Vereinfachtes Risikomanagement mit deutscher Softwarelösung

Nur wer seine Risiken kennt, kann etwas dagegen unternehmen. Daher sind das Erkennen von Risiken, Risikoanalysen, anschließende Maßnahmenplanung sowie Umsetzung die Grundpfeiler eines effektiven Risikomanagements. Der deutsche Softwarehersteller Contechnet bietet in seiner Informationssicherheits-Management (ISMS)-Lösung „INDITOR“ auch ein zentral gesteuertes Risikomanagement. Mithilfe von „INDITOR“ lassen sich in wenigen Schritten die Kernrisiken eines Unternehmens eruieren und bewerten sowie entsprechende Maßnahmen daraus ableiten.

Als Risikomanagement werden die systematische Erfassung und Bewertung von Risiken für den Geschäftsbetrieb eines Unternehmens beschrieben. Durch die Identifizierung der Risiken lassen sich entsprechende Gegenmaßnahmen definieren, um die Risiken zu minimieren.

Jörg Kretzschmar, Geschäftsführer bei Contechnet

„Während Tools für das Risikomanagement oft als teure Einzellösungen auf dem Markt erhältlich sind, haben wir das Risikomanagement direkt in unsere ISMS-Software integriert“, sagt Jörg Kretzschmar, Geschäftsführer bei Contechnet. „Wir möchten unsere Kunden in die Lage versetzen, die Umsetzung selbst in die Hand zu nehmen, und ihnen die Einführung durch möglichst viele Automatismen erleichtern. Das Risikomanagement ist daher einfach zu verstehen, einfach umzusetzen, das Wesentliche wird vom Unwesentlichen selektiert, und die Hauptrisiken werden sichtbar.“

 

Risikomanagement in drei Schritten

Die Vorgehensweise der Softwarelösung orientiert sich an der ISO 27005, der Norm für das Risikomanagement. Diese beschreibt, welche Schritte im Rahmen des Risikomanagements sowie der Risikoanalyse durchgeführt werden müssen.

Mit der Software „INDITOR“ erhält der Anwender eine benutzerorientierte Aufbereitung dieser Norm mit einer vorgegebenen Vorgehensweise.

  • Schutzbedarfsfeststellung: In diesem Schritt wird eine Analyse der Schadensauswirkung anhand von Schadensszenarien für die einzelnen Assets durchgeführt sowie Akzeptanzlevel festgelegt. Assets, die demselben Risiko zugeordnet sind, lassen sich in Gruppen zusammenfassen. Eine anschließende Risikoanalyse findet damit pro Gruppe statt.
  • Risikoanalyse und -bewertung: An diesem Punkt wird die Eintrittswahrscheinlichkeit verschiedener Risikoszenarien bewertet. Es wird aufgezeigt, welche umgebungsbezogenen Risiken für die entsprechenden Assets bestehen, und auf Basis dessen ein Risikowert ermittelt.
  • Risikobehandlung: Es werden Aufgaben und Maßnahmen zur Behandlung von Risiken erstellt, die einen höheren Risikowert als das Akzeptanzlevel aufweisen. Diese Aufgaben werden den einzelnen Assets zugeordnet.

Die Softwarelösung verfügt darüber hinaus über ein integriertes Aufgabenmanagement. Dieses bietet einen Überblick über die angelegten Aufgaben und zeigt den Fortschritt der Bearbeitung an. Wurden nach der Risikoanalyse Schutzmaßnahmen getroffen und Risiken minimiert oder sogar behoben, kann im jährlichen Managementreview das Akzeptanzlevel heruntergesetzt werden. „Damit kann ich Risiken oft zu Chancen machen. Ich fördere die Konzentration auf die unternehmenswichtigen Prozesse und versetze mich in die Lage, zielgerichtete Entscheidungen zu treffen, die die Mitarbeiter nicht nur verstehen, sondern auch entscheidend mittragen“, sagt Jörg Kretzschmar.

#Contechnet