1. Home
  2. Knowledge Base
  3. Enterprise ISMS
  4. User Manual
  5. Risikobehandlung
  6. Risikobehandlung
Searching...

Risikobehandlung

In der Risikobehandlung werden die Risiken (Ergebnisse der Risikobewertung) behandelt.

Eine detaillierte Auflistung der Risikobehandlungsoptionen finden Sie am Ende der Beschreibung.

Die einzelnen Schritte zur Behandlung Ihrer Risiken erklären wir Ihnen in den Abschnitten:

  1. Risikolage
  2. Risikoeigentümer
  3. Risikobehandlung
  4. Risikoreduktion
  5. Risikobehandlungsplan

1. Risikolage

Risikobehandlung-Risikolage-1
Risikobehandlung-Risikolage-3
previous arrowprevious arrow
next arrownext arrow
PlayPause
 
  1. Mittels Klick auf den Button „Bericht erstellen“ können Sie einen Bericht über die bereichsspezifische Risikolage erstellen und den Abteilungen zur weiteren Behandlung übermitteln.
  2. In „Risikolage anzeigen“ sehen Sie die bereichsspezifische Risikolage jeder Abteilung mit folgenden Informationen:
  • ID der Gefährdung
  • Name der Gefährdung
  • Risiko der Gefährdung
  • Abteilung
  • Umsetzungsgrad vor Behandlung
  • Risikobehandlung – welche Art der Behandlung wurde zugeordnet
  • Umsetzungsgrad nach der Behandlung

Sie haben die Möglichkeit nach unterschiedlichen Kriterien – wie zum Beispiel Abteilung oder Risikokategorie – zu filtern.

2. Risikoeigentümer

In diesem Abschnitt wird der Risikoeigentümer – der abteilungsübergreifende Hauptverantwortliche für die Bearbeitung der Gefährdung / Risiko – zugeordnet.

Mittels Auswahl des Buttons „zur Übersicht“ werden Ihnen wieder die Gefährdungen / Risiken angezeigt.

Übersicht der Gefährdungen für die Zuordnung des Risikoeigentümers

Auch hier können Sie wieder filtern, gruppieren oder direkt – durch Klick auf den Button „Anlegen“ eine neue Gefährdung anlegen.

Angezeigt wird Ihnen hier wie folgt:

  • ID der Gefährdung
  • Name der Gefährdung
  • Risiko der Gefährdung
  • Risikoeigentümer
  • Risikobehandlung
  • bereichsspezifisches Risiko

Sie können eine Gefährdung / Risiko durch Anklicken auswählen, um alle Details anzusehen. Durch Auswahl des Buttons „Bearbeiten“, können Sie die Gefährdung / Risiko bearbeiten.

Bearbeiten der Gefährdung – Auswahl des Risikoeigentümers
  1. Risikobehandlungsoption zuordnen/ändern -> !ACHTUNG! Siehe hierzu auch den nachfolgenden Abschnitt „3. Risikobehandlung“!
  2. Risikoeigentümer zuordnen/ändern

Zudem haben Sie die Möglichkeit direkt die definierten Sicherheitsmaßnahmen und Kontrollmaßnahmen einzusehen ( Abb. Punkt 3. und 4.) und finden in den Reitern „Module“, „Sicherheitsmaßnahmen“, „ISO – Kontrollen“ etc. sämtliche Details der Gefährdung / Risiko.

Bei Auswahl des Buttons „Risikoeigentümer festlegen“ werden Ihnen ebenfalls alle Gefährdungen / Risiken angezeigt und können ganz einfach dem jeweiligen Risikoeigentümer zugeteilt werden. Risikoeigentümer werden über die Abteilung zugeteilt. 

Noch nicht zugeordnete Gefährdungen finden Sie in der Spalte „Undefiniert“. Mittels Drag and Drop werden diese ganz einfach durch Hinziehen in die richtige Spalte, dem jeweiligen Risikoeigentümer (Abteilung) zugeordnet werden.

Ansicht Risikoeigentümer festlegen

3. Risikobehandlung

Im Punkt Risikobehandlung wird entschieden, wie mit den verbleibenden Risiken umgegangen wird. Es müssen also geeignete Risikobehandlungsoptionen ausgewählt werden.

Risiken können

  • vermieden werden, indem beispielsweise die Risikoursache ausgeschlossen wird,
  • reduziert werden, indem die dahinterliegenden Maßnahmen umgesetzt werden,
  • transferiert werden, indem die Risiken mit anderen Parteien geteilt werden (z.B. mit einer Versicherung),
  • akzeptiert werden, beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollten oder die Kosten zur Umsetzung von Maßnahmen zu hoch sind.

Durch Auswahl des Buttons „zur Übersicht“ erhalten Sie einen Überblick über die globalen Gefährdungen / Risiken, mit der Möglichkeit zu filtern, gruppieren oder eine Gefährdung neu anzulegen.

Übersicht der Gefährdungen in der Risikobehandlung

Klicken Sie hier eine Gefährdung an, kommen Sie wieder in die unter Punkt 2. Risikoeigentümer bereits gezeigte Seite der jeweiligen Gefährdung / Risiko und können auch dort die Risikobehandlungsoption auswählen.

Auswählen der Risikobehandlungsoption in der Gefährdung

Für eine alternative, einfachere Ansicht, wählen Sie bitte den Button „Risikobehandlung wählen“ aus.

Risikobehandlung wählen

Auch hier stehen Ihnen die bereits bekannten Möglichkeiten zum Filtern, Gruppieren oder Anlegen einer Gefährdung zur Verfügung.

In der Spalte „Nicht zugeordnet“ , sehen Sie alle Gefährdungen / Risiken, die noch keiner Risikobehandlungsart zugeordnet wurden.

Mittels Drag and Drop können Sie die zu bearbeitende Gefährdung ganz einfach anklicken, halten und in die gewünschte Behandlungsoption ziehen. 

Wählen Sie eine Gefährdung durch Anklicken aus, öffnet sich erneut die bereits oben gezeigte Seite der Gefährdung / Risiko.

4. Risikoreduktion

Bei Gefährdungen / Risiken, denen die Risikobehandlungsoption „Risikoreduktion“ zugeteilt wurde, handelt es sich um Gefährdungen / Risiken, bei denen durch bestimmte Sicherheitsmaßnahmen das Risiko des Eintrittes verringert werden kann.

Bei Auswahl des Buttons „zur Übersicht“ werden Ihnen alle Sicherheitsmaßnahmen zur Risikoreduktion nach Bereichen gegliedert angezeigt. Auch hier können Sie wieder filtern und gruppieren.

Risikoreduktion – Übersicht

Wählen Sie eine Sicherheitsmaßnahme durch Anklicken aus, kommen Sie direkt in die Details.

Mittels Auswahl des Buttons „Maßnahmen festlegen“ können die Maßnahmen auch hier einfacher und übersichtlich gesetzt werden.

Risikoreduktion – Maßnahmen festlegen

Hier werden Ihnen alle Gefährdungen / Risiken, denen die Behandlungsoption „Risikoreduktion“ zugeteilt wurde, angezeigt. In der Auswahl auf der linken Seite haben Sie aber auch die Möglichkeit, sich nur die Sicherheitsmaßnahmen für eine oder mehrere bestimmte Gefährdungen / Risiken anzeigen zu lassen.

Alle Maßnahmen, die den jeweiligen Gefährdungen zugeordnet sind, befinden sich zunächst in der Spalte „Planung 0%“ und müssen noch geplant werden bzw. werden reaktiv gehandhabt und ad-hoc durchgeführt.

Es gibt folgende Phasen der Sicherheitsmaßnahmen:

  • Aufbau (25%) – Prozesse folgen einem regelmäßigen jedoch gelebtem (nicht dokumentierten) Muster
  • Umsetzung (50%) – Prozesse sind formal dokumentiert und kommuniziert
  • Aufrechterhaltung (75%) – Prozesse sind umgesetzt und werden aktiv angewendet, überwacht und gemessen
  • Kontinuierliche Verbesserung (100%) – Das methodische Vorgehen wird laufend durch „Good Practices“ verbessert

Die einzelnen Maßnahmen können hier ebenfalls mittels Drag & Drop in die jeweils für sie gültige Phase gezogen werden.

Durch das Anklicken einer Maßnahme, können Sie diese öffnen und bearbeiten.

Maßnahme bearbeiten

Sie können die Bearbeitung einer Maßnahme aktivieren Speichern und Verwerfen. (Siehe Screenshot „Maßnahme bearbeiten“ Punkt 1)

Folgende Bearbeitungsmöglichkeiten gibt es:

Aufgabe erstellen (Siehe Screenshot „Maßnahme bearbeiten“ Punkt 2)

Sie wählen den „Aktivitätstyp“ (25%, 50%, 75% oder 100%) aus, den „Benutzer“ dem die Aufgabe zugeteilt werden soll und beschreiben die Aufgabe möglichst genau. Abschließend klicken Sie auf Aktivität erstellen. Damit wird die Aufgabe an den Mitarbeiter weitergeleitet und erscheint bei diesem im Dashboard zur Bearbeitung.

Bewertung durch Experten oder Bewertung durch Fragen (Siehe Screenshot „Maßnahme bearbeiten“ Punkt 3)

  • Bewertung durch Experten: die Phase (Planung, Aufbau, etc…) wird manuell gesetzt aufgrund des Expertenwissens des Anwenders.

    Dies erfolgt durch Auswahl in der Phasen-Leiste (Siehe Screenshot „Maßnahme bearbeiten“ Punkt 4)
  • Bewertung durch Fragen: die Phase wird aufgrund von vordefinierten Fragen, die beantwortet werden müssen, automatisch gesetzt.

2. Der Reiter „Fragen zum Reifegrad“

Sobald die hier vordefinierten Fragen beantwortet und der Fragebogen gespeichert wird, wird die Phase automatisch gesetzt.

Zudem finden Sie in den Reitern (Siehe Screenshot „Maßnahme bearbeiten“ Punkt 5) noch folgende Informationen:

  • Gefährdungen für die die ausgewählte Maßnahme gesetzt wurde
  • ISO Kontrollen für die die ausgewählte Maßnahme durchzuführen ist
  • Legende (Phasen) um nochmals die genaue Definition der Phasen ansehen zu können
  • Hinweise die vom Benutzer in der Maßnahme zusätzlich erfasst wurden

5. Risikobehandlungsplan

Im Risikobehandlungsplan finden Sie die Übersicht aller geplanten Sicherheitsmaßnahmen.

Risikobehandlungsplan

Auch hier stehen Ihnen die gewohnten Filter- und Gruppierfunktionen zur Verfügung, sowie die Möglichkeit durch Klick auf den Button „Anlegen“ direkt eine neue Sicherheitsmaßnahme zu erstellen.

Risikobehandlungsoptionen

Im Folgenden werden die Risikobehandlungsoptionen Vermeidung, Reduktion, Transfer und Risikoakzeptanz näher betrachtet. Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die Risikobehandlung darauf abbilden. Bei der Entscheidung, wie mit den identifizierten Risiken umge­gangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können.

Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden:

Risikovermeidung
Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden?

Gründe für diesen Ansatz können beispielsweise sein:

  • Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
  • Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung.
  • Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufü­gen von Sicherheitsmaßnahmen komplexer zu machen.
  • Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den Komfort des Systems mit sich bringen.

Risikoreduktion (Risikomodifikation)
Ist es sinnvoll und möglich, das Risiko durch die Umsetzung der Sicherheitsmaßnahmen zu reduzieren?

Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem  nicht oder schlecht umgesetzte Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefähr­dung entgegenwirken. Die Reduktion der im Tool vorgeschlagenen Sicherheitsmaßnahmen  senkt das Risiko. Ist eien Umsetzung dieser Maßnahmen micht möglich, können weitere Maßnahmen definiert werden. Als Informationsquellen über weitere Sicherheitsmaßnahmen kommen beispielsweise folgende in Frage:

  • die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt,
  • Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssi­cherheit erarbeitet werden,
  • andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von speziali­sierten Unternehmen angeboten werden,
  • Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wur­den.

Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaß­nahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Ent­scheidungshilfen.

Risikotransfer (Risikoteilung)
Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing?

Gründe für diesen Ansatz können beispielsweise sein:

  • Die möglichen Schäden sind rein finanzieller Art.
  • Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern.
  • Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem Risiko umzugehen.

Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informa­tionsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden. Dies betrifft im Allgemeinen auch Arbeits­schritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, be­ginnend bei der Strukturanalyse. Selbstverständlich kann dabei aber auf die bisher erarbeiteten Infor­mationen und Dokumente zurückgegriffen werden.

Risikoakzeptanz
Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden?

Das verbleibende Risiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoak­zeptanz). Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Risikos bewusst ist. Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“. In der Praxis ist dies aber nicht immer zweckmäßig. Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:

  • Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
  • Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden.
  • Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.

 

Updated on 20. Mai 2022
Was this article helpful?
Yes No
Need Support?
Can't find the answer you're looking for?
Contact Support