• ADACOR
  • FILOO
Adacor - Cloud, Hosting, IT Security

Checkliste Risikomanagement für KMU

Risikomanagement ist ein Thema, an dem auch kleine und mittelgroße Unternehmen in diesen Tagen nicht mehr vorbeikommen.
Wie KMUs auf einfache, effiziente und skalierbare Art und Weise ein Risikomanagement implementieren zeigt Ihnen unser Beitrag.

Compliance-Anforderungen rücken für KMU stärker in den Fokus

Die Anforderungen aus Compliance-Sicht basieren auf zwei Direktiven:

  1. Rechtliche Vorschriften, wie die Europäische Datenschutzgrundverordnung (EU-DSGVO), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)
  2. Spezieller Zertifizierungen, wie die Normen ISO 27001 (Informationssicherheit) oder IDW PS 951 (internes Kontrollsystem)

Alle genannten Gesetze, Verordnungen, Richtlinien und Normen geben vor, dass ein Unternehmen ein aktives Risikomanagement implementiert haben muss, wenn es seine Sorgfaltspflicht gegenüber seinen Beschäftigten und Kunden ernst nehmen sowie eine wert- und erfolgsorientierte Unternehmensführung etablieren will.

Ein Risikomanagement basiert auf Normen und Standards

Für Unternehmen, die noch kein Risikomanagement eingeführt haben, erscheint die Aufgabe zunächst komplex. Außerdem stellt sich die Frage, wie sich ein Risikomanagement „vernünftig“ implementieren lässt. Schließlich sollen Aufwand, Kosten und Nutzen in einem angemessenen Verhältnis zueinanderstehen. In einem solchen Fall liefern die Normen „ISO 31000 (Risikomanagement)“, „ISO 27005 (Information Security Risk Management)“ sowie die Standards „Mindestanforderungen an das Risikomanagement (MaRisk)“ der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der „BSI-Standard 200-3 (Risikomanagement)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hilfreiche Ansatzpunkte.

Jeder dieser Standards hat in Bezug auf die Einführung eines aktiven Risikomanagements Vor- und Nachteile, die es generell abzuwägen gilt. Im Kontext unserer Suche nach einem geeigneten Risikostandard für die Adacor Hosting GmbH haben wir diese Standards analysiert und auf brauchbare, einfach zu realisierende Ansatzpunkte hin untersucht und ausgewertet. Dabei haben wir letztlich ein Modell entwickelt, das sich an ISO 27005 und BSI 100-3 orientiert, aber über die reinen IT-Risiken hinaus nutzbar ist (z. B. auch in der Risikobewertung von Kundenprojekten und Lieferanten).

Verfügbarkeitstabelle jetzt downloaden

Finden Sie heraus, wie Sie die Qualität Ihrer bestehenden IT-Infrastruktur messen.
Alle Details lesen Sie im Whitepaper von Adacor-CEO Thomas Wittbecker. Infos zum Datenschutz

Wie KMUs einfach und ressourcenschonend in das betriebliche Risikomanagement einsteigen

Der Ansatz erhebt jedoch keinen Anspruch darauf, einen der vorgenannten Standards komplett zu erfüllen.

Wie funktioniert Risikomanagement?

Wenn ein Unternehmen ein effizientes Risikomanagement mit Erfolg implementieren will, müssen die Voraussetzungen dafür bereits im Vorfeld geschaffen werden. Das funktioniert, in dem ein Betrieb alle mit der Einführung zusammenhängenden Aufgaben vorab klar definiert und die dazugehörigen personellen Verantwortlichkeiten zuweist. Sind diese Voraussetzungen erfüllt, dann ist Risikomanagement im Wesentlichen sehr einfach, denn es folgt immer dem gleichen Ablauf:

  1. Firmenwerte identifizieren und Risikoszenarien zuordnen
  2. Rahmenparameter definieren und Punktwerte festlegen
  3. Risiken bewerten und Handlungsvorgaben differenzieren
  4. Risikoanalyse durchführen und Gegenmaßnahmen definieren und umsetzen
  5. Wertaktualität überwachen und Prozesskontinuität sicherstellen

1) Firmenwerte identifizieren und Risikoszenarien zuordnen

Der Begriff „Firmenwert“ umfasst alles, was im Unternehmen für den Fortbestand des Geschäftsbetriebs wichtig ist. Dazu zählen Räume, Anwendungen, IT-Systeme, Prozesse, Personal und Lieferanten. Bei der Zusammenstellung der Firmenwerte ist auf Vollständigkeit zu achten. Es müssen alle Werte identifiziert werden, die potenziell einem Risiko ausgesetzt sind und damit Einfluss auf den Geschäftsbetrieb nehmen können. Die vollständige Firmenwertliste bildet das Fundament eines tragfähigen Risikomanagements.

Anschließend gilt es, die Risikoszenarien (zum Beispiel Feuer, Überschwemmung), denen die Firmenwerte ausgesetzt sind, zu katalogisieren. Um nicht bei Null anfangen zu müssen, haben wir bei Adacor die Elementargefährdungen aus den Gefährdungskatalogen des BSI zugrunde gelegt. Die 47 Risikoszenarien von Feuer über Verschmutzung bis zum Ressourcenmangel bilden einen soliden Grundstock dar, der entsprechend der individuellen Bedürfnisse ohne viel Aufwand erweitert werden kann.

2) Rahmenparameter definieren und Punktwerte festlegen

Für einen Rahmen, mit dem Risiken angemessen bewerten werden können, müssen zuerst die passenden Parameter definiert werden. Dabei wird das Risiko klassisch gemäß der folgenden Formel berechnet: Risiko = Häufigkeit x Schaden. Damit bei der späteren Risikoanalyse jede einzelne Risikobewertung nachvollziehbare, gleichbleibende Ergebnisse ergibt, müssen für die Parameter „Häufigkeit“ und „Schaden“ verschiedene Abstufungen festgelegt und Punktwerte vergeben werden. Konkret gestaltet sich das bei den einzelnen Parametern wie folgt:

Tatsächliche Häufigkeit

Bei der Häufigkeit, mit der ein Schadensszenario potentiell eintreten kann, unterscheiden wir drei Stufen, denen wir entsprechende Punktwerte zugeordnet haben:

  • Hoch – täglich bis wöchentlich (3 Punkte)
  • Mittel – monatlich bis jährlich (2 Punkte)
  • Niedrig – seltener als jährlich (1 Punkt)

Relevant ist hierbei die tatsächliche Häufigkeit, mit der das Ereignis zu erwarten ist. Wenn während des 10-jährigen Bestehens des Standortes z. B. der nahegelegene Fluss noch nie über die Ufer getreten ist, kann dieses Szenario nur mit „Niedrig“ bewertet werden. Dass er potentiell jedes Jahr im Frühjahr übertreten könnte, rechtfertigt keine Einstufung auf „Mittel“.

Ist Ihnen die Atlassian-Cloud nicht gut genug?

Adacor CIO Andreas Bachmann erklärt, warum extern gemanagte Lösungen von Jira oder Confluence besser abschneiden.
Jetzt mehr erfahren!

Schaden

Bei der Einschätzung der Folgen eines Schadens stützen wir uns auf die im BSI 100-3 Standard vorgeschlagenen Stufen:

  • Niedrig (zu vernachlässigen) – keine Folgen (1 Punkt)
  • Mittel (begrenzt) – geringe Folgen (2 Punkte)
  • Hoch (beträchtlich) – hohe Folgen (3 Punkte)
  • Sehr hoch (existenzbedrohend) – existenzbedrohende Folgen (4 Punkte)

Allerdings können Schäden in verschiedenen Bereichen eines Unternehmens in sehr unterschiedlicher Qualität entstehen. Um dies in die Risikoanalyse mit einzubeziehen, müssen zusätzlich die Auswirkungen auf die potenziell beeinträchtigen Bereiche für jede Schadensstufe detailliert beschrieben werden. Denkbar sind beispielsweise Auswirkungen in Bezug auf:

  1. Gesetze, Vorschriften, Verträge
  2. Selbstbestimmungsrecht
  3. Unversehrtheit
  4. Aufgabenerfüllung
  5. Innen-/Außenwirkung
  6. Finanzen

Nachfolgend sehen Sie, wie die detaillierte Schadensdefinition beispielsweise für die Schadensstufe „Niedrig“ aussehen könnte.

Schadensstufe: Niedrig
Bereich Schadensdefinition
Gesetze, Vorschriften, Verträge Verstöße gegen Verträge, Vorschriften und Gesetze sind nicht zu erwarten bzw. ohne Folgen.
Selbstbestimmungsrecht Es ist keine Beeinträchtigung des informationellen Selbstbestimmungsrechts zu erwarten.
Unversehrtheit Es ist keine Beeinträchtigung zu erwarten.
Aufgabenerfüllung Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit des IT- Systems ist größer als 72 Stunden.
Innen-/Außenwirkung Es ist keine bzw. nur eine geringe interne Ansehens- oder Vertrauensbeeinträchtigung zu erwarten.
Finanzen Der finanzielle Schaden ist kleiner als 5.000,- EUR.

Jedes Unternehmen formuliert die Schadensdefinitionen je Schadensstufe auf sehr individuelle Art und Weise. Dabei kann es zu signifikanten Unterschieden kommen. Beispielsweise könnte eine Firma in der Schadensstufe „Sehr hoch“ erst ab einer Schadenssumme von 5.000.000 Euro existenziell gefährdet sein, ein anderer Betrieb möglicherweise schon ab 500.000 Euro.

3) Risiken bewerten und Handlungsvorgaben differenzieren

Folgende Zusammenfassung zeigt, wie die detaillierte Schadensdefinition für die Schadensstufe „Niedrig“ aussehen könnte. Aus den oben beschriebenen Definitionen für Schaden und Häufigkeit lässt sich entsprechend der Formel (Risiko = Häufigkeit x Schaden) eine Risikomatrix erstellen:

Häufigkeit
Schaden Niedrig Mittel Hoch
Niedrig 1 2 3
Mittel 2 4 6
Hoch 3 6 9
Sehr hoch 4 8 12

Bezüglich des Umgangs mit den einzelnen Risiken ist diese Matrix nicht aussagekräftig genug. So ist ungeklärt, was es bedeutet, wenn ein spezifisches Risiko (zum Beispiel ein Blitzschlag) den Wert 2 hat? Um aus den Werten eine konkrete Handlungsanweisung ableiten zu können, müssen die dazugehörigen Handlungsvorgaben unterschieden und konkreten Punktzahlen zugewiesen werden. Damit kann die unternehmensspezifische „Risikotoleranz“ individuell abgebildet werden.

  • Risiko wird akzeptiert. Keine weitere Behandlung. (Punktzahl 1-2)
  • Risiko muss behandelt werden. Risiko kann akzeptiert werden. (Punktzahl 3-7)
  • Risiko muss behandelt werden. Risiko kann nicht akzeptiert werden. (Punktzahl 8-12)

Die Grundlage für die Implementierung eines Risikomanagements ist hiermit gelegt. Nun geht es an die eigentliche Risikoanalyse.

Wie Cloud Computing Unternehmen zu Siegern macht

Managed-Cloud-Lösungen bieten Unternehmen effektive Vorteile.

Sichern Sie sich jetzt mit unseren Cloud-Diensten einen Vorsprung!

4) Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen

Für die konkrete Durchführung der Risikoanalyse reicht es für den ersten und einfachen Einstieg, die drei bereits genannten Schritte (Firmenwerte identifizieren, Risikoszenarien zuordnen und Risiken bewerten) in einer schlichten Excel-Tabelle abzubilden.

Tabelle Risikoanalyse

Beispiel für Tabelle Risikoanalyse in Excel

Beispiel für Tabelle Risikoanalyse in Excel

Anhand des zugewiesenen Risikowerts erkennt man bei der Risikoanalyse direkt, wo der größte Handlungsbedarf besteht. Die Einleitung passender Maßnahmen senkt das Risiko. Jede einzelne Maßnahme kann in der Liste als zusätzliche Spalten gepflegt werden. Sie sollte entweder die Häufigkeit oder den Schaden verringern und im normalen Aufgabenmanagement der Firma fest verankert sein. Die tatsächliche Umsetzung ist zu überwachen.

5) Wertaktualität überwachen und Prozesskontinuität sicherstellen

Risikomanagement wird als ein fortlaufender zirkulärer Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden. Die Tatsache, dass Unternehmen einem ständigen Wandel unterliegen und oft kurzfristig auf sich verändernde Anforderungen reagieren können müssen, verdeutlicht, weshalb es in demselben Maß für eine systematische und fundierte Risikoanalyse wichtig ist, die einzelnen Bestandteile regelmäßig auf Aktualität und Stimmigkeit hin zu überprüfen. Hinzu kommt, dass sich im Laufe der Zeit die Risikotoleranz eines Unternehmens verändern kann. Die Stufen der Rahmenparameter und die dazugehörigen Punktwerte, die Schadensdefinitionen, die Risikobewertungen und die Handlungsanweisungen müssen daher konsequent und fortlaufend validiert werden. Um eine permanente Überwachung der Werte und Prozesse sicherzustellen, hat es sich für uns als sehr gut in den Arbeitsalltag integrierbarer Weg erwiesen, jeden Monat turnusmäßig nur eine bestimmte Anzahl von Firmenwerten zu prüfen, anstatt die gesamte Analyse an einem Stück durchzuführen.

Fazit

Das Beispiel unserer eigenen Firma zeigt, dass ein einfaches Risikomanagement, das den Ressourcen und Anforderungen kleinerer und mittlerer Firmen gerecht wird, mit vertretbarem Aufwand implementiert werden kann. Es liefert schnell wertvolle Einsichten in das Risikoprofil des Betriebes. Für eine möglichst realistische Abbildung der Risiken in einem anderen Unternehmen ist es unerlässlich, den vorgestellten Ansatz mit Blick auf die eigene Firma zu überprüfen und notwendige Erweiterungen und/oder Modifizierungen vorzunehmen.

Weitergehende Informationen erhalten Sie in unserer Sektion Security & Compliance auf unserer Webseite.

Wir haben diesen Beitrag im Februar 2019 inhaltlch überarbeitet.

Erhalten Sie aktuelle Fachartikel von IT-Experten.
2 x im Monat. Jetzt anmelden.

Tags: , , , , ,

Verwandte Artikel