Yingyaipumi, Adobe Stock
Jedes Unternehmen ist täglich mit der Bewältigung von Bedrohungen und Risiken beschäftigt. Sie müssen so schnell wie möglich abgewendet werden – „the show must go on“.
Um im Vorfeld alle Gefährdungen zu berücksichtigen, ist eine Analyse und Bewertung des Risikos der eigenen Tätigkeiten von Vorteil. Dabei werden alle relevanten Risiken im besten Fall schon vor erstmaligem Eintritt erkannt und durch präventive Maßnahmen möglichst verhindert, im Ausmaß gemindert oder eine Störung durch Vorhaltung alternativer Techniken und auch organisatorischer Prozesse (Rückfallebene/Redundanz) kompensiert.
Die Analyse beginnt mit der Festlegung eines unternehmenseigenen Bezugsrahmens. Hierfür werden zunächst Schutzziele durch die Unternehmensleitung definiert. Gleichzeitig werden alle bereits im Unternehmen vorhandenen Daten und Dokumente bezüglich Sicherheit, Risikomanagement und/oder eines bereits implementierten Sicherheits- und Informationssicherheits-Managementsystems (ISMS) gesichtet und bewertet. Besonders in Hinblick auf die Definition von Akzeptanzschwellen und Risikokategorien sind interne Vorgaben des Unternehmens notwendig.
Zur Ermittlung des IST-Zustands eines Unternehmens müssen alle relevanten Fragen bezüglich Sicherheit beantwortet werden. Die NKMG hat hierfür eine umfassende Checkliste (Bau, Technik, Organisation) entwickelt, die je nach Branche und Unternehmen weiter angepasst werden kann. Auf Grundlage der bereits vorliegenden Daten kann das allgemeine Sicherheitsniveau und das der IT- und Kommunikations- Infrastrukturen und der einzelnen Standorte bereits bewertet werden.
Risikomanagement ist als Bestandteil der Sicherheitskonzeption ein regelmäßiger Prozess.
In diesem Prozess erfolgt die besondere Berücksichtigung von Sicherheitszonen (Zwiebelschalenmodell) als methodische Grundlage, vor allem in Sektoren mit erhöhtem Schutzbedarf für Personal und Technik. Das sind Technikräume, kritische Produktionsbereiche, Test- und Entwicklungsbereiche, Serverräume, Laborumgebungen, Ver- und Entsorgungsbereiche, Lager, aber auch Archive mit besonderen Dokumentationsaufgaben.
Die Bewertung der Sicherheitsmaßnahmen und ergänzende Prüfung durch Begehungen einzelner Standorte basiert auf der in Phase 2 erarbeiteten Checkliste. Im Nachgang werden die Checklisten aus den Begehungen und die Analysen aus vorhandenen Konzepten und Dokumenten in einem Kurzbericht zusammengefasst und dem Kunden übergeben.
Die aufgenommen Sicherheitsrisiken werden als Grundlage der Analyse in einem möglichen Risikotool abgebildet und um kundenspezifische Risiken ergänzt und präzisiert.
Kundenspezifische Risiken sind zum Beispiel:
Die vorliegende Risikoliste wird mit internen Sicherheitsdaten des Unternehmens angereichert und nach ihrer Kritikalität bewertet und geordnet. Im nächsten Bearbeitungsschritt werden die Risiken, soweit möglich, mit externen Datenquellen ergänzt (von Fachverbänden, Statistiken, Polizeiliche Kriminalstatistik, Onlinerecherche uvm.).
Die Risikobetrachtung beachtet üblicherweise folgende Schutzziele:
Das Risikomanagement berücksichtigt die ausgewählten Einzelrisiken (nach individueller Auswahl können dies bis zu dreistelligen Anzahlen von Risiken sein) und bewertet diese nach Eintrittswahrscheinlichkeit und Schadensausmaß. Daraufhin wird ein individuelles Risikoprofil errechnet und in einer Risikomatrix graphisch dargestellt. Auf Basis dieser Einschätzung können konkrete Gegenmaßnahmen zur Verringerung des Risikoprofils vorgeschlagen werden. Die einzelnen Einschätzungen und Gegenmaßnahmen sind Bestandteil der Sicherheitskonzepte. Das Risikomanagement ist als Bestandteil der Sicherheitskonzeption ein regelmäßiger Prozess.
Sicherheitskonzepte können folgende Inhalte haben: