Praxisorientiertes IT-Risikomanagement: Konzeption, Implementierung und Überprüfung

Von Matthias Knoll

IT wird immer öfter zum Enabler für neue Geschäftsmodelle. Diese Entwicklung eröffnet einerseits eine Vielzahl neuer Chancen, bringt andererseits aber auch neuartige Risiken mit sich, da die Abhängigkeit von der IT steigt und die Komplexität zunimmt. Damit Chancen optimal genutzt werden können, ist ein integriertes IT-Risikomanagement notwendig. Es führt alle Fachdisziplinen, die bereits Risiken im IT-Kontext betrachten und behandeln, für eine bestmögliche Risikobeherrschung mit der IT zusammen.
Das Buch beschreibt praxisorientiert und systematisch die Grundlagen sowie Organisationsstrukturen und Elemente des IT-Risikomanagementprozesses. Dabei werden gängige Methoden und Dokumente sowie der Einsatz von Werkzeugen anhand von zahlreichen Beispielen aus der Praxis erläutert. Ein Schwerpunkt liegt auf der schrittweisen Einführung und konsequenten Umsetzung des IT-Risikomanagements in IT-Projekten und im Betrieb in allen Organisationen, gleich welcher Größenordnung.
Darüber hinaus gibt der Autor Antworten auf aktuelle Fragen zum Umgang mit Risiken aus Virtualisierung, Cloud Computing oder dem Einsatz von Geräten für das Internet der Dinge. Handlungsempfehlungen, Praxishinweise, Checklisten und Vorlagen geben Anregungen, wie IT-Risikomanagement operativ umgesetzt werden kann. Der Anhang des Buches enthält u.a. eine Übersicht über Normen, Standards und weitere Vorgaben für das IT-Risikomanagement sowie ein Glossar.
Die 2. Auflage wurde komplett überarbeitet und um Themen wie DevOps/DevSec, Schatten-IT, Industrie 4.0 und datenbasierte Geschäftsmodelle erweitert.

• Sprache: Deutsch
• Herausgeber: dpunkt.verlag
• Erscheinungsdatum: 18. Sept. 2019
• ISBN: 9783960887430

Buchvorschau

1Einführung

Die digitale Transformation

Waren bis vor wenigen Jahren noch Kostenreduzierung und Standardisierung sowie die Steuerung externer Dienstleister zentrale Herausforderungen an die Unternehmens-IT, dominieren heute Fragen der IT- und spezieller der Cybersicherheit, die Komplexitätsreduktion durch »passende« Unternehmensarchitekturen, Daten als »Vierter Produktionsfaktor«, der Plattformgedanke, Virtualisierung und Cloud sowie eine unbedingte 24/7-Verfügbarkeit zur Unterstützung neuer Geschäftsmodelle die Diskussion. Davon betroffen sind nicht nur Unternehmen, sondern Organisationen jeder Art. Alle öffentlichen (staatlichen und nicht staatlichen) Einrichtungen werden daher ebenso in die folgenden Überlegungen einbezogen wie gemeinnützige und alle sonstigen in der Öffentlichkeit sichtbaren Organisationen, auch wenn einheitlich der Begriff »Unternehmen« verwendet wird.

Denn die IT verändert jedes Unternehmen durch einen Prozess, der – auf Basis des technischen Fortschritts und einer immer besseren, auch mobilen Vernetzung – erst begonnen hat und noch lange nicht abgeschlossen ist und den wir als »digitale Transformation« wahrnehmen. Diese digitale Transformation führt dazu, dass bekannte und bewährte Produkte auf anderen Wegen vertrieben werden und/oder anders »funktionieren«. Sie hat aber auch zur Folge, dass viele neuartige Produkte und Dienstleistungen entstehen und sich die Zusammenarbeit zwischen Unternehmen wesentlich verändert. Als Beispiele für diese Entwicklungen dienen neuartige Mobilitätsdienste (etwa Uber) und Übernachtungs-/Urlaubsangebote (bspw. AirBnB), Streamingdienste, die das lineare Fernseh- und Rundfunkprogramm ablösen (etwa Netflix, Spotify), oder Unternehmen sowohl im B2B- als auch im Endkundenbereich, die nicht mehr ausschließlich ihre Produkte mit traditionell verstandener Wartung vertreiben, sondern vollkommen neuartige Abo-Dienstleistungen auf Basis ihrer Produkte oder in Kombination mit ihren Produkten verkaufen, einschließlich Konzepten der Predictive Maintenance. Die Geschäftsmodelle dieser Unternehmen folgen neuartigen Ansätzen oder verändern teilweise radikal bestehende Strukturen.

Fragen der Informationssicherheit und des Datenschutzes, aber auch weitere Risiken rücken damit zunehmend in den Vordergrund. Es vergeht praktisch kein Tag ohne neue Meldungen über identifizierte Sicherheitsprobleme in Hard- und Software, Datenlecks und einen zu sorglosen Umgang mit sensiblen Daten, aber auch Überlegungen einzelner Regierungen, auf verschiedenste Daten (etwa aus sozialen Medien oder von Smart-Home-Geräten) zugreifen zu können. Bekannte Beispiele sind etwa die Sicherheitslücken in Prozessoren und anderer Hardware großer Hersteller, teilweise politisch aufgeladene Datenschutzskandale, Manipulationen, die schwerpunktmäßig große Social-Media-Anbieter treffen, neue Einreisebestimmungen mit Offenlegungspflichten sowie eine mögliche Gefährdung unseres Alltags durch Cyberattacken auf wichtige Elemente unserer lebensnotwendigen Infrastruktur, etwa der Wasser- und Energieversorgung. Unter diesen Bedingungen IT erfolgreich zu steuern, setzt ein hohes Maß an fachlicher und sozialer Kompetenz, effektiven und effizienten Methoden, Erfahrung und Geschick voraus.

Business-IT-Alignment

Zum Streben nach bestmöglicher IT-Unterstützung aller Geschäftsprozesse, dem bestmöglichen Business-IT-Alignment, kommt die Verpflichtung hinzu, das Unternehmen und seine Eigentümer vor Schaden durch die IT zu bewahren. Denn mit den vielfältigen neuen Herausforderungen gehen zwangsläufig ebenso vielfältige neue Bedrohungen und Schwachstellen einher. Was bedeutet es für uns und unseren Alltag, wenn die IT nicht verfügbar ist? Wenn sie Fehler in den Geschäftsprozessen verursacht, die Missbrauch, Datenmanipulation oder Datenspionage ermöglicht?

Nicht alles lässt sich durch verantwortungsvolle Führung verhindern, wohl aber darf (in besonders sensiblen Bereichen muss) verlangt werden, dass das Unternehmen vorbereitet ist und angemessene Gegenmaßnahmen ergreift. Sich über mögliche Bedrohungen und Schwachstellen sowie geeignete Gegenmaßnahmen zu informieren, ist deshalb eine zentrale Forderung an die IT-Leitungsebenen. Es geht dabei um einen zielorientierten und besonnenen Umgang mit einer künftigen Situation, auf die man sich bereits heute einstellen muss. Das erfordert eine genaue Kenntnis der gegenwärtigen Situation in der IT und im Gesamtunternehmen.

Gegenmaßnahmen kosten Zeit und Geld. Zu schnell kann aus übertriebener Sorge zu viel investiert werden. Dieser Endpunkt im Kontinuum des Aufwandes verbietet sich ebenso wie der Anfangspunkt geringstmöglichen Aufwandes, der auf zu großem Optimismus, Leichtsinn oder – noch schlimmer – Ahnungslosigkeit beruht.

Der Begriff »Wesentlichkeit«

Ziel aller Bemühungen und Überlegungen ist es, in betriebswirtschaftlich vernünftiger Form wesentliche Risiken von der IT und damit stets auch vom Gesamtunternehmen und seinen Geschäftsprozessen fernzuhalten, deutlich zu reduzieren oder ihre Auswirkungen zu begrenzen.

Das Informationssystem

Der Anwendungsbereich dieser Überlegungen (vgl. Abb. 1–1) erstreckt sich auf folgende Punkte:

Personen und Organisationseinheiten, die in irgendeiner Form einen Bezug zu den weiteren Elementen haben. Der Begriff IT-Organisation im Speziellen umfasst dabei neben organisatorischen Regelungen (Ablauforganisation, siehe IT-Prozesse) alle Organisationseinheiten (Aufbauorganisation) mit IT-Bezug. Zur IT-Organisation gehören demzufolge die IT-Abteilung sowie Bereiche und Rollen in den Fachabteilungen mit IT-Bezug.

Daten bzw. Informationen

Eingeschlossen sind alle Daten zur Installation, Konfiguration und Administration von Software sowie Dokumente mit IT-Bezug.

Anwendungen

Unter diesem Begriff (engl.: Application oder kurz App) wird nach ISO/IEC 2382:2015 Software zur Unterstützung der unterschiedlichen Geschäftsprozesse zusammengefasst. Anwendungen haben stets einen fachlichen Fokus.

Industrial Automation Applications (IAA)

Diese Art Software wird im Fertigungsbereich zur Unterstützung der Planungs- und Steuerungsprozesse eingesetzt. Im Kontext von Industrie 4.0 und der damit verbundenen zunehmenden Vernetzung dieser Anwendungen untereinander und mit weiteren internen und externen Anwendungen gewinnt diese Gruppe nicht zuletzt aus IT-Sicherheits- und Risikosicht stark an Bedeutung (siehe dazu Normenreihe IEC 62443, NIST SP 800-82 Rev. 2).

Systemsoftware

Dazu zählt nach ISO/IEC 2382:2015 das Betriebssystem und andere für den IT-Betrieb notwendige Software (sog. Middleware), mitunter werden auch Datenbankmanagementsysteme in dieser Ebene eingeordnet, ebenso Spezialsoftware für Appliances und Mobilgeräte (sog. Firmware).

Hardware

Eingeschlossen sind Großrechner ebenso wie Server oder zentrale Speichersysteme (SAN/NAS) und Arbeitsplatzrechner, Bildschirme, Drucker und weitere Peripheriegeräte, aber auch alle mobilen Geräte.

Netzwerk

Hierunter fallen alle Netzwerkgeräte, beispielsweise sogenannte Appliances wie Firewalls, Router sowie alle aktiven und passiven Komponenten zur Datenübertragung.

IT-Prozesse zur unmittelbaren Unterstützung von Geschäfts- und Produktionsprozessen, aber auch von administrativen IT-Betriebsabläufen, etwa Datensicherungen oder die Durchsicht von Protokollen.

Geschäfts-/Produktionsprozesse und ergänzende organisatorische Regelungen. Sie beschreiben die Logik aller Produktions- und Geschäftsprozesse und legen Berechtigungen und Verantwortlichkeiten sowie prozessunabhängige und -übergreifende Regelungen fest.

Sonstige, nicht IT-bezogene Ressourcen als Bestandteile von Geschäfts- und Produktionsprozessen.

Abb. 1–1 Informationssystem

Alle Elemente in Abbildung 1–1 zusammen beschreiben ein Informationssystem als soziotechnisches System, in dem der Mensch, die von ihm entwickelten Regelungen bzw. fachlichen/technischen Prozesse, alle Daten sowie die unterstützenden IT-Systeme zusammengefasst sind.

Definition

Die Disziplin, die sich mit Risiken aus Entwicklung, Betrieb und Nutzung solcher Informationssysteme befasst, wird IT-Risikomanagement genannt.

Die fünf grau hinterlegten Elemente beschreiben zusammengenommen ein IT-System. Das IT-System lässt sich nach seiner Unterstützung für betriebswirtschaftliche oder technische Aufgaben entsprechend differenzieren.

Zur Systematisierung von betriebswirtschaftlich genutzten IT-Systemen (etwa ERP-, CRM-, BI- oder E-Commerce-Systeme sowie weitere Systeme mit Endkundenfokus) existieren in der Wirtschaftsinformatik mehrere Ansätze, meist wird nach Anwendungsbereichen oder nach Vernetzungsfähigkeiten mit externen Partnern differenziert. In diese Gruppe fallen auch alle IT-Systeme, die den Plattform-Ansatz unterstützen, etwa Social-Media-, Streaming-, Mobilitäts- und weitere Angebote, die verschiedene Anbieter mit Kunden verbinden. Dazu zählen auch Smartphones und Tablets mit den jeweiligen App-Stores.

Ein IT-System zur Unterstützung technischer Aufgaben wird Steuerungssystem für Industrieanlagen bzw. Industrial Control System (ICS) genannt. In diese Gruppe fallen – als separate Elemente oder als Bestandteil von ICS – auch alle Elemente des sogenannten Internet der Dinge (engl.: Internet of Things, IoT, vgl. Abschnitte 7.4 und 8.5). Neben produktionsunterstützenden Systemen rund um Fertigungs- und Logistikanlagen fallen alle für die Gebäudeautomation/Smart Home eingesetzten Systeme darunter. Die Beispiele reichen dabei von einem Aktor oder Sensor mit Netzwerkanbindung bis hin zu einer vollständigen Lösung zur Steuerung/Überwachung von Gebäuden und Anlagen mit Benutzeroberfläche und Schnittstellen zu betrieblichen Anwendungen. Zu dieser Gruppe gehören spätestens mit der (beinahe) flächendeckenden Einführung von Voice-over-IP-Technologien (VoIP) und der damit einhergehenden Einbindung in das bestehende Netzwerk auch alle Telekommunikationsanlagen und -endgeräte in den Unternehmen, die zuletzt noch vollkommen separat betrachtet wurden.

IT-Systeme wie Smart TVs oder Wearables (etwa Smart Watches) lassen sich meist nicht exakt einordnen, vielmehr liegen sie je nach Anwendungsschwerpunkt entsprechend näher an betriebswirtschaftlichen bzw. endkundenorientierten oder produktions- und steuerungsnahen Anwendungen. So erfüllt beispielsweise ein Smart TV in einem Besprechungsraum eine andere Aufgabe als in der Produktion oder im Privathaushalt.

Das IT-Risikomanagement schließt deshalb neben der betriebswirtschaftlichen Sicht auf die IT auch die Sicht auf Steuerungen und Produktionsanlagen sowie alle weiteren oben beschriebenen Komponenten mit IT-Anteilen (bspw. VoIP-Telefonanlagen) ausdrücklich mit ein. Die IT in diesen Bereichen wird aufgrund des gekapselten und häufig proprietären Charakters der darin enthaltenen Hard- und Software bislang in vielen Unternehmen als Schatten-IT bezeichnet, auch wenn dieser Begriff eher aus dem betriebswirtschaftlichen Kontext (in den Fachabteilungen entwickelte Office-Anwendungen) bekannt ist. Sie untersteht in solchen Fällen nicht der Verantwortung der IT, sondern vielfach noch der Produktionsleitung (Fertigungsanlagen), spezialisiertem Leitstellenpersonal (Steuerungsanlagen, etwa in der Energie-/Wasserversorgung), dem Facility Management (Gebäudeautomation, Telekommunikationsanlagen) oder medizinisch-technischem Fachpersonal in entsprechenden Einrichtungen (medizinisch-technische Geräte). Entsprechend waren und sind solche IT-Systeme vielfach vom IT-Risikomanagement nicht erfasst worden. Das ändert sich aktuell, nicht zuletzt aufgrund zunehmender Sicherheitsvorfälle (etwa Angriffsmöglichkeiten auf Herzschrittmacher, Insulinpumpen und andere Geräte).

Diese Entwicklung ist positiv zu bewerten, denn eine intensive Betrachtung wird zwingend notwendig, weil IT-Systeme, die nicht in die Lebenszyklus-, Service- und Supportprozesse und -strukturen der IT eingebunden sind, zunehmend eine Bedrohung für das einsetzende Unternehmen, aber auch für dessen Kunden werden können. Anlagen und Produkte einschließlich darauf basierender digitaler Dienstleistungen könnten fehlerhaft oder nicht verfügbar sein, mit allen Folgen bis hin zur Gefahr für Leben oder Gesundheit der jeweiligen Nutzer.

Aufbau des Buches und Hinweise zur Nutzung der Praxiselemente

Struktur des Buches

Das Buch gliedert sich in vier größere Themenbereiche (vgl. Abb. 1–2).

Abb. 1–2 Thematischer Aufbau des Buches

Der erste Themenbereich (Kap. 2 und 3) legt die begrifflichen Grundlagen. Der zweite Themenbereich (Kap. 4 bis 6) behandelt die Organisation des IT-Risikomanagements, den IT-Risikomanagementprozess sowie Methoden, Werkzeuge und Dokumente des IT-Risikomanagements. Der dritte Themenbereich (Kap. 7 bis 10) betrachtet das IT-Risikomanagement im strategischen Bereich und damit im Kontext des IT-GRC-Managements, dem IT-Betrieb und in IT-Projekten, an der Schnittstelle zwischen Entwicklung und Betrieb sowie die notwendigen Schritte zu seiner Einrichtung. Das Kapitel 8 befasst sich auch mit Fragen des IT-Risikomanagements beim Einsatz von Cloud-Angeboten für Endkunden sowie allen übrigen Dienstleistungen mit IT-Anteil, die den Endkunden direkt einbeziehen. Der vierte Themenbereich (Kap. 11 und 12) stellt das Interne Kontrollsystem und seine Bedeutung für das IT-Risikomanagement dar und erläutert die Prüfung des IT-Risikomanagements hinsichtlich Angemessenheit und Wirksamkeit.

Ein wichtiges Ziel ist es, die Theorie des IT-Risikomanagements für die Praxis aufzubereiten. Dazu hebt das Buch wichtige Definitionen hervor, ergänzt die Theorie durch kleine (Anwendungs-)Beispiele und hilft bei der Umsetzung durch Praxishinweise, konkrete Handlungsempfehlungen und Muster als Anregung für die Erstellung eigener Checklisten.

Ein Praxishinweis ist erkennbar am Hinweis in der Marginalspalte und einem grau unterlegten Kasten.

Praxishinweis

Konkrete Fragestellung

Als Antwort auf die jeweilige Fragestellung sind in einem Praxishinweis wichtige Erfahrungen in knapper Form zusammengefasst.

Handlungsempfehlungen sind gekennzeichnet durch einen Hinweis in der Marginalspalte und eine Schritt-für-Schritt-Empfehlung zur Umsetzung.

Checklisten enthalten Punkte, die bei der Beschäftigung mit einer Aufgabe im eigenen Unternehmen sinngemäß Berücksichtigung finden sollten. Sie sind in der Marginalspalte gekennzeichnet und als Tabelle ausgestaltet.

nicht erfüllt, erfüllt, kann aber noch verbessert werden, erfüllt

Denn beim Auf- und Ausbau des eigenen IT-Risikomanagements gilt grundsätzlich, dass Vorlagen und Überlegungen aus Büchern, Zeitschriften und dem Internet hilfreich sein können. Allerdings ist eine direkte Übernahme von Inhalten erwartungsgemäß selten möglich. Für eine Nutzung sollten – etwa im Rahmen eines Workshops:

Begriffe in die Sprachwelt des Unternehmens übertragen werden;

inhaltliche Details zu Prozessen und der IT auf Übereinstimmung geprüft und angepasst werden – dies betrifft beispielsweise verwendete Systematisierungen, Klassifizierungen, Einheiten, Farbcodes und Symbole;

Besonderheiten des eigenen Unternehmens ergänzt werden. Dabei handelt es sich meist um Spezifika aus der Geschäftstätigkeit, die (in einem Workshop) im Dialog mit den betroffenen Fachabteilungen ermittelt werden müssen. Dies gilt besonders in regulierten Branchen und im KRITIS-Umfeld.

2Der Begriff Risiko

Ziel dieses Kapitels

Dieses Kapitel führt in den Begriff Risiko im Kontext des Lebenszyklus eines Informationssystems (Abb. 1–1) ein. Im Einzelnen werden die folgenden Fragen geklärt:

Was ist ein Risiko, was ist ein IT- und ein Informationssicherheitsrisiko, wie lassen sich solche Risiken systematisieren und klassifizieren?

Was sind Cyberrisiken, IT-Sicherheitsrisiken und Informationsrisiken?

Warum werden Ursachen und Auswirkungen separat betrachtet?

Was sind Bedrohungen und Schwachstellen? Warum wird hier unterschieden?

Welche Rolle spielt die Zeit im Kontext von Risiken?

Was sind Risikobewusstsein, Risikokultur, Risikoappetit und Risikopolitik?

Wie sieht eine Risikorichtlinie aus und wofür wird sie benötigt?

2.1Der Risikobegriff

Die betriebswirtschaftliche Literatur kennt zahlreiche Definitionen und unterschiedliche Auffassungen des Begriffs Risiko (bspw. [Königs 2017], S. 11 f., [Gabler 2019], [RiskNet 2019]). Im ISO Guide 73:2009 und weiteren, speziellen Normen, die Auswirkungen auf die IT haben, etwa beim Einsatz von IT in der Medizintechnik (ISO 14971:2007), wird Risiko als »effect of uncertainty on objectives« bzw. als »the combination of the consequences of an event and the associated likelihood« (oder entsprechend als »combination of the probability of occurrence of harm and the severity of that harm«) definiert. ISO 31000:2018 definiert entsprechend »Risk is usually expressed in terms of risk sources (Abschnitt 3.4 der Norm), potential events (Abschnitt 3.5 der Norm), their consequences (Abschnitt 3.6 der Norm) and their likelihood (Abschnitt 3.7 der Norm).« Unsicherheit entsteht dabei durch fehlende Informationen, mangelndes Verständnis oder fehlendes Wissen.

Auch das BSI definiert in seinem Glossar den Begriff allgemein [BSI 2019]. IDW PS 981 sieht in Risiken mögliche künftige Entwicklungen oder Ereignisse, die zu negativen oder positiven Zielabweichungen führen können [IDW 2017a]. ISACA betont in seiner Definition insbesondere die notwendige Trennung zwischen Risiko, Bedrohung (Abschnitt 2.1.1) und Schwachstelle (Abschnitt 2.1.2). Risiken beziehen sich demnach auf »the likelihood (or frequency) and magnitude of loss that exists from a combination of asset(s), threat(s) and control conditions« [ISACA 2019].

Ein gemeinsames Element in allen Definitionen ist die unternehmensspezifisch mehr oder weniger stark ausgeprägte Unfähigkeit, das zu steuern, was in Zukunft eintreten wird. Entsprechend lassen sich die Definitionen folgendermaßen zusammenfassen:

Definition

Das Risiko

Das Risiko ist ein Maß für Wagnis und Unsicherheit. Es beschreibt die Möglichkeit, als Konsequenz eines bestimmten Verhaltens oder Geschehens durch ein (plötzlich auftretendes) zukünftiges ungewisses Ereignis einen (monetären) Gewinn oder Nutzen (Chance) zu erzielen oder aber einen (monetären) Schaden (Verlust, Misserfolg) zu erleiden bzw. einen erwarteten Vorteil nicht nutzen zu können. Inwieweit im Unternehmen etwas als Schaden oder Nutzen verstanden wird, hängt von den Wertvorstellungen der Risikoverantwortlichen ab.

Möglich sind also positive wie negative Entwicklungen, wenngleich in der (deutschsprachigen) Praxis weniger der Aspekt »Chance« als vielmehr eine eher negative Sicht (Gefahr) vorherrscht.

Ein Risiko wird formal als Kombination (nicht als arithmetisches Produkt!) aus der – empirisch bestimmten – relativen Häufigkeit eines Ereignisses oder – objektiv – seiner Eintrittswahrscheinlichkeit und seiner Auswirkungen beschrieben.

Als Netto-Risiko bezeichnet man ein Risiko, dessen Eintrittswahrscheinlichkeit und/oder Auswirkung durch geeignete Maßnahmen bereits verringert worden ist.

In der Regel werden unter Risiken Netto-Risiken verstanden, da unbehandelte Risiken (Brutto-Risiken) lediglich bei vollkommen neuartigen Risiken und erstmalig bei ihrer Identifikation auftreten. Für sie muss, insbesondere, wenn Eintrittswahrscheinlichkeiten und/oder Auswirkungen hoch sind, umgehend eine Strategie zur Behandlung entwickelt werden. Brutto-Risiken sind daher häufig »Pseudorisiken« [Hunziker 2018b].

Vielfach werden weitere Risikobegriffe verwendet, die sich auch auf die IT übertragen lassen (vgl. Abschnitt 2.1.6).

Kann die Eintrittswahrscheinlichkeit für ein Risiko nicht quantitativ (mit Werten zwischen 0 und 1 bzw. den entsprechenden Prozentwerten) angegeben werden, wird eine qualitative Charakterisierung (bspw. in den Kategorien bestandsgefährdend/existenzbedrohend, sehr hoch, hoch, mittel, gering) verwendet.

Vielfach wird das Risiko auch als arithmetisches Produkt aus Eintrittswahrscheinlichkeit eines Ereignisses und seiner Auswirkungen definiert. Normen sprechen jedoch (siehe obige Definitionen) von einer Kombination. Eine solche Risikoermittlung kann daher unzulässig oder zumindest nicht aussagekräftig genug sein. Die häufig geäußerte Kritik an dieser Definition und Vorgehensweise ist, dass eine rein arithmetische Betrachtung des Produktes aus Eintrittswahrscheinlichkeit und Schadenshöhe mögliche Vorteile und Chancen, etwa aus dem Einsatz neuer, risikoreicher Technologien, unberücksichtigt lässt. Zudem unterschlägt sie den Umstand, dass sich Risiken selten als Punktwerte, sondern – realistischer – als Bandbreiten beschreiben lassen und daher über einen solchen Rechenweg nur selten angemessen abgebildet werden.

Es ist aus diesem Grund hilfreich, eine gewisse Unschärfe in der Bestimmung zuzulassen, Bereiche zu definieren und eine Festlegung auf exakte Werte nur dann vorzunehmen, wenn gesicherte Erkenntnisse vorliegen, die eine belastbare Berechnung erlauben (vgl. auch Abschnitt 2.1.5).

Auswirkungen von Risiken lassen sich in Geldeinheiten (bspw. Schadenskosten), als Zeitangabe (bspw. Dauer einer Störung oder eines Ausfalls) oder als Anzahl (bspw. betroffene IT-Systeme, Anwendungen, Personen) angeben. In anderen Fällen (bspw. Reputationsverlust) oder wenn unterschiedliche Arten von Schäden zusammenfassend dargestellt werden sollen, kann ein einheitenloser Punktwert (Score) verwendet werden.

Risiken können das Unternehmen als Ganzes oder in Teilen betreffen und im Zeitablauf unterschiedlich relevant sein.

Definition

Je nach Menge und Qualität der vorliegenden Informationen über Risiken wird unterschieden in:

»Unknown Unknowns«

vollständig unbekannte und damit für Unternehmen extrem gefährliche Risiken. Sie werden vom Risikomanagement (vgl. Kap. 3) nicht erfasst. Oberstes Ziel ist es daher, alle Risiken zu kennen.

»Known Unknowns«

bekannte, aber noch nicht bewertete/eingeschätzte Risiken

»Known Knowns«

bekannte und bewertete/eingeschätzte Risiken, die behandelt werden

Im Außenverhältnis trägt die Unternehmensleitung stets die gesamte Verantwortung für Risiken.

Mit zunehmender Digitalisierung von Wirtschaft und Gesellschaft sind alle Informationssysteme mit allen ihren Elementen (vgl. Abb. 1–1) einer zunehmenden Vielfalt von Risiken ausgesetzt. Informationssysteme eines Unternehmens werden deshalb als schützenswerte IT-Ressource (IT Asset, IT-Vermögenswert) bezeichnet.

Ein Risiko im Kontext der Entwicklung, des Betriebs oder der Nutzung eines Informationssystems stellt eine Teilmenge aller in einem Unternehmen identifizierten Risiken dar und ist deshalb dem Grundsatz nach nicht anders definiert.

COBIT 5 for Risk definiert »IT risk as business risk, specifically the business risk associated with the use, ownership, operation, involvement, influcence and adoption of IT within an enterprise. IT risk consists of IT-related events that could potentially impact the business. IT risk can occur with both uncertain frequency and impact and creates challenges in meeting strategic goals and objectives.« In vergleichbarer Weise wird im ISACA-Glossary »IT Risk« als »the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise« definiert.

Aufbauend auf diesen Definitionen, der Definition in ISO 31000: 2018 und dem Verständnis von Risiken in ISO/IEC 27000:2018 lässt sich entsprechend zusammenfassen:

Definition

Ein Risiko im Kontext von Informationssystemen konkretisiert über die obige Definition hinausgehend, mit welcher Wahrscheinlichkeit ein Ereignis mit IT-Bezug zu negativen materiellen und/oder immateriellen Auswirkungen auf die Geschäftstätigkeit des Unternehmens und seiner Partnern führt. Häufig sind mit entsprechenden Ereignissen interne oder externe Bedrohungen aufgrund von Schwachstellen des Informationssystems verbunden. Sie können dabei kurz-, mittel- und langfristig wirken, bis hin zur dauerhaften Betriebsunterbrechung.

Dabei werden zur weiteren Differenzierung des Risikobegriffs häufig zwei Sichtweisen unterschieden:

Das IT-Risiko, das als eher technisch begründeter Begriff von der Informationstechnologie, dem IT-System in Abbildung 1–1, ausgehend die übrigen Elemente des Informationssystems einbindet, insbesondere diejenigen, die IT-Systeme entwickeln und anwenden.

Das Informationssicherheitsrisiko, das als inhaltlich begründeter Begriff von den (Geschäfts-)Prozessen und deren Daten sowie den beteiligten Rollen ausgehend die technischen Voraussetzungen zur Nutzung einbezieht.

Ein zentraler Gedanke dieser Definition ist, dass alle Elemente des Informationssystems nach Abbildung 1–1 betroffen sein können und ebenso, dass alle Elemente Schwachstellen aufweisen können, nicht ausschließlich technische Elemente. Das Ziel des Schutzes von Informationen prägt diese Definition.

Zudem werden in der Praxis häufig weitere Risikobegriffe verwendet:

Cyberrisiko

Das BSI definiert Cybersicherheit als Arbeitsfeld, das sich mit »allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik« befasst. Dabei berücksichtigt Cybersicherheit in Erweiterung bisheriger IT-Sicherheitsbetrachtungen den gesamten Cyberraum. Als Cyberraum wird dabei die Gesamtheit der mit dem Internet und vergleichbaren Netzen verbundenen Informationssysteme gemäß Abbildung 1–1 verstanden. Entsprechend umfassen Cyberrisiken alle Risiken, die sich daraus ergeben. Das Financial Stability Board definiert Cyber Risk als »The combination of the probability of cyber incidents occurring and their impact«, wobei unter Cyber Incident ein »cyber event« verstanden wird, das »jeopardizes the cyber security of an information system or the information the system processes, stores or transmits; or violates the security policies, security procedures or acceptable use policies, whether resulting from malicious activity or not« [FSB 2018].

Cyberrisiken gehen häufig (aber nicht ausschließlich) auf Cyber Threats zurück, die als »circumstance with the potential to exploit one or more vulnerabilities that adversely affects cyber security« beschrieben werden [FSB 2018]. Entsprechende Bedrohungen (vgl. folgenden Abschnitt 2.1.1) sind dabei fortgeschrittene und zielgerichtete Angriffe auf Informationssysteme, die vielfach nur schwer zu entdecken und abzuwehren sind. Angreifer setzen dabei spezialisierte IT-Systeme bewusst und gezielt ein (vgl. auch [RiskNet 2019]).

Informationsrisiko

Informationsrisiken beschreiben alle Risiken, die auf Informationen wirken können. Häufig werden sie als Informationssicherheitsrisiken verstanden. Da der Begriff auch im Finanzdienstleistungsbereich verwendet wird, um anzuzeigen, dass Anleger auf Basis fehlender, unvollständiger, verspäteter oder falscher Informationen Entscheidungen treffen, sollte er – um Irrtümern vorzubeugen – im IT-Kontext nach Möglichkeit durch den Begriff Informationssicherheitsrisiko ersetzt werden.

IT-Sicherheitsrisiko

Das BSI stellt in seinem Glossar dar, dass IT-Sicherheit »sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung« beschäftigt [BSI 2019]. Informationssicherheit hat den Schutz aller Informationen zum Ziel und ist daher weiter gefasst. IT-Sicherheitsrisiken sind deshalb als Teilmenge von Informationssicherheitsrisiken zu verstehen, weshalb dieser übergeordnete Begriff bevorzugt verwendet werden soll.

IT-Fehlerrisiko

IDW PS 330 definiert »die mit der konkreten Ausgestaltung des IT-Systems einhergehenden Risiken«, die »für wesentliche Fehler in der Rechnungslegung« verantwortlich sind, als IT-Fehlerrisiken [IDW 2002a].

Da alle Sichtweisen wichtig sind und ihre Berechtigung haben, wird im weiteren Verlauf der neutrale Begriff Risiko verwendet.

Praxishinweis

Konsens über die Risikodefinition

Zu Beginn aller Arbeiten mit Risiken und im Risikomanagement ist es wichtig, Konsens über die im Unternehmenskontext verwendeten Risikobegriffe herzustellen. Bleibt unklar, was genau im jeweiligen, insbesondere auch branchen- und/oder unternehmensabhängigen Kontext unter den verschiedenen Risikobegriffen verstanden wird, besteht die Gefahr, dass Lücken in der Risikobehandlung entstehen, weil Verantwortlichkeiten ungeregelt sind und scheinbare Einigkeit tatsächlich auf semantischen Missverständnissen beruht (vgl. auch die Handlungsempfehlungen in Abschnitt 2.1.4).

Im Rahmen beispielsweise eines Workshops sollte daher mit allen Beteiligten geklärt werden,

welche Risiken ein bestimmter Risikobegriff adressiert,

in wessen Zuständigkeitsbereich (Verantwortung) diese Risiken fallen,

wie die Koordination/Abstimmung untereinander erfolgen soll, falls sich Risiken nicht eindeutig zuordnen lassen, etwa, weil sie sich thematisch überschneiden.

Beteiligte lassen sich etwa über das Enterprise Risk Management oder eine Analyse der Aufbauorganisation ermitteln (vgl. auch Abschnitte 3.1.2, 3.2.1 und Kap. 4).

Ein Beispiel aus der Finanzdienstleistungsbranche soll die Problematik bei der Verwendung der Begriffe verdeutlichen: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) versteht unter IT-Risiken alle Risiken für die Vermögens- und Ertragslage von Finanzinstituten, die aufgrund von Mängeln entstehen, die das IT-Management bzw. die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das Interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen. Die BaFin orientiert sich damit an der Definition, die der Ausschuss der Europäischen Bankenaufsichtsbehörden (CEBS) im Jahr 2006 in den Leitlinien zur Anwendung des aufsichtlichen Überprüfungsverfahrens unter Säule II festlegte. IT-Risiken zählen demnach zu den operationellen Risiken [BaFin 2013]. Die Definition berührt zahlreiche unterschiedliche Tätigkeitsbereiche in der IT. Erfahrungsgemäß sind daher auch zahlreiche unterschiedliche Organisationseinheiten mit Risiken befasst. Aufgabe ist es nun, keine Lücken entstehen zu lassen. In den MaRisk [BaFin 2017] wird ebenfalls der Begriff »IT-Risiko« verwendet (AT 7.2), in den Bankaufsichtlichen Anforderungen an die IT (BAIT, vgl. [BaFin 2018]) wiederum werden die Begriffe »Risiko« und »Informationsrisiko« genutzt (Abschnitt II.3 in [BaFin 2018]). Auch hier muss geklärt werden, welche Organisationseinheiten wo Verantwortung für die Risiken tragen, um Aufgaben klar verteilen zu können.

Beispiel

Typische Risiken für Informationssysteme sind:

der Ausfall einer wichtigen Anwendung oder eines ICS, bedingt durch technische Störungen (bspw. Defekte, zu hohe Temperaturen und Softwareprobleme) oder gezielte Angriffe von außen (IT-Risiko)

das Ausspähen von sensiblen Daten durch persönliche oder indirekte Beeinflussung des Personals durch Dritte, sogenanntes Social Engineering (Informationssicherheitsrisiko)

das gezielte Angreifen einer Webanwendung im E-Commerce, die aufgrund eines noch nicht durch Patches behobenen Softwarefehlers eine Schwachstelle aufweist (Cyberrisiko)

das Mithören des Datenverkehrs, insbesondere bei Verwendung von Funknetzwerken, etwa WLAN, Bluetooth, Zigbee, EnOcean (Informationssicherheitsrisiko)

die Verletzung von Patenten bei der Programmierung von Software (Urheberrechtsverletzung), wenn dadurch die Verfügbarkeit der betroffenen Anwendung eingeschränkt ist oder Prozessrisiken aus deren Einsatz entstehen (IT-Risiko)

erhebliche zeitliche Verzögerungen oder inhaltliche Unstimmigkeiten in einem wettbewerbskritischen IT-Projekt (IT-Risiko)

2.1.1Bedrohungen in der IT

Gefahr (Hazard, Danger) und Bedrohung (Threat) sind zentrale Begriffe im IT-Risikomanagement ([Kersten et al. 2011], S. 51, [Schmidt 2011], [BSI 2019]). ISO 73:2009 bezeichnet die Gefahr als »source of potential harm« und damit als mögliche »risk source«. ISACA bezieht den Begriff Bedrohung auf »anything (e.g. object, substance, human) that is capable of acting against an asset in a manner that can result in loss or harm« und grenzt den Begriff vom Risikobegriff ab.

Definition

Gefahr und Gefährdung

Die Gefahr wird als eine abstrakte Beschreibung von negativen, nicht oder nur schwer kalkulierbaren Sachverhalten definiert, die Schäden zur Folge haben. Eine Gefährdung ist konkret. Sie ist als Bedrohung zu verstehen, die konkret über eine Schwachstelle auf ein Objekt einwirkt (»Applied Threat«). Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung.

Bedrohung (Threat)

Eine Bedrohung ist eine reale Gefahr und weist damit einen präzisen zeitlichen, örtlichen, persönlichen, institutionellen oder materiellen Bezug auf. Sie beeinträchtigt die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen und kann Ursache für Schäden sein. Bedrohungen werden systematisiert und in Bedrohungskatalogen zusammengefasst.

Bedrohungen können nach folgenden Aspekten systematisiert werden:

Höhere Gewalt

Bedrohungen, die durch den Menschen oder das Unternehmen nicht beeinflusst werden können. Hierzu zählen beispielsweise Naturgewalten oder Kriege und andere Großereignisse im Unternehmensumfeld.

Vorsätzliche Handlungen

Unter vorsätzlichen Handlungen werden alle grob fahrlässigen Handlungen und alle kriminellen Aktivitäten (insbesondere Cyberkriminalität) zusammengefasst.

Solche Vorfälle werden meist öffentlich, wenn Kundendaten oder andere sensible Informationen missbraucht oder kompromittiert werden. Ein bekanntes Beispiel ist der Diebstahl von Kundendaten eines Spielekonsolen-Herstellers im Jahr 2011. Versäumnisse des Unternehmens wurden im Frühjahr 2013 in England mit einer hohen Geldstrafe geahndet. Ein weiteres Beispiel ist der Missbrauch von Social-Media-Daten in den Jahren 2015/16 zu Zwecken der Wahlmanipulation, dessen Rechtsfolgen im Herbst 2018 noch unklar sind.

Technisches Versagen

Technisches Versagen ist durch Materialermüdung, Alterung oder temporär unzulässige Betriebszustände verursacht.

Beispielsweise kann die Alterung von Speicherbausteinen in einem Server zu Datenverlusten, Instabilitäten oder vollständiger Nichtverfügbarkeit führen.

Jede Bedrohung besitzt eine eigene Kritikalität. Sie leitet sich aus den Wirkungen auf die Betriebskontinuität ab und wird analog zur Klassifikation der Risiken angegeben. Ob die Bedrohung für das Unternehmen relevant ist, hängt – analog zur Risikoakzeptanz (vgl. Abschnitt 2.2.4) – davon ab, welche Bedeutung das bedrohte Element des Informationssystems für die Geschäftstätigkeit hat und welche Kritikalität die Bedrohung besitzt.

2.1.2Schwachstellen in der IT

Bedrohungen sind zwar ursächlich für negative Auswirkungen auf das Unternehmen und damit für Risiken. Aber erst durch die Existenz von Schwachstellen ist ein Unternehmen dem aus der Bedrohung resultierenden Risiko ausgesetzt. Neben der Bedrohung ist die Schwachstelle daher ein weiterer, sehr zentrale Begriff im IT-Risikomanagement. Das ISACA Glossary und die ISACA Glossary Terms (www.isaca.org) beispielsweise beziehen eine Schwachstelle (Vulnerability) auf »control conditions that are deemed to be deficient relative to requirements or the threat levels beeing faced. It is a weakness in design, implementation, operation or internal control of a process that could expose the system to adverse threats from threat events.« In ISO 73:2009 ist die Schwachstelle definiert als »intrinsic properties of something resulting in susceptibility to a risk source that can lead to an event with a consequence«.

Definition

Schwachstelle (Verwundbarkeit, Vulnerability, Weakness, Angriffspunkt)

Die Schwachstelle stellt einen Zustand der Unvollkommenheit einer Maßnahme zur Risikobeherrschung dar. Sie beschreibt die Verbindung zwischen einem Risiko und den dazu gehörenden Bedrohungen sowie den ergriffenen Maßnahmen.

Eine Schwachstelle ermöglicht es einer Bedrohung, auf das Unternehmen, seine IT-Infrastruktur, Anwendungen und letztlich Geschäftsprozesse tatsächlich einzuwirken. Sie ist eine für den Eintritt eines Risikos ursächlich gefährliche Eigenschaft des Informationssystems.

Um Schwachstellen gegen Bedrohungen abzuschirmen, werden als Bestandteil des Internen Kontrollsystems (vgl. Kap. 11) Maßnahmen, im IKS als Kontrollen (engl.: Controls) bezeichnet, etabliert und fortlaufend verbessert (vgl. Abb. 2–1).

Abb. 2–1 Bedrohungen, Schwachstellen und Risiken (modifiziert nach [Prokein 2008], S. 2)

Das BSI spricht in diesem Zusammenhang von Gefährdungen. Eine Gefährdung ist eine Bedrohung, die über eine Schwachstelle konkret auf die IT einwirkt. Im Grundschutz-Kompendium [BSI 2018] sind solche Gefährdungen systematisiert und detailliert beschrieben. Im Unterschied zum Risikobegriff umfasst die Gefährdung keine Bewertung, inwieweit ein betrachtetes Schadensszenario für das Unternehmen relevant ist [BSI 2019].

Während früher eine Vielzahl von Forschungseinrichtungen systematisch nach Schwachstellen in Anwendungen und der IT-Infrastruktur gesucht und das Wissen darüber unentgeltlich verbreitet hat, hat sich mittlerweile der Verkauf von Wissen über neue Schwachstellen und Möglichkeiten etabliert. Existiert entsprechender Schad- bzw. Angriffscode (sog. Exploit), kann die Schwachstelle unmittelbar ausgenutzt werden, weshalb Schwachstellen mitunter auch in »Vulnerability« (zunächst nur analytische Überlegungen, keine praktische Ausnutzbarkeit) und Exploits unterschieden werden (vgl. [Königs 2017], S. 61). Besonders gefährlich ist Angriffscode, der gleichzeitig mit dem Bekanntwerden einer Schwachstelle vorliegt (sog. Zero-Day-Exploit).

Neben IT-Infrastrukturelementen, Betriebssystemen und Anwendungen sind davon vermehrt auch industrielle Steuerungssysteme und kritische Infrastrukturen (etwa in der Energiewirtschaft, im Gesundheitswesen, im Lebensmittelbereich oder der Telekommunikationsbranche) betroffen. Unternehmen dürfen daher nicht mehr darauf vertrauen, als Erste über neue Schwachstellen in ihren IT-Systemen informiert zu werden.

Analog zu Gefahren und Bedrohungen können auch Schwachstellen klassifiziert werden. Unterschieden werden können:

Technische Schwachstellen

Sie beziehen sich auf Anwendungen, die IT-Infrastruktur und die technischen Komponenten des IT-Umfelds (Gebäude, Sicherungssysteme). Beispielsweise kann eine Anwendung fehlerhaft programmiert sein, Hardware kann schlecht konstruiert sein, die Klimaanlage des Serverraums oder die Stromversorgung für die Server können unterdimensioniert sein, Redundanz kann fehlen, auch kann die Wand in einem Serverraum zum Nachbarraum lediglich bis zur abgehängten, nicht bis zur tragenden Decke hochgezogen sein. Schwachstellen können aber auch dadurch entstehen, dass eine Datenbank nur eine einzige, von allen genutzte, nicht personalisierte Zugriffstechnik auf Tabellen kennt.

Personelle Schwachstellen

Sie beziehen sich auf alle Personen, die in irgendeinem Bezug zur IT stehen, und sind die Folge von Unachtsamkeit oder fahrlässigem Handeln. Das verantwortliche IT-Personal ist meist nicht ausreichend sensibilisiert oder qualifiziert, etwa für die Bedrohungen durch Social Engineering. Unkenntnis begünstigte beispielsweise den Diebstahl eines Dienstleister-Notebooks mit den gesamten Einwohnermeldedaten einer Gemeinde im April 2013. Im konkreten Fall verzichtete das Personal darauf, die Festplatte des Notebooks zu verschlüsseln.

Auch das Übersehen von technischen Unzulänglichkeiten, sich ankündigenden technischen Störungen, Konstruktionsfehlern und das Nichterkennen von Programmierfehlern gehören dazu.

Organisatorische Schwachstellen

Sie beziehen sich auf alle aufbau- und ablauforganisatorischen Regelungen. Der Administratorzugang beispielsweise ist nicht über ein Passwort abgesichert, damit das gesamte Personal im Notfall vollen Zugriff auf den Server hat. Ein Geschäftsprozess enthält keine Funktionstrennung nach dem Vier-Augen-Prinzip. Eine Archivdatei mit streng vertraulichen Daten wird zwar einem Prozess folgend, jedoch unverschlüsselt über das Internet übertragen.

Leider ist es aufgrund der zunehmenden Komplexität in der IT, der fortschreitenden IT-Durchdringung und fehlender Fakten über Bedrohungen immer schwieriger, die Bedeutung von Schwachstellen einzuschätzen. Aktuelle, aus der Praxis abgeleitete Bewertungskriterien und -maßstäbe, die in einem Framework systematisiert werden, können jedoch dabei helfen. Ein Beispiel für ein solches Framework ist das Common Vulnerability Scoring System (CVSS), das aktuell in der Version 3.0 vorliegt (vgl. auch [Königs 2017] und www.first.org/cvss).

Definition

Angriff

Liegt eine Schwachstelle vor, muss jederzeit mit einem Angriff auf das Angriffsziel über diese Schwachstelle, den Angriffspunkt, gerechnet werden. Angriffe sind in der Regel vorsätzlich ausgeführt und gehen stets auf unberechtigte und unerwünschte Aktivitäten zurück. Es entsteht dabei ein Schaden und/oder der Angreifer kann sich Vorteile verschaffen oder unbeteiligte Dritte schädigen. Angriffe können auch im Auftrag Dritter erfolgen. Als Auslöser (die Ursache) für Angriffe gelten Menschen.

Als Angriffspfad (auch Angriffsweg, Angriffsgraph) bezeichnet man den logischen Pfad zu einem Angriffspunkt. Wird die gewählte Angriffstechnik ergänzt, spricht man von einem Angriffsvektor.

(vgl. [Schmidt 2011], S. 553, [BSI 2019])

Beispiel

Mögliche Angriffspfade sind:

der Weg vom Internet über die Perimeter-Firewall (Angriffspunkt), die demilitarisierte Zone (DMZ), die innere Firewall und mehrere Intranet-Router bis zum ERP-System (Angriffsziel)

der direkte Weg über die lokale Administrationskonsole (Angriffspunkt) in einem