Strategien gegen Cyberrisiken

September 2019 | Wirtschaftswoche | Risikomanagement

Strategien gegen Cyberrisiken

Im Zuge der globalen Vernetzung spielt das kompetente Management von IT-Risiken eine immer größere Rolle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu einen Leitfaden für Unternehmen veröffentlicht.

Illustration: Maria Corbi
Juliane Moghimi / Redaktion

In dem Maße, in dem die Digitalisierung eines Unternehmens voranschreitet, wachsen auch die Ansprüche an die IT-Sicherheit. Neben der Firmenhardware und den internen Daten gilt es dabei vor allem, sensible Kundendaten zu schützen – zumal hier mit der 2018 in Kraft getretenen DSGVO die regulatorischen Anforderungen noch einmal deutlich erhöht worden sind. Wie aber lassen sich die unternehmenseigenen Sicherheitsrisiken erkennen und bewerten? Und welche Maßnahmen kommen bei welchem Szenario in Frage?


Einen umfangreichen Leitfaden zu diesem Thema hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Darin werden zum Grundschutz von IT-Systemen in Unternehmen insgesamt 47 verschiedene Risikoarten in fünf Sparten unterschieden: Dazu gehört das Themenfeld höhere Gewalt, das Feuer, Wasser, und Naturkatastrophen umfasst, organisatorische Mängel, zum Beispiel Fehlplanungen oder mangelnde Anpassungen, menschliche Fehlhandlungen, wie sie sich etwa in der Missachtung vorhandener Sicherheitsmaßnahmen zeigen, technisches Versagen im Falle eines Stromausfalls oder Hardwaredefekts sowie vorsätzliche Handlungen in Form von Sabotage, unbefugtes Eindringen ins System oder Schadprogramme.


Je nach Art des Risikos können bei dessen Eintreten ein oder mehrere Grundwerte der Informationssicherheit geschädigt werden: die Vertraulichkeit, die Integrität und die Verfügbarkeit. Integrität meint dabei die Manipulationsfreiheit und Unversehrtheit des IT-Systems, Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugter Preisgabe. Das BSI empfiehlt, anhand dieser Auflistung von Risiken eine Analyse für das eigene Unternehmen durchzuführen, um dann entsprechende Maßnahmen zu ergreifen.


Für den Umgang mit IT-Risiken im eigenen Unternehmen schlägt das BSI vier grundlegende Strategien vor: Vermeidung durch Ausschluss der Risikoursachen, indem zum Beispiel interne Prozesse umstrukturiert werden, Verringerung durch Modifikation der Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben,  beispielsweise, indem weitere Sicherheitsmaßnahmen implementiert werden und Transfer durch Teilen mit anderen Parteien – unter anderem in Form von Versicherungen oder als Outsourcing bestimmter Leistungen. Wenn keine wirksamen Gegenmaßnahmen bekannt sind oder die potenziellen Kosten die Höhe eines eventuellen Schadens übersteigen würden, kann sich das Unternehmen auch für die Akzeptanz des Risikos entscheiden. Dies gilt auch, wenn die mit dem speziellen Risiko einhergehenden Chancen das Risiko aufwiegen.


Welche Strategie zur Anwendung kommt, hängt von den Kos-ten und sonstigen Aufwendungen ab, die dafür konkret notwendig werden. Wichtig ist laut BSI, Risiken, die nicht komplett vermieden werden, zu beobachten und regelmäßig neu zu bewerten, um die Sicherheitsstrategien gegebenenfalls anzupassen. ■