Es ist entscheidend, die Risiken und das Gefahrenpotenzial von Schwachstellen in ICT-Systemen zu verstehen und zu quantifizieren, um die Sicherheit und Kontinuität der Geschäftsprozesse zu gewährleisten.
In der Praxis wird dies umgesetzt, indem das Risikomanagement als integraler Bestandteil der Geschäftsprozesse etabliert wird / ist.
- Die Risikoanalyse als Bestandteil des fortlaufenden Risikomanagements sowie die Zusammenarbeit zwischen den ICT-Fachabteilungen und dem Management ermöglichen eine optimale Integration in die Geschäftsprozesse.
- Regelmässige Wiederholung von Analysen aufgrund geänderter Bedrohungen und Schwachstellen sowie veränderter ICT-Infrastrukturen und Geschäftsprozesse.
- Die Ergebnisse und Massnahmen der Risikoanalysen sollten dokumentiert und den relevanten Stakeholdern kommuniziert werden. Zudem ist es wichtig, die Mitarbeitenden über Risiken und entsprechendes Verhalten zu schulen.
ISO/IEC 27005 bietet einen strukturierten Ansatz für das Informationssicherheits-Risikomanagement und beschreibt Methoden und Techniken zur Durchführung solcher Analysen.
Im Nachfolgend die wichtigsten Methoden und Techniken erläutert, die es ermöglichen, Risiken zu identifizieren, zu analysieren und zu bewerten.
Methoden und Techniken zur Risikoanalyse gemäss ISO 27005
| Methode | Beschreibung | Anwendung |
| Festlegung des Kontexts | – Identifikation von Geschäftsprozessen und Informationswerten, die von ICT-Systemen unterstützt werden – Festlegung von Toleranzgrenzen und Bewertungsskalen für Eintrittswahrscheinlichkeit und Auswirkung von Risiken | – Bestimmen, wie ICT-Systeme Geschäftsprozesse beeinflussen. – Entwicklung von Skalen zur konsistenten Risikobewertung. |
| Risikobestimmung | – Identifikation technischer und organisatorischer Schwachstellen mittels Tools und Prozessüberprüfung. – Identifikation potenzieller Bedrohungsquellen (z. B. Hacker, Naturkatastrophen) und Entwicklung von Bedrohungsszenarien. | – Automatisierte Erkennung von Sicherheitslücken. – Simulation möglicher Angriffswege und -methoden. |
| Risikobewertung (Qualitativ und Quantitativ) | – Bewertung von Risiken basierend auf Experteneinschätzungen und Erfahrungen (Qualitativ) – Numerische Bewertung von Risiken durch Zuweisung von konkreten Werten (Quantitativ). – Kombination von qualitativen und quantitativen Ansätzen. | – Risiko = Eintrittswahrscheinlichkeit × Auswirkung. – Konsistente Bewertung durch festgelegte Skalen und Kriterien. |
| Risikoevaluation | – Überprüfung, ob identifizierte Risiken innerhalb der akzeptablen Toleranzgrenzen liegen. – Rangfolge der Risiken nach ihrer Bedeutung für das Unternehmen. | – Bestimmen, ob ein Risiko akzeptiert oder behandelt werden muss. – Fokussierung auf die kritischsten Risiken. |
| Risikobehandlung | – Entwicklung von Strategien zur Risikovermeidung, -verminderung, -übertragung oder -akzeptanz. – Implementierung der geplanten Aktionen mit klar definierten Verantwortlichkeiten und Zeitplänen. – Kontinuierliche Kontrolle, ob die Massnahmen die gewünschten Effekte erzielen. | – Detaillierte Planung von Massnahmen zur Risikominimierung. – Regelmässige Überprüfung und Anpassung der Massnahmen bei Bedarf. |
Techniken zur Unterstützung der Risikoanalyse
| Technik | Beschreibung | Anwendung |
| Vulnerability Scanner | – Automatisierte Tools, die Systeme und Netzwerke auf bekannte Schwachstellen prüfen. – Identifizieren Sicherheitslücken wie fehlende Patches oder unsichere Konfigurationen. | – Planen von periodischen Überprüfungen. – Priorisierung der gefundenen Schwachstellen und Planung von Gegenmassnahmen. |
| Threat Modeling | – Systematische Identifikation von potenziellen Bedrohungen und Angriffspfaden. – Hilft, Sicherheitslücken aus der Perspektive eines Angreifers zu verstehen. | – Visualisierung von Systemarchitekturen und potenziellen Angriffspunkten. – Entwicklung von Strategien zur Risikominderung. |
| Business Impact Analysis (BIA) | Bewertung der Auswirkungen von Störungen auf Geschäftsprozesse. – Identifiziert kritische Prozesse und die erforderlichen Wiederherstellungszeiten. | – Festlegen von Prioritäten für die Wiederherstellung. – Wiederherstellungsziele definieren: RTO und RPO festlegen. |
| Risikomatrix | – Grafische Darstellung von Risiken basierend auf Eintrittswahrscheinlichkeit und Auswirkung. – Erleichtert die Visualisierung und Priorisierung von Risiken. | Schnelle Identifikation von hohen Risiken. – Verständliche Darstellung für Entscheidungsträger und Stakeholder. |
| Heatmaps | – Farbige Diagramme, die die Intensität von Risiken darstellen. – Zeigt auf einen Blick Bereiche mit hohem Risiko. | – Fokussierung auf kritische Bereiche.Grundlage für Ressourcenallokation und Massnahmenplanung. |
| Checklisten und Fragebögen | – Standardisierte Instrumente zur systematischen Erfassung von Informationen. – Sicherstellen, dass alle relevanten Aspekte berücksichtigt werden. | – Konsistente Erfassung von Daten über Systeme und Prozesse. – Dokumentation für Compliance und Überprüfungen. |
| Monte-Carlo-Simulation | – Statistische Methode, die Unsicherheiten durch Simulation vieler Szenarien analysiert. – Liefert Wahrscheinlichkeitsverteilungen von Risiken. | – Quantifizierung von Risiken mit variablen Faktoren. – Bewertung von Risiken in dynamischen Umgebungen. |
| Fault Tree Analysis (FTA) & Event Tree Analysis (ETA) | – Diagrammatische Methoden zur Ursachen- und Wirkungsanalyse von Systemfehlern. – FTA konzentriert sich auf Fehlerursachen, ETA auf Ereignisfolgen. | – Analyse von Kombinationen von Fehlern, die zu einem Hauptfehler führen. – Massnahmen zur Fehlervermeidung. |