Nichts im Leben läuft wirklich nach Plan, schon gar nicht in einem Unternehmen mit vielfältigen Mitarbeitenden und Kunden. Doch auch wenn ungeplante Dinge passieren können, kann man sich dennoch auf diese vorbereiten – aus Unternehmenssicht sollte man es sogar! Insbesondere Risiken im Bereich Cybersicherheit sind essentiell für KMU und grosse Firmen. Hier kommt das Cyber Security Risk Management ins Spiel.
Was ist Cyber Security Risk Management?
Risikomanagement Ihrer Cybersicherheit ist ein fortlaufender Prozess, in welchem Schwachstellen im Bereich IT stetig identifiziert, analysiert und evaluiert werden. Doch bedenken Sie: Das ist ein Job für die gesamte Firma und nicht nur die IT-Abteilung.
Cyber Security Risiken sind vielfältig und entwickeln sich stetig weiter. Werden Hacker und Cyber-Angreifer gerissener, so müssen auch Sie sich mehr wappnen. Zu den 6 grössten Cyber Security Risiken für Schweizer KMU gehören zum Beispiel der Risikofaktor Mensch, Malware und Ransomware oder Lücken in der Endpunktsicherheit. Ist Ihr Unternehmen beispielsweise mit einer Ransomware infiziert worden, haben Sie nur wenig Zeit, Lösegeld zu überweisen oder zu überlegen, wie Sie auf andere Art Ihre Daten und unter Umständen auch Ihr Firmenimage retten können.
Um auf solche grossen aber auch kleinere Gefahren optimal vorbereitet zu sein, benötigt es ein gut abgestimmtes IT-Risikomanagement. Dieses erfolgt idealerweise in 4 Schritten:
- Risiken identifizieren
- Risiken beurteilen
- Risiken beobachten und kontrollieren
- Kontrollmechanismen kontinuierlich beobachten und anpassen
1. Risiken identifizieren
Das erste Ziel im Risikomanagement ist es, alle potenziellen Gefahren zu erkennen: Welche einzelnen Risiken betreffen Ihre Organisation? Wo sind die grössten Schwachstellen? Welche Informationen und Systeme gilt es besonders zu schützen? Wie sind die regulatorischen Anforderungen in Ihrer Firma?
Es gibt einige digitale Risiken, von denen KMU besonders häufig betroffen sind. Das Nationale Zentrum für Cybersicherheit (NCSC) führt in den aktuellen Zahlen die am häufigsten gemeldeten Cybervorfälle in der Schweiz auf. Ganz oben stehen dabei Betrug, Phishing und SPAM. Andere Risiken, wie die zuvor erwähnten Lücken in der Endpunktsicherheit, sollten ebenfalls in Ihre Analyse einbezogen werden. Auch Naturkatastrophen, Systemausfälle und menschliches Versagen gehören zu den Gefahren, die es je nach Standort, Wissensstand und anderen Faktoren zu berücksichtigen gilt.
2. Risiken beurteilen
Sobald Sie eine Ist-Analyse Ihrer möglichen Risiken und Bedrohungslage gemacht haben, gilt es diese zu analysieren und zu beurteilen. Dabei wird quantitativ beurteilt, wie wahrscheinlich die entsprechende Situation ist, welche Auswirkungen sie auf Ihre Organisation hätte und wie umfangreich dieser Effekt wäre. Eine solches internes Kontrollsystem hilft Ihnen dabei, mögliche Folgen und Kosten abzuschätzen. Die IT-Risikoanalyse dient zudem als Leitfaden für nachfolgende Entscheidungen und Massnahmen zur Risikobewältigung.
3. Risiken beobachten und kontrollieren
Sind Schritt eins und zwei getan, ist die Reise noch nicht beendet. Im Gegenteil, diese Schritte müssen ständig wiederholt werden. Die digitale Welt befindet sich im Wandel und mit ihr auch die möglichen Auswirkungen auf Ihre Organisation. Daher müssen Gefahren kontinuierlich beobachtet und kontrolliert werden. Wiederholen Sie die IT-Risikoanalyse in regelmässigen Abständen und prüfen Sie dabei, ob neue wesentliche Risiken oder Chancen hinzugekommen sind. Neben IT-Risikoanalysen sollten auch die Risikofaktoren eingeschränkt werden. Dazu bietet es sich beispielsweise an, Cyber Security Awareness Trainings mit allen Mitarbeitenden des Unternehmens durchzuführen, um das Know-How in der gesamten Firma zu erhöhen.
4. Kontrollmechanismen kontinuierlich beobachten und anpassen
Um die Cyber Security Risiken zu prüfen, nutzt man in der Regel gewisse Kontrollmechanismen. Auch diese müssen regelmässig geprüft und angepasst werden, da sich hier ebenfalls Änderungen ergeben können. Beispielsweise ist es möglich, dass Vorschriften überarbeitet werden, Sie mit neuen Partnern, Kunden oder Zulieferern arbeiten oder sich Ihre IT-Systeme verändern. Entsprechend all solcher Neuerungen müssen nicht nur Ihr Risiko-Management, sondern auch Prüfmechanismen angepasst werden. Überwachen Sie zudem, wie effektiv Ihre angewandten Verfahren zur Risikominimierung funktionieren.
Cyber Risk Management Frameworks
Es gibt unterschiedliche Risikomanagement Frameworks für die IT, welche als Standards für die Identifizierung und Minderung von Unternehmensrisiken aufgestellt wurden. Diese können genutzt werden, um die Lage Ihres Unternehmens zu bewerten und zu verbessern. Solch ein Framework bzw. Rahmenwerk kann dabei helfen, den zuvor beschriebenen Prozess effizienter zu gestalten und damit Sicherheitsprozesse einfacher herauszuarbeiten und umzusetzen.
Wir möchten Ihnen hier eine Auswahl von zwei Frameworks vorstellen:
NIST CSF
Das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) ist ein bekanntes Rahmenwerk für Risikomanagement im Bereich IT. Es bietet eine Vielzahl von Best Practices und Richtlinien, welche bei der Standardisierung von Risikomanagement behilflich sind und Ihre Cyber Security organisiert und verbessert. NIST CSF bietet somit die Möglichkeit herauszufinden, wie Sie Cyberattacken identifizieren und bestmöglich auf sie reagieren.
Das Framework baut auf fünf Kategorien auf, welche die Grundlage für die Einstufung Ihrer IT-Sicherheit bilden.
- Identifizieren (identify)
- Schützen (protect)
- Erkennen (detect)
- Antworten (respond)
- Erholen (recover)
Es ist am besten, diese Schritt für Schritt anzugehen, um vollständige Ergebnisse zu erhalten. Damit bietet das Cyber Security Framework NIST einen Standard, um ein grundlegendes Verständnis für die Notwendigkeit von Cybersicherheit zu schaffen. Zudem unterstützen Sie die fünf Funktionen dabei, wichtige Bestandteile Ihrer Infrastruktur, Ihrer Systeme und Ihrer Optionen herauszufinden und Kontrolle darüber zu gewinnen sowie einzelne Bereiche zu verbessern.
ISO/IEC 27001
ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS) und damit die wichtigste Cyber-Security-Zertifizierung. Wie auch NIST bietet sie klare Richtlinien für die Planung, Umsetzung, Überwachung und Verbesserung der Cybersecurity in Ihrem Unternehmen.
Risikomanagement im Bereich IT ist ein kontinuierlicher Prozess. Darauf basiert auch das zertifizierte Managementsystem nach ISO 27001 – das bedeutet, dass es einen Zyklus aus vier Schritten gibt, welcher stets wiederholt werden sollte: Plan – Do – Check – Act. Wie auch in den anderen Frameworks müssen zunächst die Risiken identifiziert werden, daraus werden Anforderungen und Massnahmen abgeleitet, diese umgesetzt und regelmässig überwacht. Danach sollten dann noch stetig Verbesserungen aufgenommen werden.
Best Practices
Die vorangegangenen Erklärungen machen bereits deutlich, dass es einige bewährte Vorgehensweisen gibt, wenn es um Cyber Security Risk Management geht. Auf zwei besonders wichtige möchten wir noch einmal genauer eingehen:
Priorisieren Sie Cyber Security
Machen Sie sich bewusst, wie wichtig Cyber Security für die Sicherheit Ihres Unternehmens ist. Dieses Feld sollte nicht nur in den Händen der IT-Abteilung liegen, sondern allumfassend für das gesamte Unternehmen relevant sein. IT-Sicherheit ist Chefsache, denn im schlimmsten Falle können Haftungsfolgen auch auf den Verwaltungsrat zurückfallen. Der Mensch ist nach wie vor der grösste Risikofaktor, weshalb ein qualifiziertes Cyber Security Awareness Training genauso wichtig ist, wie eine kontinuierliche Risikoanalyse.
Kontinuierliche Risk Assessments
Die Bedrohungslage in der digitalen Welt unterliegt einem steten Wandel. Darüber hinaus können sich auch Sicherheitsvorschriften in Ihrem Unternehmen ändern. Aus all diesen Gründen ist es ratsam, Risikoanalysen kontinuierlich vorzunehmen. Dazu gehören alle oben aufgelisteten Schritte: Risiko Identifizierung, Beurteilung, Beobachtung und Kontrolle. Nur so können Lücken frühzeitig erkannt und behoben werden.
Sie wissen nicht, wo Sie in diesem Prozess starten sollen? Dinotronic hilft! Mit unserem Cyber Security Risk Assessment erarbeiten wir Ihre persönliche Ausgangslage und analysieren Ihr Unternehmen, Ihre IT-Infrastruktur und alle Systeme ganz individuell. Von der Ist-Analyse bis hin zur Erarbeitung der Soll-Situation und konkreten Empfehlungen unterstützen wir Sie im gesamten Prozess Ihres Cyber Security Risk Management.
Fazit: Risikomanagement – unverzichtbar?
Zeiten wandeln sich und die digitale Arbeit wird ein immer grösseres Thema in KMU und anderen Unternehmen. Mitarbeitende finden sich nicht mehr nur im Büro zusammen, sondern arbeiten im Homeoffice und Remote. Diese Faktoren erleichtern die Arbeit, erhöhen jedoch auch Ihre IT-Risiken. Solche und weitere Schwachstellen kann man mit einem guten Cyber Security Risk Management erkennen und beheben. Die Prozesse wirken aufwendig, sind jedoch lohnenswert. Und dank Frameworks wie NIST CSF und ISO 27001 sowie einem zuverlässigen Partner wie Dinotronic, wird der Prozess für Sie deutlich erleichtert.
