IT-Risikomanagement mit System

Ein grosser und in den Grundlagen des Risikomanagements anspruchsvoller Teil liegt in der methodischen Erkennung, Analyse, Verwaltung und der Kommunikation der Risiken. Auf der Basis einer qualitativen oder quantitativen Einstufung der Risiken sowie einiger weiterer Kriterien sollen möglichst optimale Massnahmen-Lösungen gefunden und umgesetzt werden; in einer prozessorientierten, nachvollziehbaren Abwicklung des Risikomanagements ist es auch wichtig, inwiefern die nach der Risiko-Behandlung verbleibenden Restrisiken in einem Risiko-Portfolio toleriert und ohne weitere Behandlung bewusst getragen werden können. In diesem Kapitel werden, ausgehend von Eigenschaften und den möglichen Darstellungsweisen eines Risikos, einige grundlegenden Vorgehensweisen und Instrumente für das Risikomanagement in einem Unternehmen behandelt.

Nachdem in den vorangegangenen Kapiteln grundlegende Elemente, Definitionen und Hilfsmittel für das Risikomanagement (RM) erarbeitet wurden, wird in diesem Kapitel der allgemeine Prozess des Risikomanagements behandelt. Im Sinne einer Integration des Informationssicherheits-, IT-, und Cyber-RM in das Unternehmens-RM sind die Vorgehensweisen für die unterschiedlichen Anwendungen eines RM, insbesondere bezüglich der vielfältigen Risiko-Assessment-Methoden, in diesem Kapitel möglichst allgemein gehalten. Der spezifische Einsatz des Risikomanagement-Prozesses für IT- und Informationssicherheits-Risiken (z. B. im Rahmen eines Informationssicherheits-Management-Systems) ist sodann im Teil III des Buches, mit entsprechenden Beispielen, ausführlich behandelt. Auf die Integration der Geschäftskontinuität und der Cyber-Sicherheit wird im Teil IV des Buches eingegangen.

Das Risikomanagement in einem Unternehmen und das in diesem Buch im Detail behandelte Informationssicherheits-, IT- und Cyber-Risikomanagement können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen.

Deshalb behandelt der Teil II dieses Buches die wichtigsten Anforderungen, wie sie aus der Sicht der Unternehmensführung im Rahmen eines integrierten Risikomanagements auch für die Informationssicherheits-, IT- und Cyber-Risiken zutreffen. In diesem Kap. 4 werden zunächst die wesentlichen Eigenschaften und die Positionierung der Führungsprozesse im Unternehmen anhand des St. Galler Management Modells veranschaulicht. Aus der Sicht der Unternehmensführung werden die sich gegenseitig beeinflussenden drei Handlungsstränge „Governance“, „Risikomanagement“ und „Compliance“ behandelt. Im Rahmen dieser Handlungsstränge sind vorab die äusseren an das Unternehmen gerichteten Anforderungen der Gesetzgeber, Regulatoren und Vertragspartner sowie der Anspruchsgruppen mit Anspruch und Einfluss auf das Risikomanagement eines Unternehmens wichtig. Viele der an ein Unternehmen gerichteten gesetzlichen Anforderungen beinhalten auch das Management der Informationssicherheits-, IT- und neuerdings der Cyber-Risiken. Neben den etablierten Gesetzgebungen, wie das deutsche KonTraG, das Schweizerisches Obligationenrecht, das US-amerikanische Sarbanes-Oxley-Gesetz oder die diversen Datenschutzgesetze und Datenschutzrichtlinien, können einige neuere für IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit spezifischen Gesetze wie das deutsche IT-Sicherheitsgesetz oder das Schweizerische Informationssicherheits-Bundesgesetz relevant werden. Externe Anforderungen kommen auch von Seiten der Regulierer oder von empfohlenen Kodizes, wie dem „Swiss Code of Corporate Governance“. Zu berücksichtigen beim Umgang mit Risiken sind auch die Medien, die als Sprachrohr für verschiedene Anspruchsgruppen wahrgenommen werden müssen. Das Kapitel beschliesst mit der Beleuchtung der für das Risikomanagement in einem Unternehmen notwendigen Führungsfunktionen.

Die in diesem Buch hauptsächlich zur Diskussion stehenden sogenannten „Downside-Risiken“ wirken, im Gegensatz zu den „Upside-Risiken“, den Erfolgszielen und dem Erhalten von Werten eines Unternehmens entgegen. Dies gilt auch für die Informationssicherheits-, IT- und Cyber-Risiken, die hinsichtlich der möglichen äusseren Chancen und Bedrohungen wie auch hinsichtlich der internen Stärken und Schwächen eines Unternehmens zu berücksichtigen sind. In einem effektiven, im Management-System des Unternehmens verankerten Risikomanagement gilt es doch, nicht nur die Chancen, sondern auch die durch die Bedrohungen verursachten Risiken für nachhaltige Prosperität und Lebensfähigkeit des Unternehmens zu behandeln. Ein solcher Umgang mit Risiken soll durch ein ganzheitliches „Integriertes Risikomanagement“ erfüllt werden. In Anlehnung an die zurzeit gebräuchlichen Management-Konzepte wie beispielsweise das St. Galler-Management-Konzept [Bleic11], das „Balanced Scorecard“-Konzept [Kapl01] und die aktuell standardisierten „Management-Systeme“ (z. B. Qualitäts-Management-System nach ISO 9001:2015 [Isoq15] oder Informationssicherheits-Management-System nach ISO/IEC 27001:2013 [Isom13]), werden in diesem Kapitel die Umsetzung der äusseren und inneren Anforderungen an das Risikomanagement in einem Unternehmen diskutiert und behandelt.

Nachdem im Teil I des Buches die Grundlagen für das Risikomanagement und im Teil II die Anforderungen an die Unternehmen vor allem hinsichtlich eines integrierten Risikomanagements behandelt wurden, wird in diesem Teil III das Risikomanagement vor allem aus der Sicht der Informationssicherheit und der IT behandelt. In diesem Kap. 6 wird das in Abschn. 2.​3 vorgestellte Modell, dessen Verwendung in der IT und der Informationssicherheit sehr beliebt ist, in einigen dafür wichtigen Zusammenhängen wiederholt dargestellt. Es wird ein Einblick in die Bedeutung der Informationssicherheits- und der IT-Risiken gegeben. Sodann werden die Disziplinen Informationssicherheit und IT-Sicherheit sowie Informations-Risiken und IT-Risiken voneinander abgegrenzt. Dazu werden die für die Informations-Risiken und deren Behandlung wichtigen Kriterien und Begriffe erläutert. Auch wird, sozusagen als Vorspann zu den in den nächsten Kapiteln zu behandelnden konkreten Methoden und Verfahren, ein genereller Einblick in die Möglichkeiten des Informationssicherheits- und IT-Risikomanagements vermittelt.

Die Leistung der „Informations- und IT-Sicherheit“ äussert sich vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten Informations-Risikomanagement, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. Zum Informations-Risikomanagement gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.

Im Teil II dieses Buches wurden bereits die Anforderungen eines Unternehmens-Risikomanagements aus der Sicht der Corporate-Governance behandelt. Bevor in diesem Buch die Inhalte, Methoden und Verfahren des Informations-Risikomanagements im Einzelnen behandelt werden, soll deshalb festgehalten werden, wo die beiden Disziplinen IT-Risikomanagement und Informationssicherheits-Risikomanagement im Fokus der Unternehmens-Governance zu positionieren sind.

Die ISO differenziert mit zwei verschiedenen Standards zwischen der „IT-Governance“ und der „Information Security Governance“. Beide Standards führen die Aufgaben der oberen Führungspersonen unter den Begriffen „Evaluate“, „Direct“ und „Monitor“ auf. Zu den beiden sich teilweise überschneidenden Governance-Bereichen gehört auch jeweils ein entsprechendes Risikomanagement.

Während sich die „IT-Governance“ vor allem auf die Umsetzung der geschäftlichen Anforderungen durch die Informationstechnologie bezieht, nimmt die „Informationssicherheits-Governance“ Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, die sowohl in „Gefässen“ der Informationstechnologie (IT), als auch in nichttechnologischen „Erscheinungsformen“ existieren (z. B. Handnotizen auf Papier) kann.

Das IT Governance Institut der ISACA definiert IT-Governance als Verantwortlichkeit des Verwaltungsrats und der Geschäftsleitung als integralen Bestandteil der Corporate-Governance. Aufgrund der Wichtigkeit der Informationssicherheit hat das IT Governance Institut auch Anleitungen zur Umsetzung der „Informationssicherheits-Governance“ herausgegeben, die in diesem Kapitel wiedergegeben werden. Darin kommen „Best Practices“ hinsichtlich Informationssicherheit für die Ebenen des Verwaltungsrats und der Geschäftsleitung zum Ausdruck. Zusätzlich zur Behandlung des Wesens und der Abgrenzung der beiden Governance Bereiche werden in diesem Buch-Kapitel auch einige für die Risikomanagement-Aufgaben der beiden Governance-Bereiche notwendigen Führungsrollen aufgezeigt. Die Rollenbeschreibungen enthalten neben den Führungspflichten auch die notwendigen Kontrollfunktionen und Organisationsprinzipien (z. B. Gewaltentrennung).

Nach der Behandlung der Governance Aspekte und der möglichen organisatorischen Strukturen und Funktionen im Unternehmen, stellt sich nun die Frage, wie das Informations-Risikomanagement in der Praxis konkret umgesetzt werden kann. Zur Umsetzung bedarf es der Instrumente, aber auch einer Zuordnung von Aufgaben, Verantwortlichkeiten und Kompetenzen sowie der für die Umsetzung notwendigen Ressourcen. Wie in einem grösseren Unternehmen die Umsetzung der Governance und des Managements des Informations-Risikomanagements und der Informationssicherheit sowohl in Bezug auf die Führungsebenen als auch hinsichtlich praktikabler Führungsinstrumente durchführbar ist, wird anhand einer sogenannten Führungspyramide visualisiert.

Für die Kommunikation, die Anweisung und Kontrolle der Umsetzung des Risikomanagements, vor allem hinsichtlich der Informationssicherheit, sind die Policies und für die technische Umsetzung die Sicherheitskonzepte praktikable Mittel. Die Aufteilung von Policy-Themen kann mittels eines gezeigten beispielhaften Rahmenkonzepts erfolgen.

Bezüglich der Ressourcenplanung sind, neben den wichtigen Personal-Ressourcen, auch technische Mittel notwendig, die zu einem grossen Teil in der Form von Sicherheitsmassnahmen, im Rahmen einer „IT-Sicherheitsarchitektur“, zum Einsatz gelangen sollen. Eine solche Architektur soll, im Einklang mit der Forderung nach „risikobasierten Massnahmen“, vorausschauend und nach Wirksamkeits- und Effizienzkriterien geplant, umgesetzt und betrieben werden. Anhand von Beispielen wird gezeigt, wie eine solche Architektur mit Einzel-„Bausteinen“ aufgebaut werden kann. Sowohl mittels Bausteinen einer unternehmenseigenen Sicherheitsarchitektur als auch mit einzelnen aus Grundschutzkatalogen (Baseline Security Standards) entnommenen Bausteinen ist es möglich und sinnvoll, für die typische Risiko-Exponierung des Unternehmens einen breiten, wenn auch nicht alle Anforderungen abdeckenden Schutz im Unternehmen einzuführen und zu unterhalten. Bevor das Kapitel mit Empfehlungen für risikobasierte IT-Sicherheitskonzepte abschliesst, wird eine sinnvolle Koexistenz von „Grundschutz und risikobasierten Massnahmen“ diskutiert.

Die in diesem Kapitel aufgeführten Standards oder Rahmenwerke und Referenzmodelle, die den Status eines „De-facto-Standards“ haben, werden in diesem Kapitel als „Standard-Regelwerke“ bezeichnet. Aus den vielzähligen Standard-Regelwerken sind einige wichtige ausgewählt, die mit einem grossen Anteil dem Risikomanagement der Informationssicherheit und der Informations-Technologie im Unternehmen dienen. Die Behandlung der ausgewählten Standard-Regelwerke erfolgt dabei möglichst übersichtsweise in der Aufführung einiger wesentlicher Merkmale und Zusammenhänge. Für weitergehende und tiefere Informationen zu einzelnen Punkten ist jeweils auf die Originalquellen und die zahlreich vorhandene Spezialliteratur verwiesen. Viele dieser Standard-Regelwerke weisen für ihren Anwendungszweck Überschneidungen untereinander auf. Dennoch verfolgt jedes Standard-Regelwerk einen bestimmten Zweck und verfügt für die Anwendung bevorzugte Gesichtszüge, die aus den Beschreibungen entnommen werden können. Besonders den verschieden Rahmenwerken der „COBIT 5“-Reihe von ISACA und den Standards der ISO/IEC 270xx, wird ein jeweils grosser Buchabschnitt eingeräumt, da sie in ihrem Anwendungszweck u. a. ganzheitliche Lösungen für das Informations-Risikomanagement verfolgen und einen grossen Teil der in diesem Buch aufgegriffenen Themen tangieren. Für die prozessorientierte Umsetzung solcher Standard-Regelwerke, zu denen auch das Servicemanagement nach ITIL und ISO/IEC 20000-x gehören, wird auf den Standard ISO/IEC 33020 eingegangen. Mit diesem Standard können die Prozessfähigkeiten, alternativ zu den Reifegrad-Modellen des früheren „COBIT 4.1“-Rahmenwerks, beurteilt werden. In einem abschliessenden Abschnitt dieses Kapitels werden Praxishinweise für die Einführung und den Einsatz von Standard-Regelwerken gegeben.

Das Buch soll in erster Linie die Risiken und speziell die Informationssicherheits-, IT und Cyber-Risiken aus der Perspektive des Unternehmens und seiner Governance behandeln. Wie die individuellen Anforderungen für die einzelnen Risikobereiche sind auch die Methoden und Hilfsmittel verschieden. Deshalb werden in diesem Kapitel einige ausgesuchte Methoden behandelt, die an verschiedenen Stellen des Risikomanagement-Prozesses zur systematischen Bearbeitung der Aufgaben eingesetzt werden können. So wird beispielsweise die praktische Umsetzung des gesamten Risikomanagement-Prozesses anhand des Aufbaus und der Erstellung eines Sicherheitskonzepts für ein IT-System oder für einen anderen Teilbereich der IT gezeigt. Eine andere Möglichkeit, wie ein Informationssicherheits-Prozess mittels einer entsprechenden Software durchgeführt werden kann, ist an der sogenannten CRAMM-Methode veranschaulicht. Für die Lösung einzelner Probleme des Informations-Risikomanagements, wie die der Risiko-Identifikation oder Risiko-Analyse, bestehen verschiedene Vorgehensweisen (z. B. Bottom-up und Top-down-Methoden oder Vorwärts- und Rückwärts-Suchmethoden). Solche Methoden werden in diesem Buch-Kapitel beispielhaft an den Methoden „Fehlermöglichkeits- und Einfluss-Analyse“ (FMEA), „Fehlerbaum-Analyse“ (FTA) sowie „Ereignisbaum-Analyse“ (ETA) in ihren wesentlichen Eigenschaften werden. Neben den in diesem Kapitel ausführlich behandelten Methoden und Werkzeugen, können für den konkreten Anwendungsfall viele weitere in Frage kommen. Für deren Beschreibung, Auswahl und Einsatzweise sei an dieser Stelle auf die zu diesem Thema weitergehende Literatur ([Knol14], S. 155–202) hingewiesen.

In diesem Buch soll das Risikomanagement vor allem aus den Perspektiven der Governance und der Compliance auf die Vorgehensweisen rund um die Risiken der Informationstechnologien und Informationen heruntergebrochen werden. Wie in Abschn. 5.​5.​1 ausgeführt, erwarten die Anspruchsgruppen von der Governance eines Unternehmens, dass das Unternehmen Nutzen generiert unter gleichzeitiger Optimierung der Risiken und der Optimierung der dafür notwendigen Ressourcen. Das heute praktizierte Risikomanagement der Informationssicherheit zielt vor allem auf die Verhinderung von Risiko-Ereignissen und der Verminderung grosser Schäden ab. Inwieweit daraus ein Nutzen für das Unternehmen generiert wird ist mit den gebräuchlichen Methoden schwer zu beantworten. Jedoch sind die Fragen der Nutzengenerierung bei der Finanzierung der meist aufwendigen und kostenintensiven Sicherheitsmassnahmen notwendig. In diesem Kapitel werden daher einige der heute angewandten Lösungsansätze zur möglichen Optimierung von Informationssicherheits-Risiken unter gleichzeitiger Optimierung der Ressourcen diskutiert. Das heute oft angewandte Verfahren einer „Return on Security Investments“-Berechnung (ROSI) ist in einigen Aspekten fragwürdig, wie aus den Ausführungen dieses Kapitels hervorgeht. Die Nutzenbestimmung auf die Erfüllung der an das Unternehmen gestellten Anforderungen und Bewertung der Erfüllung von Unternehmenszielen zurückzuführen, ist ein alternativer und erfolgversprechender Ansatz. Selbstverständlich gilt es auch bei einem solchen Ansatz den Risiken weiterhin angemessene Massnahmen entgegenzusetzen und die Kosten der Massnahmen mit geeigneten Verfahren, wie sie in diesem Kapitel vorgeschlagen werden, zu kontrollieren.

In diesem Kapitel wird veranschaulicht, wie der Informations-RM-Prozess und auch andere unternehmensinterne RM-Prozesse mit dem Gesamt-RM-Prozess und dem Strategie-Prozess verzahnt werden können. Dabei werden die Kompatibilitätsanforderungen der verschiedenen ineinandergreifenden Prozesse diskutiert. Bei den subsidiär betreuten Risikomanagement-Prozessen wird beispielsweise gezeigt, wie mit einer IT-Risiko-Ownership, den sogenannten „IT-System-Owner“ die Risiko-Verantwortlichkeit in ihrem Systembereich zugeteilt werden kann.

An einem Prozess-Beispiel wird schliesslich veranschaulicht, wie die verschiedenen Unternehmens-Prozesse und Sub-Prozesse im Jahresablauf mit ihren Aufgaben und Ergebnissen im Rahmen eines Strategieprozesses und eines Gesamt-Risikomanagement-Prozesses aufeinander abgestimmt werden können.

Plötzlich eingetretene Ereignisse können Schäden für einen Teil des Unternehmens aber auch für ein ganzes Unternehmen nach sich ziehen. Plötzlich erkennbare Gefahren und Schwachstellen können aber auch die Vorboten grosser Schäden sein, wenn sie nicht sofort und adäquat behandelt werden. Ausgehend von Erläuterungen über den Erhalt von Unternehmenszielen durch ein gutes Geschäfts-Kontinuitätsmanagement und eine IT-Notfallplanung, werden in diesem Kapitel einige wichtigen „Pläne“ zum Erhalt dieser Ziele aufgezeigt. Die ganzheitliche Sicht auf die Behandlung von Schadensfolgen, nach eingetretenen Ereignissen, wird durch ein Geschäfts-Kontinuitätsmanagement, als wichtige Massnahme innerhalb eines übergeordneten Unternehmens-Risikomanagements, gezeigt. Im Rahmen dieses Buches gehört zu den in das Geschäfts-Kontinuitätsmanagement zu integrierenden Pläne vor allem der IT-Notfallplan, der zusammen mit einem für die Informationssicherheits-Ereignisse wichtigen Incident-Management und Vulnerability-Management in wesentlichen Zügen erläutert wird. Aus der Unterscheidung von „Events“ und „Incidents“ in der Informationssicherheit wird klar, dass gerade bei den heute für viele Unternehmen sehr gefährlichen Cyber-Bedrohungen umfangreiche Massnahmen der Prävention (z. B. im Rahmen eines Vulnerability Managements) erforderlich sind, um grosse Schadensereignisse und deren Eskalation abzuwenden oder einzudämmen. Als solche grossen Schadensereignisse gelten nicht alleine die Unterbrechungen von Geschäftsprozessen, sondern auch Beschädigungen von Geschäftsinformationen oder Abflüsse von vertraulichen Geschäftsinformationen. Der Rahmen eines Kontinuitäts-Management-Systems, der früher ausschliesslich den „Unterbrechungsereignissen“ gewidmet war, wird heute meist sinnvollerweise auf die „plötzlich erkennbaren Ereignisse“, die Schäden nach sich ziehen können, erweitert.

Die mit der Informationssicherheit und IT-RM-Prozessen zu schützenden Güter sind die Informationen und ihre „Gefässe“, namentlich die Systeme. Zu solchen Systemen und ihren Subsystemen gehören Prozesse, Services, Applikationen, Software, Hardware, technische Infrastruktur und Kommunikations-Einrichtungen und nicht zuletzt Menschen. Die Informationen wie auch die Systeme mit ihren Subsystemen gilt es während ihres gesamten Lebenszyklus angemessen zu schützen.

In diesem Kapitel wird gezeigt, wie beim Umgang mit Informationen (z. B. in Arbeitsgeräten) die Informationen in Schutzphasen und Schutzanforderungen eingeteilt und entsprechend der Schutzanforderungen geschützt werden können. Die Risiken und der Schutz von Informationen hängen auch von Situationen, Prozessen, Aktivitäten und Entscheiden im Lebenszyklus ihrer Systeme ab. Das Konzept von Lebenszyklen wird zum einen auf Vorgehens- und Management-Methoden in IT-Projekten und zum anderen auf IT-Services und IT-Applikationen angewandt. Wie das Risikomanagement und die Informationssicherheit beim Projektmanagement berücksichtigt werden kann, wird zunächst an einem pragmatischen Verfahren mittels „First Cut“ und „IT-Sicherheitskonzept“ und sodann anhand der Methoden „V-Modell XT“ und „HERMES 5.1“ gezeigt. Die Berücksichtigung vor allem der Informationen in den Lebenszyklen von Services und Applikationen wird anhand des „ITIL-Applikations-Lifecycle“ sowie dem ISO-Standard ISO/IEC 27034-x für Applikationssicherheit behandelt.

Viele Unternehmen prüfen die Möglichkeiten, einige ihrer aufwändigen Prozesse zu „outsourcen“. Das „Outsourcing“ kann für ein Unternehmen eine Reihe von Vorteilen haben, wie Komplexitätsreduktion, Variabilisierung von Fixkosten; vor allem aber die Reduktion der Kosten in der Grössenordnung von 20 %. Bei aller Attraktivität eines Outsourcing, insbesondere der Kosteneinsparungsmöglichkeiten, müssen die neuen Kosten und sonstigen Nachteile, vor allem die der Sicherheit und der Risiken, frühzeitig in die Betrachtungen einbezogen werden. Bezogen auf die Phasen des Gartner-Sourcing-Lifecycles wird in diesem Kapitel ein Vorgehen gezeigt, bei dem sowohl Auftraggeber als auch Dienstleister das Informations-Risikomanagement mittels eines entsprechend strukturierten IT-Sicherheitskonzepts vornehmen. In der gemeinsamen Vertragsausarbeitung wird sodann, als integrierender Bestandteil des Sourcing-Vertrags, ein gemeinsames Sicherheitskonzept erstellt, das von beiden Vertragspartnern akzeptiert und eingehalten wird.

Dieses Kapitel kommt in logischer Folge nach dem Kapitel über Outsourcing, da viele Aspekte des „Outsourcing“ sowohl aus der Sicht des Anbieters als auch aus Sicht des Kunden respektive des Konsumenten beim Cloud-Computing ebenfalls zutreffen. Auch können die Prozesse für das Risikomanagement und das Sicherheitsmanagement, soweit diese generisch sind, beim Cloud-Computing angewandt werden.

Hingegen erfordert die Virtualisierung von IT-Komponenten und die Inanspruchnahme von IT-Leistungen in der Form von „Services aus der Steckdose“ eine neue Art der Risiko-Ermittlung und Massnahmenbestimmung, um sowohl auf der Anbieterseite als auch auf der Kundenseite akzeptable Restrisiken erreichen zu können.

Um in diesem Buch die Möglichkeiten des Risikomanagements und der Informationssicherheit erfassen zu können, muss vorab das Wesen, die Möglichkeiten und die Varianten des Cloud-Computings in den wesentlichen Charakterzügen und Modellen behandelt werden. Für eine allgemein anerkannte Terminologie werden die Definitionen der US-amerikanischen für Standardisierungen zuständigen Bundesbehörde NIST (NIST = National Institute of Standards and Technology) verwendet [Nide11]. Diese Definitionen der NIST werden mehrheitlich auch in den internationalen Standardisierungsanstrengungen der ISO angewandt (s. ISO/IEC 27017:2015, [Isoc15]). In den Ausführungen dieses Kapitels wird festgestellt, dass ein Cloud-Computing-Angebot ohne festgeschriebene Leistungsvereinbarungen für kritische oder sensible Serviceanforderungen nicht in Frage kommen kann. Demzufolge wird gezeigt, wie in den Phasen eines „Gartner Sourcing Lifecycle“ und mit Prozessen des Servicemanagements sowohl auf der Seite des Providers als auch auf der Seite des Kunden den Anforderungen angemessene, leistungsfähige und sichere Lösungen erarbeitet und umgesetzt werden können. Die Risiken und einzuhaltenden Massnahmen können dabei mit einem in den Phasen des Lifecycles erstellten und umgesetzten Sicherheitskonzepts gesteuert und kontrolliert werden. Die spezielle Art der Risiko-Identifikation und der Risiko-Analyse beim Cloud-Computing wird mit entsprechen Beispielen und einem erstellten Risiko-Assessment-Register dargelegt.

Was sind die Gründe für die tagtäglichen Nachrichten über Cyber-Risiken und deren Abwehr? Was ist bei Cyber-Risiken anders, als bei den herkömmlichen Informationssicherheits-Risiken. Inwiefern gilt das für Informationssicherheits-Risiken in diesem Buch dargestellte Risikomanagement auch für die Cyber-Risiken? Diese Fragen und die möglichen Lösungsansätze, die dem Umgang mit Cyber-Risiken gerecht werden können, werden in diesem Kapitel von aktuellen Fällen abgeleitet, untersucht und gemäss dem heutigen Stand und der für den Praxiseinsatz geeigneten Konzepte und Methoden behandelt. Nachdem in einigen Kapiteln dieses Buches die Grundlagen, Anforderungen, Methoden und Werkzeuge des Informationssicherheits- und des IT-Risikomanagement im Unternehmen behandelt wurden, stellt sich zunächst die Frage, was die Cyber-Risiken beispielsweise von den Informationssicherheits-Risiken unterscheidet. Zur Beantwortung dieser Frage werden am Anfang des Kapitels einige Definitionen vorgenommen, die verschiedenen Quellen entnommen wurden. So sind die „Cyber-Risiken“ genau diejenigen Risiken, die durch „Cyber-Bedrohungen“ verursacht werden. Für diese Definition ist natürlich wiederum eine Definition notwendig, was als „Cyber-Bedrohungen“ gelten soll. Das Assessment solcher Cyber-Risiken wird sodann anhand eines Risikomodells vorgenommen, welches sich vor allem für die „absichtlich“ verursachten Cyber-Risiken eignet. Dieses Risikomodell wird in etwas vereinfachter Form in diesem Buch auch bereits für die herkömmlichen Informationssicherheits-Risiken verwendet. Gerade bei den Cyber-Risiken treten die schützenswerten Objekte (z. B. Identitätsmerkmale, kritische Infrastrukturen) mit den von den Cyber-Bedrohungen ausnutzbaren Schwachstellen in den Vordergrund. Die teilweise sehr komplizierten durch die „Bedrohungsquellen“ ausgeführten Angriffe werden in den wesentlichen Vorkommensweisen charakterisiert, worunter auch die sogenannten „Advanced Persistent Threat“ (APT) fallen. Hilfen beim Assessment der IT-Risiken bieten einige frei verfügbaren „Schwachstellen Standards“, die kurz beschrieben werden. Auf ein durchgeführtes Risiko-Assessment folgt die Risiko-Behandlung. Wie sich aus dem Ergebnis einer Risiko-Identifikation wahrscheinlich herausstellt, besteht bei den möglichen Cyber-Risiken ein hohes Mass an „Ungewissheit“. Entsprechend können die notwendigen Massnahmen auch komplex und aufwändig sein. Viele Massnahmen sollten aufgrund einer entsprechenden „Risiko-Exponierung“ eines Unternehmens auch quasi als „Grundschutz“ eingerichtet werden. Natürlich erfordert ein solcher Grundschutz eine ständige Betreuung und Umsetzung anhand von Policies und Prozessen. Darunter fallen auch die Schulung und die Förderung des Risikobewusstseins sowie Tests und Übungen für die involvierten Mitarbeiter. Für spezifisch grosse Cyber-Risiken eines Unternehmens (z. B. Exponierung gegenüber Datendiebstahl), sollte die Auswahl der zum Teil aufwändigen Massnahmen aufgrund eines entsprechend sogfältig durchgeführten Risiko-Assessments erfolgen. Kann beispielsweise ein aus dem Assessment hervorgehendes grosses Betriebs-Ausfallrisiko infolge einer „Denial of Service“-Attacke nicht gänzlich bewältigt werden, so sind am Ende des Kapitels Vorkehrungen und Massnahmen gezeigt, mit denen auch solche Risiken erheblich gemildert werden können.