Was ist IT-Risikomanagement?

Murphy hat zwei Gesetze und beide gelten für das IT-Risikomanagement. „Alles, was schiefgehen kann, wird auch schiefgehen“ ist Murphys erstes Gesetz, das als zutreffend angesehen wird, weil mit genügend Zeit eine hohe Wahrscheinlichkeit besteht, dass alles schiefgeht. Sie müssen auf alles vorbereitet sein! Murphys zweites Gesetz besagt, dass „nichts so einfach ist, wie es aussieht“, und das gilt auch für das Management von Unternehmensrisiken. 

Aus diesen beiden Gründen wenden sich Unternehmen an einen Managed Service Provider (MSP), der sie bei der Identifizierung, Bewertung, Priorisierung und Beseitigung von Risiken unterstützt. Wenn Sie ein MSP sind, lesen Sie weiter und erfahren Sie, wie Sie Ihren Kunden helfen können, Risiken zu minimieren und den Schutz ihrer Systeme und Daten zu gewährleisten.

Das IT-Risiko ist definiert als das Potenzial für Verluste oder Schäden, wenn eine Bedrohung eine Schwachstelle in den Informationsressourcen eines Unternehmens ausnutzt, einschließlich der IT-Infrastruktur, Anwendungen und Daten. Es handelt sich um einen weit gefassten Begriff, der jede Art von Risiko abdeckt, sei es ein Risiko im Bereich der Cybersicherheit, ein Stromausfall, eine Katastrophe, menschliches Versagen, ein Software-/Hardwarefehler usw., also alles, was ein Unternehmen stören kann und in irgendeiner Weise auf die Informationstechnologie (IT) angewiesen ist.

Das IT-Risikomanagement ist der Prozess der Analyse einer Bedrohung für die IT-Infrastruktur eines Unternehmens, bei dem bewertet wird, welches Risiko ein Unternehmen bereit ist zu akzeptieren. In der Branche wird dies als „Risikobereitschaft“ bezeichnet. Wenn das Unternehmen ein bestimmtes Risiko nicht übernehmen kann, muss es bestimmen, ob und wie das Risiko verringert werden kann.

Hier einige Beispiele für Risikoszenarien und die Risikobereitschaft, die ein Unternehmen zu übernehmen bereit ist:

• Im Falle einer Naturkatastrophe wird die E-Mail-Kommunikation eines Unternehmens für 24 Stunden unterbrochen sein. Das Unternehmen nimmt dieses Risiko in Kauf, weil die Auswirkungen auf das Unternehmen minimal sind und Katastrophen nur selten auftreten.
• Im Falle eines Asteroideneinschlags werden die Büros und Gebäude des Unternehmens zerstört. Das Unternehmen nimmt dieses Risiko in Kauf, weil die Wahrscheinlichkeit eines Asteroideneinschlags unwahrscheinlich ist, auch wenn die Folgen katastrophal wären.
• Ein Ransomware-Angriff auf ein Unternehmen kann den IT-Betrieb für unbestimmte Zeit zum Erliegen bringen. Diese Art von Ereignissen kommt häufig vor und kann ein Unternehmen ruinieren, und das Unternehmen akzeptiert dieses Risiko nicht. 

Risikomanagement bedeutet nicht immer, das Risiko auf Null zu bringen, sondern das Risiko zu minimieren, wenn die Auswirkungen groß sind. 

Ein Unternehmen muss die Risiken, denen es ausgesetzt ist, kennen und bewerten, um seine Schwächen zu erkennen, festzustellen, ob das Unternehmen übermäßig gefährdet ist, Lücken zu priorisieren und das Risiko zu mindern. Wenn ein Unternehmen übermäßig gefährdet ist, muss es Maßnahmen ergreifen, die auf den verfügbaren Ressourcen und den Risikoprioritäten basieren, die anhand der unten beschriebenen Risikokalkulation ermittelt werden. 

Der IT-Risikomanagementprozess ist eine Aufgabe, die ein Unternehmen intern durchführen kann, indem es entweder den unten erläuterten fünfstufigen Prozess oder eine externe Risikobewertung, wie die ISO 27005, verwendet. Hierbei handelt es sich um eine internationale Norm, die beschreibt, wie eine Risikobewertung der Informationssicherheit gemäß den Anforderungen von ISO 27001 durchzuführen ist.

Dies sind die 5 Schritte, die ein Unternehmen befolgen sollte, um IT-Risiken zu erkennen.

1. Identifizieren der Schwachstellen. Die IT-Abteilung muss alle möglichen Schwachstellen und Risiken in der IT-Infrastruktur definieren.  
2. Kennzeichnung und Klassifizierung der Daten des Unternehmens. Dies ist ein entscheidender Schritt, denn ein Unternehmen kann seine Daten nur schützen, wenn es weiß, welche Daten es schützen muss. Dieser Schritt bietet dem Unternehmen die Möglichkeit, die persönlichen und sensiblen Daten zu ermitteln, die am wichtigsten zu sichern und zu schützen sind.  
3. Priorisieren der Schwachstellen. Diese Aufgabe sollte in einer gemeinsamen Sitzung mit der Geschäftsleitung (LOB), die die kritischen Systeme identifizieren kann, die immer betriebsbereit sein müssen, und der IT-Abteilung, die feststellen kann, ob die kritischen Dienste geschützt sind, durchgeführt werden. Während dieses Schritts führen die IT und die LOB ebenfalls eine Prüfung durch:

• Risikoanalyse, um festzustellen, wie häufig ein Ereignis eintreten wird, wie wahrscheinlich es ist, dass es eintritt, und welche Folgen es haben wird.
• Risikobewertung. Die „Formel“ zur Berechnung eines Risikos lautet: Risiko = Bedrohung x Anfälligkeit x Folge.  Dies ist keine mathematische Formel, sondern sollte als Richtwert dienen.

Im Folgenden finden Sie einige Beispiele für die Risikobewertung anhand der „Formel“

Wenn ein Unternehmen seine Systeme nicht sichert, ist die Wahrscheinlichkeit hoch, dass menschliches Versagen, eine Naturkatastrophe oder ein bösartiger Angriff die Systeme zum Absturz bringt, und die Folgen des Datenverlusts sind erheblich. Diese Schwachstelle stellt ein hohes Risiko dar und muss sofort behoben werden.

Das Unternehmen ist sich bewusst, dass Spam-Werbung ein Ärgernis für die Benutzer sein kann. Dies kommt zwar häufig vor, hat aber keine nennenswerten Auswirkungen, sodass es als zweitrangig für die Wiederherstellung angesehen wird.

Auf der anderen Seite erkennt das Unternehmen, dass Phishing-Angriffe, die das Passwort eines Benutzers stehlen können. Dies ist ein häufiges Problem, das große Auswirkungen haben kann und daher höchste Priorität genießt und sofort behoben werden muss.

     4. Reduzieren der Risiken. Jetzt, da das Unternehmen die Risiken kennt, muss es sie auf der Grundlage der Priorisierung, der Risikobereitschaft und der Toleranz angehen.      5.Laufende Überwachung der Risiken. Der Prozess der Identifizierung eines IT-Risikos ist ein fortlaufender Prozess, da sich die Sicherheitslandschaft aufgrund externer und interner Kräfte ständig verändert.  

Für ein Unternehmen ist es von entscheidender Bedeutung, seine Infrastruktur – einschließlich der Lieferkette und der Cloud-basierten Anwendungen – kontinuierlich auf neue Risiken zu überwachen. Vor der Pandemie beispielsweise war das Risiko von Datenlecks und Datenschutzverletzungen bei Telearbeitern gering. Mit der Massenabwanderung zur Telearbeit im Jahr 2020 ist die Sicherheit der Daten jedoch ein hohes Risiko, da die meisten Mitarbeiter von zu Hause aus arbeiten. Das bedeutet, dass die Wahrscheinlichkeit höher ist, dass Laptops verloren gehen, unbeaufsichtigte Laptops zu Hause von jemand anderem genutzt werden können (was das Risiko von Malware erhöht) usw. Die Pandemie hat auch zu einem höheren Risiko geführt, da Cyberkriminelle die Angst vor COVID-19 ausnutzen, um Malware zu verbreiten.

Das Unternehmen muss die Risiken im Zusammenhang mit Lieferanten, Partnern, Einzelpersonen (z. B. Auftragnehmern) oder anderen Unternehmen, mit denen das Unternehmen zusammenarbeitet, genau überwachen. Die Sicherheitslücke bei SolarWinds wurde beispielsweise dadurch verursacht, dass sich Kriminelle in das Orion-Software-System hackten und bösartigen Code einfügten. Diese Malware wurde dann an die 18.000 Kunden von SolarWinds weitergegeben, als das Unternehmen System-Updates verschickte. Es war ein katastrophales Ereignis, das viele Organisationen einem hohen Risiko aussetzte.

Jedes Unternehmen, das gesetzlichen Anforderungen unterliegt, wie z. B. der EU-Datenschutzgrundverordnung (DSGVO), dem California Consumer Privacy Act (CCPA), dem Payment Card Industry Data Security Standard (PCI DSS), dem Health Insurance Portability and Accountability Act (HIPAA) oder ISO 27001, muss auch die Einhaltung der Vorschriften und die Einhaltung durch das Unternehmen kontinuierlich überwachen. 

Acronis Cyber Protect Cloud ist eine einzigartige Lösung, die komplexe Malware erkennt und verhindert, Abhilfe schafft und Ermittlungsfunktionen bietet und die Daten Ihrer Kunden umfassend schützt. Sie vereint verhaltens- und signaturbasierte Anti-Malware, Endpoint Protection Management sowie Backup und Disaster Recovery in einer Lösung. Mit nur einer Konsole und mit einem Agenten bietet Acronis Cyber Protect Cloud unübertroffene Integration und Automatisierung, um die Komplexität zu reduzieren, Ihre Produktivität zu steigern und die Betriebskosten zu senken. Mit Acronis Cyber Protect Cloud können Sie Ihren Backup-Service kostenlos um wichtigen Cyberschutz erweitern. Sie können Ihren Dienst auch mit erweiterten Schutzpaketen erweitern, die Folgendes umfassen:

Advanced security:

• Anti-Malware der nächsten Generation, die auf maschineller Intelligenz (MI) basierende Technologien einsetzt, um aufkommende/neue Malware zu verhindern
• Globale Überwachung von Bedrohungen und intelligente Warnmeldungen von Acronis Cyber Protection Operation Centers (CPOC), damit Sie über Malware, Schwachstellen, Naturkatastrophen und andere globale Ereignisse, die den Datenschutz Ihrer Kunden beeinträchtigen könnten, informiert bleiben und entsprechende Maßnahmen ergreifen können
• Forensische Datensicherung, die es Ihnen ermöglicht, digitale Beweisdaten zu sammeln, sie in Backups auf Festplattenebene aufzunehmen, die an einem sicheren Ort gespeichert werden, um sie vor Cyberbedrohungen zu schützen, und sie für künftige Untersuchungen zu verwenden

Advanced management:

• Patch-Verwaltung für Software von Microsoft und Drittanbietern unter Windows, mit der Sie Patches einfach planen oder manuell bereitstellen können, um die Daten Ihrer Kunden zu schützen
• Laufwerksintegrität mithilfe der MI-Technologie zur Prognose von Festplattenproblemen und zur Ergreifung von Vorsichtsmaßnahmen, um die Daten Ihrer Kunden zu schützen und die Betriebszeit zu verbessern
• Erfassung des Softwarebestands mit automatischen oder bedarfsgesteuerten Scans, um einen umfassenden Einblick in den Softwarebestand Ihrer Kunden zu erhalten 
• Ausfallsicheres Patchen durch Erstellung eines Abbild-Backups der Systeme Ihrer Kunden, um eine einfache Wiederherstellung zu ermöglichen, falls ein Patch das System Ihres Kunden instabil werden lässt

Advanced backup:

• Schutz für mehr als 20 Workload-Typen über eine einzige Konsole, einschließlich Microsoft Exchange, Microsoft SQL Server, Oracle DBMS Real Application Clusters und SAP HAN
• Eine Datenschutzkarte, die die Datenverteilung auf den Rechnern Ihrer Kunden verfolgt, den Schutzstatus von Dateien überwacht und die gesammelten Daten als Grundlage für Compliance-Berichte verwendet
• Kontinuierlicher Datenschutz, der sicherstellt, dass Sie die Daten Ihrer Kunden, die zwischen den geplanten Backups geändert werden, nicht verlieren

Advanced disaster recovery:

• Disaster-Recovery-Orchestrierung mithilfe von Runbooks – einer Reihe von Anweisungen, die definieren, wie die Produktionsumgebung Ihres Kunden in der Cloud hochgefahren wird – um eine schnelle und zuverlässige Wiederherstellung der Anwendungen, Systeme und Daten Ihrer Kunden auf jedem Gerät und bei jedem Vorfall zu ermöglichen

Advanced email security:

• Blockieren Sie E-Mail-Bedrohungen wie Spam, Phishing, BEC (Business Email Compromise), Malware, APTs (Advanced Persistent Threats) und Zero-Days, bevor sie die Microsoft 365-, Google Workspace- oder Open-Xchange-Postfächer der Endbenutzer erreichen. Nutzen Sie die Cloud-basierte E-Mail-Sicherheitslösung der nächsten Generation, basierend auf Perception Point.

Mit Acronis Cyber Protect Cloud können Sie Ihren Kunden einen mehrschichtigen Schutz für ihre Endpunkte bieten, sicherstellen, dass ihre Daten, Anwendungen und Systeme immer verfügbar und geschützt sind, und die Wiederherstellung ihrer Daten und Systeme in kürzester Zeit ermöglichen, egal was passiert.