Der Vortrag stellt das IT-Risikomanagement in den betrieblichen Kontext und zeigt die Verbindung zum Enterprise Risk Management auf. Nach einer Überleitung aus der Systematik des Risikomanagements wird der Aspekt der Risikoanalyse vertieft. Es werden exemplarisch mehrere Methoden der Analyse vorgestellt und bewertet. Abschließend wird noch auf Spezialaspekte eingegangen.

Mit dem BSI-Standard 200-3 stellt das BSI ein leicht anzuwendendes und anerkanntes Vorgehen zur Verfügung, mit dem Institutionen ihre Informationssicherheitsrisiken angemessen und zielgerichtet steuern können. Das Vorgehen basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden. Dieser Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Wie der Meisterdetektiv Sherlock Holmes sagte: Es ist zwar schwierig, die Fakten zu sammeln, aber es ist noch weitaus schwieriger, aus diesen Fakten die richtigen Schlussfolgerungen zu ziehen. Auf Cybersicherheit trifft es direkt auf zweierlei Weise zu: Die wertvollen Security-Informationen im Internet verstecken sich in einer Masse von rund 2,5 Trillionen Bytes, die täglich neu erzeugt werden. Circa 90 % Davon liegen unstrukturiert vor. Immer mehr Informationen werden in Form von Video, Blogposts, Papers, Bilder oder PowerPoint-Präsentationen gespeichert. Diese Daten verwehren sich noch standhaft den (teil)automatisierten Auswertungen und Analysen. Schätzungsweise werden nur acht Prozent davon von Unternehmen im Schnitt ausgewertet. Der Anteil der strukturierten Daten, die für automatisierte Auswertungen oder Prognosen und Analysen geeignet sind wird auf max. 20 % geschätzt.

Unmittelbar von der wachsenden Menge an unstrukturierten Daten betroffen: die Risikobewertung und Risikoanalyse. Die traditionelle statische Risikoformel funktioniert dann gut und liefert zuverlässige Ergebnisse, wenn den Berechnungen ein korrekter statistischer Deduktionsprozess sowie zuverlässige (historische) Datenquellen und geprüfte Datenerzeugungsmechanismen zugrunde liegen. Kurz: sie funktioniert am besten, wenn genug objektive, sterile, zuverlässige strukturierte Daten vorliegen. Wie bereits Gordon und Loeb bemerkt haben, kann der Prozess zur Identifikation von Cybersecurity-Risiken auch abhängig von Organisationsform, Risikoeinstellung im Management oder Risikometrik verschiedene Formen annehmen. Liegen nur sehr wenige historische Daten vor, sollten diese individuell und besser gewichtet werden. Hierfür scheint die Bayessche Formel gut geeignet, da sie zudem praktischerweise auch Ereignisse berücksichtigt, die konsekutiv stattfinden und – einem Dominoeffekt ähnlich – aufeinander aufbauen (bedingte Wahrscheinlichkeit). Die Bayessche Formel wurde u.a. erfolgreich eingesetzt, um das Entstehen von Informationskaskaden auf den Finanz- und Aktienmärkten zu erklären (sogenanntes rationales Herdenverhalten oder „Bayessche Lemminge“). Die Formel von Bayes berücksichtigt damit historische Daten über zurückliegende Sicherheitsvorfälle, Attacken, Ausfälle et cetera zur Risikoeinschätzung zukünftiger Incidents.

How is risk management implemented in an organization of more than 65000 employees over 120 countries? How do you coordinate between different risk appetites, risk perceptions, risk tolerances? How do you mitigate risks across the globe? How do you report to the board, and to the group CEO?

Mit dem rasanten Anstieg der Cyberangriffe steigt auch der Bedarf Restrisiken abzusichern. Klassische Versicherer haben den Cyber Risk Versicherungsmarkt für sich entdeckt und entwickeln fleißig Produkte. Die Kunden stehen nun vor der Herausforderung, das richtige Produkt zu wählen und dabei nicht dem Versuch zu unterliegen, alle Risiken der Versicherung zu überlassen. Der Vortrag beschreibt den aktuellen Markt, die Eigenschaften der Produkte und welche Fragen man sich als IT-Verantwortlicher hierzu stellen sollte.

Business Process Outsourcing, Outsourcing von IT-Entwicklung oder IT-Betrieb wie auch die Nutzung von Cloud-Lösungen sind häufig eine passende Antwort auf zunehmende Spezialisierung, Kostendruck und flexiblen Reaktionsbedarf im Umgang mit sich wandelnden Markterfordernissen.

Doch Outsourcing verändert die Risikosituation des auslagernden Unternehmens. Auch wenn die Service-Erbringung an Dritte übergeht, bleibt die Verantwortung gegenüber den eigenen Kunden beim Outsourcer. In regulierten Branchen wie etwa dem Bankensektor gibt es nicht zuletzt darum explizite Vorgaben zur Dienstleistersteuerung (z.B. die MaRisk).

Der Vortrag beschäftigt sich mit der Frage, wie mit der veränderten Risikosituation in der Praxis umgegangen werden kann. Themen werden z. B. sein:

Kritikalität der Auslagerung ++ Risikoanalyse und Folgenabschätzung ++ Behandlung von Risiken im IT-Outsourcing ++ gemeinsames Risikoverständnis bei Outsourcer und Service Provider ++ Möglichkeiten der Risiko-Steuerung in komplexen Weiterverlagerungsketten in der Praxis

Die Komplexität aktueller IT-Risiken, aber auch möglicher Behandlungsstrategien nimmt gerade vor dem Hintergrund der fortschreitenden Digitalisierung aller Lebens- und Arbeitsbereiche immer stärker zu. Entsprechend komplexer wird auch das Management dieser Risiken. Es ist daher hilfreich, geeignete Software zur Unterstützung der Elemente des IT-Risikomanagement-Systems einzusetzen. Ziel des Vortrags ist es, Entscheidungs- und Auswahlhilfen vorzustellen, die eine passgenaue Lösung für unterschiedliche Branchen und Unternehmensgrößen identifizieren helfen. Ein Blick auf den aktuellen Markt rundet den Vortrag ab.