Risikoanalyse (IT)

Mit Hilfe einer Risikoanalyse werden in den verschiedensten Bereichen, zum Beispiel der IT-Sicherheit, Gefahrenpunkte gefunden und eingeordnet.

Die Analyse

Eine Risikoanalyse hilft dabei, mögliche Gefahren und Schwachstellen besser einschätzen zu können. Bei IT-Systemen sind das zum Beispiel Angriffe von außen durch Hacker oder Viren. Wie hoch oder gering ein Risiko ist, wird anhand von zwei Faktoren festgemacht: der Wahrscheinlichkeit dafür, dass ein schadhaftes Ereignis eintritt sowie der Höhe des dadurch verursachten möglichen Schadens. Neben der Bedrohungsanalyse erfolgt auch eine Schwachstellenanalyse. So kann das individuelle Risiko eines IT-Systems ausgemacht und gezielt gegensteuert werden. Eine Risikoanalyse im Bereich der Informationstechnologie ist aufwändig. Nicht für alle Risiken gibt es verlässliche statistische Daten, mit denen Wahrscheinlichkeiten berechnet werden könnten. Schritte einer Risikoanalyse sind:

  • Gefährdungsübersicht aufstellen
  • Gefährdungsbewertung
  • Behandlung von Risiken
  • Erstellung/Überarbeitung des Sicherheitskonzepts

Ziel einer Risikoanalyse ist es, Risiken transparent zu machen, Schutzmaßnahmen abzuleiten und dadurch die Sicherheit zu steigern.

IT-Grundschutz

Standards für IT-Sicherheit in Unternehmen und Organisationen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt. Dazu zählt auch die Risikoanalyse, basierend auf einem IT-Grundschutz. Institutionen, die diese IT-Grundschutz-Vorgehensweise umgesetzt haben, können sich nach ISO 27001 zertifizieren lassen.

Risiken und Sicherheit

IT-Sicherheit ist nicht nur für Unternehmen wichtig, um etwa Datenlecks, Spionage und Fehler im Betriebsablauf zu vermeiden sowie Prozesse zu optimieren. Vor allem auch der Schutz kritischer Infrastrukturen soll mit Hilfe von Risikoanalysen gewährleistet werden. Wie angreifbar digitale Systeme sind, zeigen Beispiele aus aller Welt. So hat in einem niederländischen Krankenhaus eine Schadsoftware Daten verschlüsselt und damit unbrauchbar gemacht. Im US-Bundesstaat Georgia blockierte ein Computervirus tagelang das IT-Netz eines medizinischen Zentrums. Zu diesem Thema hat das BSI die übersichtliche Broschüre „Risikoanalyse Krankenhaus-IT“ herausgebracht.

Zurück