu identifizieren. Ausgangspunkt hierfür können bestehende Gefährdungskataloge sein, wie sie z.B. im Anhang der ISO 27005 oder im BSI IT-Grundschutzkompendium dargestellt werden. In solchen Katalogen finden sich verständlicherweise nur allgemeine, für viele Organisationen zutreffende Gefährdungen wieder. Daher ist es notwendig darüberhinausgehende spezifische Gefährdungen für die eigene Organisation und die eigenen Werte zu identifizieren.
Eine klassische Methode zur Identifikation spezifischer Risiken sind Experteninterviews. Experten sind dabei u.a. die Kollegen, die mit den gefährdeten Werten täglich zu tun haben. Sie kennen typische Gefahren und können diese benennen. So finden wir auch Risiken, die das zentrale Risikomanagement niemals entdeckt hätte. Zu Beginn, in den ersten Durchläufen des Risikomanagements, eignen sich gut freie Interviews, bei denen man die Experten „einfach mal reden lässt“. Später können diese Interviews strukturierter durchgeführt werden, was die Auswertung erheblich vereinfacht.
Ein Beispiel für eine geeignete Kreativmethode zur Risikoidentifikation wäre die Kopfstandtechnik, auch Umkehrtechnik oder Flip-Flop-Technik genannt. Dabei geht es darum, einmal zu überlegen, wie man ein Risiko selbst herbeiführen bzw. verwirklichen könnte. „Was müssen wir tun, um erfolgreich Datenträger aus dem Unternehmen herauszuschmuggeln?“ Die Methode soll zum Entwickeln ungewöhnlicher Ansätze anregen und so Risiken sichtbar machen, auf die man aus der Verteidigersicht nie gekommen wäre. Und Spaß macht es auch noch, zumindest im Gedanken einmal den Bösewicht spielen zu dürfen.
Die nächste Folge dieser Reihe wird sich mit der Analyse und Bewertung der identifizierten Risiken beschäftigen.
Bisher erschienen:
- Risikomanagement im ISMS – Einführung
- Risikomanagement im ISMS – Identifikation von Risiken
Seminar „Risikomanagement im ISMS“
In unserem Seminar „Risikomanagement im ISMS“ stellen wir Ihnen ein Risikomanagement nach ISO 27001 und ISO 27005 vor Die Vorgehensweise nach BSI IT-Grundschutz-Standard 200-3 wird ebenfalls besprochen. Neben den in diesem Artikel vorgestellten Methoden zur Risikoidentifikation, die natürlich ausführlicher dargestellt werden, lernen sie weitere mögliche konkrete Ansätze kennen.
Nächster Termin: 10. – 11. März 2021 Online
Der Beitrag RISIKOMANAGEMENT IM ISMS (TEIL 2) erschien zuerst auf ANMATHO AG.