Woran erkennt man eine gute Risikomanagementsoftware?

Während meiner Arbeit bin ich immer wieder in Kontakt mit verschiedenen Softwarelösungen zum Risikomanagement gekommen. Anbei ein paar Beispiele:

 

Auf dem Markt gibt es eine Vielzahl an Lösungen und damit Sie sich Ihre eigene fundierte Meinung bilden sowie das für Ihren Bedarf beste Produkt identifizieren können, möchte ich Ihnen folgendes an die Hand geben:

 

Eine gute Lösung zum Risikomanagement erkennen Sie daran, dass Sie Ihnen die Arbeit erleichtert und nicht erschwert oder gar verkompliziert. Sie sollte Standards vollständig abbilden und darauf ausgelegt sein, dass nicht nur eine Person die Risiken erfasst, bewertet und behandelt. Um dies gewährleisten zu können, muss Sie auch ohne Fachkenntnisse im Risikomanagement bedient werden und mittels eines vereinfachten sowie leicht verständlichen Workflows alle relevanten Informationen vom Asset Owner abfragen können. 

 

Ferner ist es empfehlenswert bei der Auswahl immer stets an die Unterschiede zwischen dem Enterprise Risk Management, Information Security Risk Management und IT Risk Management zu denken. Stark vereinfacht gesagt geht es bei allen ums Risikomanagement, jedoch mit unterschiedlichen Brennweiten und Detaillierungen:

Enterprise Risk Management

Assets/Prozesse auf oberster Ebene:

(Risiken stark aggregiert, quantitativ.)

  • IT Services
  • etc.

 

 

Information Security 

Risk Management

Assets/Prozesse auf mittlerer Ebene:

(Risiken aggregiert, quantitativ.)

  • AD Servers
  • DB Servers
  • DMZ Servers
  • etc.

 

IT Security Risk Management

Assets/Prozesse auf unterster Ebene:

(Risiken granular, qualitativ.)

  • HAM-AD-SRV-001
  • HAM-AD-SRV-002
  • HAM-AD-SRV-003
  • HAM-AD-SRV-004
  • HAM-AD-SRV-005
  • HAM-DB-SRV-001
  • HAM-DB-SRV-002
  • HAM-DB-SRV-003
  • HAM-DMZ-SRV-001
  • HAM-DMZ-SRV-002
  • etc.

 


Wie bereits erwähnt ist diese Vereinfachung nicht repräsentativ, aber sie trifft trotzdem oft zu. Jeder Ansatz hat seine eigene Daseinsberechtigung und erfüllt einen Zweck. Es hat Vorteile nicht nur auf einer vereinfachten Ebene die Risiken zu erfassen und zu bewerten, denn ein Server im Internet besitzt immer eine andere Risikodisposition als ein Server im Unternehmensnetzwerk. Um also nicht Gefahr zu laufen relevante Risiken zu übersehen, ist eine gewissenhafte Bildung der Asset-Gruppen zwingend erforderlich. Eine Gruppierung ist nur dann empfehlenswert, wenn die betreffenden Assets...

  • vom gleichen Typ sind,
  • ähnliche Aufgaben haben,
  • ähnlichen Rahmenbedingungen unterliegen und
  • den gleichen Schutzbedarf aufweisen.

Bei technischen Assets bietet sich die Gruppierung immer dann an, wenn sie...

  • ähnlich konfiguriert sind,
  • ähnlich in das Netz eingebunden sind (z.B. im gleichen Netzsegment) und
  • ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen,
  • ähnliche Anwendungen bedienen und
  • den gleichen Schutzbedarf aufweisen.

  

(Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_2.pdf / Linkdatum: 20.11.2019)

Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting
Termin prüfen: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG

TISAX® und ENX® sind eingetragene Marken der ENX Association.