Identifikation der IT Risiken

Ansätze für die Risikoidentifikation

Ausgehend von Bedrohungen und Verwundbarkeiten, sowie deren Auswirkungen, sollen Risiken identifiziert werden. Sind der Ausgangspunkt für die Risikoidentifikation Bedrohungen und Verwundbarkeit, also Ursachen, spricht man von einem Bottom-up-Ansatz. Wird dagegen von den Auswirkungen, also den Schäden, ausgegangen, wird diese Vorgehensweise als Top-Down-Ansatz bezeichnet [Knoll, 2014, S.124]. Daraus ergibt sich, dass Risiken zwischen ihren Ursachen und den Auswirkungen eingebettet sind [Knoll, 2014, S.30].

Vorgehen bei der Risikoidentifikation

Die Identifikation von Risiken bildet einen wichtigen Schritt innerhalb des Risikomanagementzyklus. Werden Risiken nicht erkannt, können sie nicht entsprechend behandelt werden und in weiterer Folge zu kritischen Löchern in der Sicherheitspolitik des Unternehmens werden [BSI100-3, 2008, S.13]. Eine vollständige Identifizierung aller Risiken wird aus wirtschaftlichen Gründen nie machbar sein, aber die kritischen Kernbereiche sollten so vollständig wie möglich durchgearbeitet werden. Doch nicht ausschließlich Risiken sollten im Fokus der Identifikation stehen, auch Chancen sollten beachtet und genutzt werden. Die Einteilung der Risiken erweist sich als herausfordernd, weil meist keine genaue Abgrenzung durchgeführt werden kann und es schwierig ist, eine passende Kategorisierung zu finden [Klempt, 2007, S.45]. Viel wichtiger aber als eine endgültige Einteilung ist eine strukturierte Herangehensweise an den Identifikationsprozess. In der Literatur sind diesbezüglich mehrere Vorgehensweisen zu finden. Die Wesentlichen stützen sich dabei auf die Analyse der Geschäftsprozesse [Klempt, 2007, S.46] oder versuchen, alle relevanten Strukturelemente [BSI100-3, 2008, S.19] zu listen und diese auf potentielle Schwachstellen und Gefahren zu untersuchen. Wie vorangehend beschrieben ist der Risikoidentifikation eine hohe Bedeutung beizumessen. Aufgrund der Relevanz der korrekten Risikoidentifikation für den gesamten weiteren Risikomanagementzyklus empfiehlt es sich, in diesem Schritt strukturierte Methoden zum Erfassen der Risiken zu verwenden. Hierbei können Kollektionsmethoden sowie intuitive und diskursive Kreativitätsmethoden zum Einsatz kommen. [Romeike, 2003, S.174ff] [Klempt, 2007, S.55ff]