Leistungen
IT-Risikomanagement in der Praxis
Risikomanagement klingt nach Governance und Formularen. In der Praxis geht es um eine einfache Frage: Was kann schiefgehen und was tun wir dagegen? Dieser Artikel beschreibt, wie IT-Risikomanagement im Alltag funktioniert.
Was IT-Risikomanagement bedeutet
IT-Risikomanagement ist der systematische Umgang mit Bedrohungen und Schwachstellen, die IT-Systeme, Daten und Geschäftsprozesse gefährden:
- Identifikation: Welche Risiken gibt es?
- Bewertung: Wie wahrscheinlich und wie schwerwiegend?
- Behandlung: Was tun wir dagegen?
- Überwachung: Wirken die Maßnahmen? Gibt es neue Risiken?
Risiken finden
Risiken tauchen nicht von allein auf. Sie müssen aktiv gesucht werden:
- Asset-basiert: Welche Systeme, Daten und Prozesse sind geschäftskritisch?
- Bedrohungsbasiert: Welche Angriffe, Ausfälle oder Fehler sind realistisch?
- Schwachstellenbasiert: Wo gibt es technische oder organisatorische Lücken?
- Erfahrungsbasiert: Was ist in der Vergangenheit passiert?
Typische Risikobereiche
| Kategorie | Beispiele |
|---|---|
| Verfügbarkeit | Serverausfall, Netzwerkstörung, Cloud-Provider-Outage |
| Vertraulichkeit | Datenleck, unbefugter Zugriff, Shadow IT |
| Integrität | Datenmanipulation, Fehlkonfiguration, ungetestete Updates |
| Compliance | DSGVO-Verstöße, vertragliche Pflichten, Audit-Findings |
| Lieferkette | Abhängigkeit von Einzelanbietern, kompromittierte Libraries |
| Personal | Wissensverlust (Bus Factor), fehlende Schulung |
Risiken bewerten
Einstufungsmatrix
Eintrittswahrscheinlichkeit mal Auswirkung:
| Gering | Mittel | Hoch | Kritisch | |
|---|---|---|---|---|
| Sehr wahrscheinlich | Mittel | Hoch | Kritisch | Kritisch |
| Wahrscheinlich | Gering | Mittel | Hoch | Kritisch |
| Möglich | Gering | Gering | Mittel | Hoch |
| Unwahrscheinlich | Gering | Gering | Gering | Mittel |
Auswirkung einschätzen
- Finanziell: direkter Schaden, Vertragsstrafen, Umsatzausfall
- Reputativ: Vertrauensverlust bei Kunden und Partnern
- Operativ: Betriebsunterbrechung, Wiederherstellungszeit
- Regulatorisch: Bußgelder, Auflagen, Zertifikatsentzug
Qualitativ oder quantitativ?
- Qualitativ (Gering/Mittel/Hoch): schnell, pragmatisch, reicht für die meisten KMU
- Quantitativ (Euro-Beträge, Wahrscheinlichkeiten in Prozent): genauer, aber aufwändiger
Risiken behandeln
Vier Grundstrategien:
Vermeiden
Die riskante Aktivität unterlassen. Beispiel: Legacy-System ablösen statt weiter zu patchen.
Vermindern
Wahrscheinlichkeit oder Auswirkung reduzieren. Beispiel: MFA einführen gegen unbefugte Zugriffe, Backup-Tests gegen Datenverlust.
Übertragen
Risiko an Dritte abgeben. Beispiel: Cyber-Versicherung. Die Verantwortung bleibt, nur die finanzielle Last wird geteilt.
Akzeptieren
Risiko bewusst tragen, wenn Behandlung unverhältnismäßig wäre. Voraussetzung: dokumentiert und von der Geschäftsleitung genehmigt.
Risikobehandlungsplan
Für jedes Risiko oberhalb der Akzeptanzschwelle festhalten:
- Maßnahme: Was wird getan?
- Verantwortlicher: Wer setzt um?
- Frist: Bis wann?
- Nachweis: Wie wird die Wirksamkeit geprüft?
- Restrisiko: Was bleibt nach der Behandlung?
Risikomanagement im ISMS
Für ein ISMS nach ISO 27001 ist Risikomanagement der zentrale Steuerungsmechanismus. Die Norm verlangt:
- Einen definierten Risikobewertungsprozess
- Das Statement of Applicability (SoA): Welche Annex-A-Controls sind anwendbar?
- Einen Risikobehandlungsplan mit Maßnahmen, Verantwortlichen und Fristen
- Restrisiko-Akzeptanz durch die Geschäftsleitung
Mehr dazu: ISMS nach ISO 27001
Risikomanagement im Alltag verankern
In bestehende Prozesse einbauen
- Change Management: Jeder Change bekommt eine Risikoeinschätzung
- Incident Management: Nach jedem Incident prüfen, ob neue Risiken entstanden sind
- Projekt-Kickoffs: Risiken bei Projektstart identifizieren
- Quartals-Reviews: Risikoregister regelmäßig aktualisieren
Typische Fehler
- Einmal erstellen, nie aktualisieren: Ein veraltetes Risikoregister ist wertlos.
- Zu abstrakt: "Cyberangriff" ist kein Risiko, sondern eine Kategorie. Konkreter: "Ransomware über Phishing-Mail an Admin-Account."
- Ohne Management-Buy-in: Risikoakzeptanz muss von der Geschäftsleitung kommen.
- Maßnahmen ohne Nachweis: Risiko als behandelt markieren, ohne die Wirkung zu prüfen.
FAQ
Brauchen wir ein Risikomanagement-Tool?
Für KMU reicht oft eine strukturierte Tabelle (Excel, Confluence). Wichtiger als das Tool ist der Prozess: regelmäßig aktualisieren, Verantwortliche benennen, Management einbinden.
Wie viele Risiken sind normal?
Es gibt keine Standardzahl. Ein typisches IT-Risikoregister für ein KMU enthält 20 bis 50 Einträge. Entscheidend ist, dass die kritischen Risiken identifiziert und behandelt sind.
Wie hängen Risikomanagement und Compliance zusammen?
Compliance-Anforderungen (DSGVO, NIS2, ISO 27001) geben vor, was mindestens adressiert werden muss. Risikomanagement priorisiert, wie intensiv. Beides gehört zusammen.
Wenn aus Risikologik ein konkretes Umsetzungsprogramm werden soll, sind NIS2 Readiness, DORA Readiness und ISO 27001 Auditvorbereitung die passenden Folgeschritte.
Fazit
Risikomanagement ist ein Steuerungsinstrument, kein Papiertiger. Wer Risiken systematisch erkennt, bewertet und behandelt, trifft bessere Entscheidungen. Das zahlt sich bei jedem Incident und jedem Audit aus.