Menü
Ein Beitrag von Adacor

Checkliste Risikomanagement für KMU

Risikomanagement ist ein Thema, an dem auch kleine und mittelgroße Unternehmen in diesen Tagen nicht mehr vorbeikommen.

Checkliste RisikoanalyseWie KMUs auf einfache, effiziente und skalierbare Art und Weise ein Risikomanagement implementieren zeigt Ihnen unser Beitrag

Zudem wird kaum jemand bestreiten, dass Compliance-Anforderungen mehr und mehr auch in das Blickfeld kleiner und mittelgroßer Unternehmen (KMU) rücken. Sei es durch rechtliche Vorgaben, wie das Bundesdatenschutzgesetz (BDSG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), oder durch Anforderung im Zuge spezieller Zertifizierungen, wie z. B. den Normen ISO 27001 (Informationssicherheit) oder IDW PS 951 (internes Kontrollsystem).

Denn all diese Gesetze, Verordnungen, Richtlinien und Normen beinhalten, dass ein Unternehmen ein aktives Risikomanagement implementiert haben muss, wenn es seine Sorgfaltspflicht gegenüber seinen Mitarbeitern und Kunden ernst nehmen sowie eine wert- und erfolgsorientierte Unternehmensführung etablieren will.

Aller Anfang ist schwer

Wenn man in seinem Unternehmen noch kein Risikomanagement eingeführt hat, scheint die Aufgabe erst einmal sehr komplex und man fragt sich, wie sich Risikomanagement „vernünftig“ implementieren lässt. Schließlich sollten Aufwand, Kosten und Nutzen in einem angemessenen Verhältnis zueinander stehen. In einem solchen Fall liefern die Normen „ISO 31000 (Risikomanagement)“, „ISO 27005 (Information Security Risk Management)“ sowie die Standards „Mindestanforderungen an das Risikomanagement (MaRisk)“ der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der „BSI-Standard 100-3 (Risikoanalyse)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hilfreiche Ansatzpunkte.

Jeder dieser Standards hat in Bezug auf die Einführung eines aktiven Risikomanagements Vor- und Nachteile, die es generell abzuwägen gilt. Im Kontext unserer Suche nach einem geeigneten Risikostandard für die ADACOR Hosting GmbH haben wir diese Standards analysiert und auf brauchbare, einfach zu realisierende Ansatzpunkte hin untersucht und ausgewertet. Dabei haben wir letztlich ein Modell entwickelt, das sich an ISO 27005 und BSI 100-3 orientiert, aber über die reinen IT-Risiken hinaus nutzbar ist (z. B. auch in der Risikobewertung von Kundenprojekten und Lieferanten).

Image

Whitepaper zu SLA downloaden

Wieso belastbare Service-Level-Agreements die Basis für performante IT-Services sind, lesen Sie im Whitepaper von ADACOR CEO Thomas Wittbecker.

Nachfolgend stellen wir einen Ansatz vor, der kleinen und mittelgroßen Unternehmen einen einfachen und ressourcenschonenden Einstieg in ein betriebliches Risikomanagement ermöglicht.

Der Ansatz erhebt jedoch keinen Anspruch darauf, einen der vorgenannten Standards komplett zu erfüllen.

Wie funktioniert Risikomanagement?

Will ein Unternehmen erfolgreich ein effizientes Risikomanagement implementieren, ist es von Anbeginn wichtig, die bestmöglichen Voraussetzungen für die Einführung des Instrumentariums zu schaffen. Hierfür sollten alle mit der Implementierung zusammenhängenden Aufgaben bereits im Vorfeld klar definiert und die entsprechenden personellen Verantwortlichkeiten zugewiesen werden. Sind diese Voraussetzungen erfüllt, dann ist Risikomanagement im Wesentlichen sehr einfach, denn es folgt immer dem gleichen Ablauf:

  1. Firmenwerte identifizieren und Risikoszenarien zuordnen
  2. Rahmenparameter definieren und Punktwerte festlegen
  3. Risiken bewerten und Handlungsvorgaben differenzieren
  4. Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen
  5. Wertaktualität überwachen und Prozesskontinuität sicherstellen

1) Firmenwerte identifizieren und Risikoszenarien zuordnen

Unter den Begriff „Firmenwert“ fällt alles, was für das Unternehmen für den Fortbestand des Geschäftsbetriebes relevant ist, wie z. B. Räume, Anwendungen, IT-Systeme, Prozesse, Personal, Lieferanten usw. Bei der Auflistung der Firmenwerte ist unbedingt auf Vollständigkeit zu achten. Es müssen alle Werte identifiziert werden, die potenziell einem Risiko ausgesetzt sind und somit Einfluss auf den Geschäftsbetrieb nehmen können. Die vollständige Firmenwertliste bildet das Fundament eines tragfähigen Risikomanagements.

Dann gilt es, einen Katalog von Risikoszenarien (z. B. Feuer, Überschwemmung etc.) zu erstellen, denen die Firmenwerte ausgesetzt sind. Um hier nicht bei null anfangen zu müssen, legten wir bei ADACOR die Elementargefährdungen aus den Gefährdungskatalogen des BSI zu Grunde. Diese enthalten 47 Risikoszenarien von Feuer über Verschmutzung bis Ressourcenmangel und stellen einen guten Grundstock dar, der ggf. individuell, problemlos und ohne viel Aufwand erweitert werden kann.

2) Rahmenparameter definieren und Punktwerte festlegen

Um einen Rahmen zu schaffen, der es ermöglicht, Risiken angemessen zu bewerten, müssen zuerst die Parameter des Rahmens definiert werden. Dabei wird Risiko klassisch gemäß der Formel berechnet: Risiko = Häufigkeit x Schaden. Damit bei der Risikoanalyse später jede einzelne Risikobewertung nachvollziehbare, gleichbleibende Ergebnisse hervorbringt, müssen für die Parameter Häufigkeit und Schaden verschiedene Stufen festgelegt und sogenannte Punktwerte vergeben werden. Konkret gestaltet sich das bei den einzelnen Parametern wie folgt:

Häufigkeit

Für die Häufigkeit, mit der ein Schadensszenario potentiell eintreten kann, unterscheiden wir hier bei ADACOR drei Stufen, denen wir entsprechende Punktwerte zugeordnet haben:

  • Hoch – täglich bis wöchentlich (3 Punkte)
  • Mittel – monatlich bis jährlich (2 Punkte)
  • Niedrig – seltener als jährlich (1 Punkt)

Relevant ist hierbei die tatsächliche Häufigkeit, mit der das Ereignis zu erwarten ist. Wenn während des 10-jährigen Bestehens des Standortes z. B. der nahegelegene Fluss noch nie über die Ufer getreten ist, kann dieses Szenario nur mit „Niedrig“ bewertet werden. Dass er potentiell jedes Jahr im Frühjahr übertreten könnte, rechtfertigt keine Einstufung auf „Mittel“.

Schaden

Bei der Einschätzung der Folgen eines Schadens stützen wir uns auf die im BSI 100-3 Standard vorgeschlagenen Stufen:

  • Niedrig – keine Folgen (1 Punkt)
  • Mittel – geringe Folgen (2 Punkte)
  • Hoch – hohe Folgen (3 Punkte)
  • Sehr hoch – existenzbedrohende Folgen (4 Punkte)

Allerdings können Schäden in verschiedenen Bereichen eines Unternehmens in sehr unterschiedlicher Qualität entstehen. Um dies in die Risikoanalyse mit einzubeziehen, müssen zusätzlich die Auswirkungen auf die potenziell beeinträchtigen Bereiche für jede Schadensstufe detailliert beschrieben werden. Denkbar sind z. B. Auswirkungen in Bezug auf:

  1. Gesetze, Vorschriften, Verträge
  2. Selbstbestimmungsrecht
  3. Unversehrtheit
  4. Aufgabenerfüllung
  5. Innen-/Außenwirkung
  6. Finanzen

Nachfolgend sehen Sie, wie die detaillierte Schadensdefinition beispielsweise für die Schadensstufe „Niedrig“ aussehen könnte.

Schadensstufe: Niedrig
Bereich Schadensdefinition
Gesetze, Vorschriften, Verträge Verstöße gegen Verträge, Vorschriften und Gesetze sind nicht zu erwarten bzw. ohne Folgen.
Selbstbestimmungsrecht Es ist keine Beeinträchtigung des informationellen Selbstbestimmungsrechts zu erwarten.
Unversehrtheit Es ist keine Beeinträchtigung zu erwarten.
Aufgabenerfüllung Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit des IT- Systems ist größer als 72 Stunden.
Innen-/Außenwirkung Es ist keine bzw. nur eine geringe interne Ansehens- oder Vertrauensbeeinträchtigung zu erwarten.
Finanzen Der finanzielle Schaden ist kleiner als 5.000,- EUR.

Die genauen Schadensdefinitionen je Schadensstufe müssen für jedes Unternehmen individuell formuliert werden, denn hier kann es zu signifikanten Unterschieden kommen. Man vergegenwärtige sich nur einmal, dass z. B. in der Schadensstufe „Sehr hoch“ das eine Unternehmen ab einer Schadenssumme von 5.000.000 EUR existenziell gefährdet ist, ein anderes jedoch möglicherweise bereits ab einer Summe von 500.000 EUR.

3) Risiken bewerten und Handlungsvorgaben differenzieren

Nachfolgend sehen Sie, wie die detaillierte Schadensdefinition beispielsweise für die Schadensstufe „Niedrig“ aussehen könnte.

Aus den oben beschriebenen Definitionen für Schaden und Häufigkeit lässt sich jetzt entsprechend der Formel (Risiko = Häufigkeit x Schaden) die entsprechende Risikomatrix folgern:

Häufigkeit
Schaden Niedrig Mittel Hoch
Niedrig 1 2 3
Mittel 2 4 6
Hoch 3 6 9
Sehr hoch 4 8 12

In Bezug auf den Umgang mit den einzelnen Risiken ist diese Matrix jedoch leider noch nicht aussagekräftig genug. Denn was bedeutet es nun, wenn ein spezifisches Risiko (z. B. ein Blitzschlag) den Wert 2 hat? Um aus den Werten eine konkrete Handlungsanweisung ableiten zu können, müssen noch dazugehörige Handlungsvorgaben unterschieden und konkreten Punktzahlen zugewiesen werden. So kann die unternehmensspezifische „Risikotoleranz“ individuell abgebildet werden.

  • Risiko wird akzeptiert. Keine weitere Behandlung. (Punktzahl 1-2)
  • Risiko muss behandelt werden. Risiko kann akzeptiert werden. (Punktzahl 3-7)
  • Risiko muss behandelt werden. Risiko kann nicht akzeptiert werden. (Punktzahl 8-12)
Häufigkeit
Schaden Niedrig Mittel Hoch
Niedrig 1 2 3
Mittel 2 4 6
Hoch 3 6 9
Sehr hoch 4 8 12

Die Grundlage für die Implementierung eines Risikomanagements ist hiermit gelegt. Nun geht es an die eigentliche Risikoanalyse.

Image

So werden Überraschungen im Projektverlauf fast zum Vergnügen!

Hier erfahren Sie, wie Sie Dank spezieller Hosting-Lösungen Kontrolle und Flexibilität perfekt kombinieren können.

Jetzt informieren

4) Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen

Für die konkrete Durchführung der Risikoanalyse reicht es für den ersten und einfachen Einstieg, die drei bereits genannten Schritte (Firmenwerte identifizieren, Risikoszenarien zuordnen und Risiken bewerten) in einer schlichten Excel-Tabelle abzubilden.

Tabelle Risikoanalyse

Beispiel für Tabelle Risikoanalyse in Excel

Beispiel für Tabelle Risikoanalyse in Excel

Mithilfe dieser Risikoanalyse sehen Sie anhand des zugewiesenen Risikowerts direkt, wo der größte Handlungsbedarf besteht, und können entsprechende Maßnahmen einleiten, um das Risiko zu senken. Die einzelnen Maßnahmen – die in der Liste als zusätzliche Spalten gepflegt werden können – sollten dann entweder die Häufigkeit und/oder den Schaden verringern und im normalen Aufgabenmanagement der Firma verankert sein. Die tatsächliche Umsetzung ist entsprechend zu überwachen.

Image

Eintauchen in die Cloud-Ökonomie?

Unternehmen, die mit Cloud-Technologie ihre IT-Organisation und -Prozesse effektiv unterstützen wollen, stehen vor der Frage:
Wie viel Cloud ist dazu nötig?

Unser IT-Magazin Behind The Scene unterstützt dabei mit einem vielschichtigen Realitätscheck.
Jetzt kostenlos downloaden

5) Wertaktualität überwachen und Prozesskontinuität sicherstellen

Risikomanagement wird als ein fortlaufender zirkulärer Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden. Dies in Verbindung mit der Tatsache, dass Unternehmen sich im ständigen Wandel befinden und ggf. auch kurzfristig auf sich verändernde Anforderungen reagieren können müssen, verdeutlicht, weshalb es in demselben Maße für eine systematische und fundierte Risikoanalyse wichtig ist, die einzelnen Bestandteile regelmäßig auf ihre Aktualität und Stimmigkeit hin zu kontrollieren. Hinzu kommt, dass sich im Laufe der Zeit möglicherweise auch die Risikotoleranz eines Unternehmens verändert. Die Stufen der Rahmenparameter und die dazugehörigen Punktwerte, die Schadensdefinitionen, die Risikobewertungen und die Handlungsanweisungen müssen daher konsequent und fortlaufend validiert werden. Um eine permanente Überwachung der Werte und Prozesse sicherzustellen, hat es sich für die ADACOR Hosting GmbH als gut in den Arbeitsalltag integrierbarer Weg erwiesen, jeden Monat turnusmäßig nur eine bestimmte Anzahl von Firmenwerten zu prüfen, anstatt die gesamte Analyse an einem Stück durchzuführen.

Fazit

Ein einfaches Risikomanagement, das den Ressourcen und Anforderungen kleinerer und mittlerer Firmen gerecht wird, ist – das haben wir am Beispiel der ADACOR Hosting GmbH gezeigt – mit vertretbarem Aufwand implementierbar und liefert wertvolle Einsichten in das Risikoprofil des eigenen Betriebes. Für ein möglichst realistisches Abbilden der Risiken in einem anderen Unternehmen ist es jedoch unerlässlich, den vorgestellten Ansatz der ADACOR mit Blick auf das eigene Unternehmen zu überprüfen und dort wo notwendig ggf. zu erweitern oder zu modifizieren.

Weitergehende Informationen erhalten Sie in unserer Sektion Security & Compliance auf unserer Webseite.

, , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Einsatz von DNS in der Netzwerktechnik

Domains

Einsatz von DNS in der Netzwerktechnik

Bestandteile und Funktionen des Domain Name Systems über Domain-Registrierung bis zum Eintrag auf Nameserver anschaulich erklärt.

weiter lesen

Mobile First

Biz & Trends

ADACOR goes „Mobile First“

Warum die ADACOR eine neue Webseite gelauncht hat.

weiter lesen

DevOps – Steuern und entwickeln

Cloud

DevOps – Steuern und entwickeln

Was die Umstellung auf DevOps für IT-Unternehmen bedeutet.

weiter lesen


Neueste Nachrichten von Adacor

Cloud

Was macht Cloud-Dienste sexy?

Die reflexartige Antwort ist häufig mit dem Thema “Kostenersparnis“ verbunden. Doch dies sollte nicht einziges Ziel sein.

weiter lesen

IT-Compliance

IT Security

IT-Compliance mit System

Wie sich Gesetze und Regeln in der IT einhalten lassen. Ein Drei-Punkte-Programm zur Einhaltung von IT-Compliance.

weiter lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

Neue Serverkonfiguration schützt einfach und effektiv beim Phishing von Reset-Links.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.